中心化風險居高不下，2021年黑客攻擊損失高達13億美元_certik:TIK

轉眼間已經陪伴CertiK走入了第五個年頭，然而隨著閱盡千篇審計報告，卻一直有一個問題，讓譬如小編這樣的技術門外漢倍感疑惑。有的時候，我們辨別一個項目的代碼是否優質，就是查看它的審計報告。而后根據審計報告中的風險等級和數目來判斷這個項目代碼的安全性是否達到標準。

但是近一年中，很多項目的代碼相對足夠完善和安全，卻不約而同地存在著一個主要風險——中心化風險。

那么具備這一風險的項目，假如它的代碼在其他方面表現得很良好，我們如何判斷它的代碼質量優質亦或不優質？

這樣的項目在以往的審計記錄中，占據了很大的比例——在CertiK統計的2021年1737份審計報告中，具備中心化風險的項目竟有286個之多，占據比例近17%。

報告：比特幣等區塊鏈的去中心化程度并未達到預期:6月22日消息，根據Trail of Bits的說法，分布式賬本技術（DLT）和包括比特幣和以太坊在內的區塊鏈可能比最初認為的更容易受到中心化風險的影響。

這家安全公司周二發布了一份題為《區塊鏈是去中心化的嗎？》的報告，這項研究是受美國政府國防高級研究計劃局（DARPA）委托進行的。

該報告旨在調查包括比特幣和以太坊在內的區塊鏈是否真正去中心化，主要關注比特幣。報告指出，過時的比特幣節點、未加密的區塊鏈礦池和大多數未加密的比特幣網絡流量只通過有限數量的ISP，可能會為不同參與者對網絡進行過度中心化控制留下空間。

報告稱，比特幣節點的子網在很大程度上負責達成共識，并與礦工溝通，而“絕大多數節點對網絡健康未產生有意義的貢獻。”

報告作者還發現了基礎設施中的漏洞，這是基于比特幣協議流量未加密的事實，并且60%的網絡流量只經過三個ISP。（Cointelegraph）[2022/6/22 4:58:28]

而在CertiK近期發布的中，更是指出：2021年造成黑客攻擊最常見的原因是中心化風險，在因此產生的44起DeFi黑客攻擊事件中，總資產損失高達13億美元！

全球去中心化金融小費打賞平臺推出TIP計劃:3月14日消息，全球小費打賞平臺在3月12日向全網推出TIP社區銀行，成為TIP社區銀行的存款用戶，將會獲取TIP代幣的不定額空投，在社區銀行中，存取自由無需稅點，在保障存款用戶的資產情況下，可享有額外的分紅權益。[2022/3/14 13:54:22]

復制鏈接至瀏覽器即可下載安全報告：

https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese

DAO乃至整個加密世界最獨一無二的核心本質。

去中心化IDO平臺 SolanaPrime 完成種子輪融資:2月5日消息，去中心化 IDO 平臺 SolanaPrime 宣布完成種子輪融資，本輪融資由 Pluto Digital、Llama Ventures、Sheesha Finance、Next Chymia（來自 Kenji Sasaki）、Influx Group、Nodeseeds、Faculty Capital、Contango Digital Assets、ZBS Capital、Stratosphere、Baselayer Capital、Arenum 等參投，具體融資金額暫未透露。[2022/2/5 9:32:22]

從定義上講——百度百科搜索的結果如下：在一個分布有眾多節點的系統中，每個節點都具有高度自治的特征。節點之間彼此可以自由連接，形成新的連接單元。任何一個節點都可能成為階段性的中心，但不具備強制性的中心控制功能。這種開放式、扁平化、平等性的系統現象或結構，我們稱之為去中心化。

去中心化借貸協議Aave發布V2版 新增抵押品還款和降低Gas費等功能:去中心化借貸協議Aave發布V2版，旨在進一步推進去中心化發展，AaveV2版本將引入一系列新功能，從抵押還款方面，新版本功能允許用戶通過在1筆交易中直接用抵押品付款來去除杠桿化或平倉。從債務標記和信用委托方面，用戶的債務狀況將被標記(用戶將收到代表其債務的代幣)。債務的標記化使Aave協議中的本地信用委托成為可能，用戶可以通過冷錢包進行本地頭寸管理和針對特定用戶的流動性挖礦策略。從固定利率存款方面，可預測的存款利率為流動性提供者提供了明確的收入保證，而不受市場變化的約束。從借款利率方面，可以將借款利率鎖定在一定時間段內鎖定，提高了穩定的借款利率。私募方面，為了滿足機構需求，Aave協議將允許政府開放的私募市場來支持各種標記化資產。此外，本次版本還包括優化Gas費，實現對本機GasToken支持，進一步幫助用戶降低交易成本。增加安全性和債務、抵押保證金交易功能，以及增加特定的治理功能等。[2020/8/15]

而中心化風險僅在這一層面，就背離了加密領域創建的初衷。

中心化風險的核心是DeFi協議內的單一故障點——擁有中心化所有權的智能合約比擁有時間鎖或多簽名密鑰所有權的合約風險更大。

一旦這一風險被惡意攻擊者利用，那么無限鑄幣、RugPull以及其他各類型的攻擊事件將接踵而來。

如果你的合約具備鑄幣漏洞，那么攻擊者但凡能拿到合約私鑰，即可轉手鑄造無數代幣然后想給誰就給誰。

很明顯，這種攻擊方式對于項目的所有者來說簡直就是印鈔神器，當然也有些項目會成為其他黑客的ATM機。

另一種比較典型的攻擊方式就是RugPull，CertiK剛剛發布分析的BabyMusk攻擊事件就是一個典型的案例。

在這種攻擊手法中，有些是項目所有者惡意拋售其所持有的全部代幣以此消耗去中心化交易所的流動性。還有些是項目所有者直接從合約中竊取代幣，如預售鎖定合約類的項目。

在有些去中心化交易所中，具備RugPull風險的項目簡直多如牛毛——因為上幣并不需要通過審計。

典型案例

DeFi協議bZx因私鑰管理不善于2021年11月被惡意攻擊導致損失高達5500萬美元。

該項目合約私鑰未采取多簽名，攻擊者通過釣魚郵件輕松獲取了私鑰的控制權。這一中心化風險使得攻擊者可以完全控制該私鑰管理的所有合約。

在這一案例中，一旦攻擊者獲取了合約的控制權即可將代幣從Polygon和BSC的部署中轉移出來。

如何減輕中心化風險？

怎樣才能減輕中心化風險？

智能合約審計是識別中心化風險的第一步，也是必要的一步。

通過智能合約審計，可以及時鑒別項目代碼中存在的中心化風險，但只有審計是不夠的，隨后的代碼修改同樣至關重要。

在很多情況中，安全專家發現的問題以及給予的修改建議會被項目所有者置之不理....

這些行為簡直就是在赤裸裸的呼喚黑客：快來呀，我這有錢給你！

CertiK將審計中發現的風險分為5個等級：嚴重、主要、中等、次要以及信息性。

上文中我們已經提過中心化風險屬于主要風險等級，這代表著在特定情況下，該風險可能導致資金和/或項目控制權的損失。它也許不會顯著影響平臺運作，但同樣是必須要解決的高危風險之一。

目前，CertiK官網已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及Rugpull相關的各種社群預警信息。

作為區塊鏈安全領域的領軍者，CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了2500家企業客戶的認可，保護了超過3110億美元的數字資免受損失。

Tags：certikTIKCERERTcertik幣價TIKI價格DEFILANCER價格ERTH

幣安幣