對幾十次黑客攻擊的分析確定了去中心化金融領域的主要載體和典型漏洞。
去中心化金融領域正在以驚人的速度增長。三年前,DeFi鎖定的總價值僅為8億美元。到2021年2月,這一數字已增至400億美元;2021年4月,它達到了800億美元的里程碑;現在,它的價值已經超過1400億美元。一個新市場的如此快速增長,肯定會吸引各種黑客和欺詐者的注意。
根據加密貨幣研究公司的一份報告,自2019年以來,DeFi領域因黑客和其他漏洞攻擊而損失了約2.849億美元。從黑客的角度來看,對區塊鏈生態系統的黑客攻擊是一種理想的致富手段。因為這種系統是匿名的,他們有錢可賺,而且任何黑客都可以在受害者不知情的情況下進行測試和調整。在2021年的前四個月,損失達到了2.4億美元。而這些只是公開知道的案例。我們估計真正的損失達到了數十億美元。
DeFi借貸協議Moola Market遭黑客攻擊,損失840萬美元:金色財經報道,北京時間10月19日凌晨,基于Celo網絡的去中心化金融 (DeFi) 借貸協議Moola Market在遭遇840萬美元的黑客攻擊后暫停運營。
根據The Block團隊的分析,利用者使用了來自幣安的243,000個CELO代幣,然后將60,000個CELO借給Moola,借入180萬個MOO作為抵押品。利用剩余的CELO抬高MOO的價格,并繼續使用借來的MOO將其用作抵押品并借入所有其他代幣。攻擊者獲得了880萬CELO(價值650萬美元)、765,000 cEUR(價值70萬美元)、180萬MOO(價值60萬美元)和644,000 cUSD(價值60萬美元)。
Moola Market表示,其團隊正在積極調查此事件,平臺上的所有活動均已暫停。同時,Moola建議用戶不要交易相關代幣。[2022/10/19 17:31:32]
DeFi協議的錢是如何被盜的?我們分析了幾十起黑客攻擊事件,確定了導致黑客攻擊的最常見問題。
數據:以太坊上DeFi協議總鎖倉量533.4億美元:據歐科云鏈OKLink數據顯示,截至今日16時,以太坊上DeFi協議總鎖倉量約合533.4億美元,環比上升3.61%。
當前鎖倉量排名前三的DeFi協議分別是Maker 62.4億美元(+2.34%),WBTC 61.3億美元(+2.37%)以及Compound 51.5億美元(+5.4%)。七日鎖倉量增幅前三名的分別是SashimiSwap(+132.11%),imBTC(+74.31%)以及YFLink(+56.72%)。[2021/3/3 18:11:10]
濫用第三方協議和業務邏輯錯誤
Aave創始人:所有DeFi協議都應努力實現交叉可組合性:Aave創始人Stani Kulechov在推特上表示,最近與yearn.finance的合作對DeFi來說是一個積極信號。 所有DeFi協議都應努力實現交叉可組合性。從今年年初到現在,Aave一直在與Andre Cronje合作,我們取得了積極的網絡效應。[2020/11/30 22:33:06]
任何攻擊都主要從分析受害者開始。區塊鏈技術為自動調整和模擬黑客攻擊的場景提供了許多機會。為了使攻擊快速而隱蔽,攻擊者必須具備必要的編程技能和智能合約工作原理的知識。黑客的典型工具包允許他們從網絡的主要版本中下載自己的區塊鏈的完整副本,然后對攻擊過程進行全面調整,就好像交易發生在真實的網絡中一樣。
歐科云鏈OKLink同聚合產品幣coin達成DeFi生態戰略合作:據悉,歐科云鏈OKLink同知名的區塊鏈聚合產品幣coin達成DeFi生態戰略合作。OKLink為幣coin用戶提供快捷精準的DeFi信息服務,用戶可以通過APP入口進入OKLink瀏覽器查詢,了解實時DeFi總鎖倉量等數據。未來雙方將在DeFi生態建設及鏈上信息分析等方面展開更深層次的市場合作。幣coin是一款為幣圈合約用戶提供合約數據、KOL實盤、信息提醒以及聚合交易的工具型產品。
歐科云鏈OKLink區塊鏈瀏覽器是由全球首家區塊鏈大數據上市公司打造的信息服務應用,目前已上線DeFi版塊,為用戶提供呈現快速、精準、全面的鏈上數據服務。[2020/8/5]
接下來,攻擊者需要研究項目的業務模式和使用的外部服務。業務邏輯的數學模型和第三方服務的錯誤是最常被黑客利用的兩個問題。
智能合約的開發者在交易時需要的相關數據往往超過他們在任何特定時刻可能擁有的數據。因此,他們被迫使用外部服務——例如,預言機。這些服務并不是為在去信任的環境中運作而設計的,所以它們的使用意味著額外的風險。根據一個統計數據,既定類型的風險占損失的比例最小——只有10次黑客攻擊,造成的損失總額約為5000萬美元。
編碼錯誤
智能合約在IT領域是一個相對較新的概念。盡管它們很簡單,但智能合約的編程語言需要一個完全不同的開發范式。開發人員往往根本不具備必要的編碼技能,并犯下嚴重錯誤,導致用戶的巨大損失。?
安全審計只能消除這類風險的一部分,因為市場上的大多數審計公司對他們的工作質量不承擔任何責任,只對財務方面感興趣。由于編碼錯誤,超過100個項目而被黑客攻擊,造成的總損失約為5億美元。一個鮮明的例子是發生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代幣標準中的一個漏洞,結合重入攻擊,偷走了2500萬美元。
閃電貸、價格操縱和礦工攻擊
提供給智能合約的信息只在執行交易時相關。在默認情況下,合約不能幸免于對其中包含的信息進行潛在的外部操縱。這使得一系列的攻擊成為可能。
閃電貸是一種沒有抵押物的貸款,但需要在同一筆交易中歸還所借的加密貨幣。如果借款人未能歸還資金,交易將被取消。這種貸款允許借款人收到大量的加密貨幣并將其用于自己的目的。通常情況下,閃電貸攻擊涉及價格操縱。攻擊者可以先在交易中賣出大量借來的代幣,從而降低其價格,然后在買回代幣之前,以非常低的價值執行一系列行動。
礦工攻擊類似于基于工作量證明共識算法的區塊鏈上的閃電貸攻擊。這種類型的攻擊更加復雜和昂貴,但它可以繞過閃電貸的一些保護層。它的工作原理是這樣的。攻擊者租用挖礦能力,形成一個只包含他們需要的交易的區塊。在給定的區塊內,他們可以首先借用代幣,操縱價格,然后歸還借用的代幣。由于攻擊者獨立形成了進入區塊的交易,以及它們的順序,攻擊實際上是原子性的,就像閃電貸的情況。這種類型的攻擊已經被用來攻擊100多個項目,損失總額約為10億美元。
隨著時間的推移,黑客的平均數量一直在增加。在2020年初,一次盜竊金額就高達數十萬美元。到今年年底,這個數字已經上升到數千萬美元。
開發者不稱職
最危險的風險類型涉及人為錯誤因素。人們為了尋求快速賺錢而求助于DeFi。許多開發人員資質很差,但仍試圖在匆忙中推出項目。智能合約是開源的,因此很容易被黑客復制和改動。如果原始項目包含前三種類型的漏洞,那么它們就會蔓延到數百個克隆項目中。RFISafeMoon是一個很好的例子,因為它包含一個關鍵的漏洞,被復制到一百個項目上,導致潛在損失超過20億美元。
文:GUESTAUTHORS
Tags:EFIDEFIDEFMOODeFi BidsDEFILANCER價格Earn DeFi Coinmoondao幣196倍
前言 在今年大半年的時間里,行業里關于元宇宙的討論數不勝數,熱鬧非凡。可是元宇宙到底是什么呢?大多數人通過文字來描述元宇宙,然而,體驗元宇宙的人是比較少的.
1900/1/1 0:00:002021年8月12日加密數據分析平臺DuneAnalytics宣布完成800萬美元A輪融資,UnionSquareVentures領投.
1900/1/1 0:00:002021年——GameFi鏈游元年如果說2020年是DeFi爆發元年,那么2021年毫無疑問是GameFi鏈游爆發元年.
1900/1/1 0:00:008月22日消息,印度電子支付及數字錢包公司PhonePe再次獲得了3.5億美元的融資。除Flipkart母公司沃爾瑪領投之外,騰訊、老虎環球也參與了投資,至此,新一輪7億美元融資計劃完成.
1900/1/1 0:00:00據CoinMarketCap數據顯示,卡爾達諾Cardano的價格在近7天上漲了38%以上,價格一度逼近3美金,其市值為906億美元,成功躋身全球加密幣種前三之列.
1900/1/1 0:00:00上市四個月,Coinbase究竟有多受寵?近日,已有多家機構披露了其13F季度持倉報告,ARK、貝萊德、摩根大通、德銀、摩根士丹利、高盛等機構均在二季度建倉Coinbase.
1900/1/1 0:00:00