DeFi之道 | 最常見的DeFi黑客攻擊和漏洞利用類型有哪些？_EFI:DEFI S幣

引言

我們都知道機會是d與風險并的存，DeFi的世界也不例外。在DeFi世界中，相比于掙錢，人們可能更容易蒙受財產損失。雖然這些風險不能完全避免，但通過謹慎的風險管理和判斷，你至少可以減少被“吊打”的次數。

那么在DeFi世界中，人們最常見的虧損方式是什么？有哪些不同類型的黑客攻擊和漏洞利用？最重要的是，你應該怎樣才能把自己受到黑客攻擊的負面影響降到最低？你將在本文中找到這些問題的答案。

在我們開始之前你還需要了解的是，這篇文章是Finematics和rekt.news合作完成的。

rekt.news是一個匿名平臺，一些熱心的玩家和DeFi偵探會向該社區展示他們的發現。他們分析了所有主要的黑客攻擊和漏洞利用，并對加密貨幣和DeFi的所有項目合約提供了創造性的評論，這樣做的主要目的是為了教育和娛樂讀者。他們的網站rekt.news包含了自己出品的文章，以及一個人工智能生成的新聞聚合器，該聚合器提供了最近所有最重要的事件，特別是加密貨幣和DeFi領域的新聞。

現在回到本文的主題，我是如何在DeFi中翻車的？

Wemade推出新的Defi服務Kurrency:金色財經報道，韓國游戲巨頭Wemade宣布推出一項新的Defi服務Kurrency，旨在提供更高的易用性、透明度和可靠性。Kurrency是一項通過抵押債務頭寸發行加密貨幣的服務。用戶可以委托該服務支持的虛擬資產作為抵押品，發行WCD（WEMIX加密美元）。

Wemade希望將WCD打造成跨主要區塊鏈的使用的加密美元和貨幣服務，包括Klaytn、Ethereum和Wemix 3.0。[2023/3/3 12:40:53]

我們沒有足夠充足的時間在本篇文章中涵蓋每一種類型的攻擊，當然，這其中有許多黑客攻擊的類型仍然未被人們發現，但是有一些黑客技術經常會發生，我們現在就來看幾個例子。

RugPull

“rugpull”已經成為整個DeFi的一個常用術語，它現在多被用來指許多類型的黑客和漏洞利用，但它實際上指的是突然從流動性池子中移走大部分流動性的一種特定技術。

流動性的突然損失可能會造成代幣的死亡螺旋，因為代幣持有者會試圖盡快出售手中的代幣，從而避免造成更多的損失。

rugpull通常是惡意團隊進行攻擊的最后一步，也是一種常見的“退出騙局”形式，即當他們試圖帶著資金逃跑時，協議會刪除它們之前所有的社交媒體痕跡。

DeFi Llama推出多鏈DEX聚合器內測版本:11月18日消息，鏈上數據分析網站 DeFi Llama 推出多鏈 DEX 聚合器內測版本。據相關頁面信息，該聚合器目前仍處于完善階段。DeFi Llama表示該聚合器不會向用戶收取額外費用，僅通過路由合約提供聚合交易。[2022/11/18 13:21:56]

由于這種類型的攻擊在技術上實施起來非常簡單，它通常是低投入項目快速獲取現金的首選技術，然而這并不意味著按照這種方式所獲取的利潤很低，因為目前已經有幾起主要的惡意攻擊導致用戶損失了數百萬美元。

其中一個例子就是MeerkatFinance，該項目在運營了一天之后，就獲得了1300萬BUSD和7.3萬BNB的收益，當時的總收益約為3100萬美元。

如果在一個項目中使用了一個大的流動資金池子，那么該項目團隊就不應該具有檢索這些資產的能力。如果他們這樣做了，那么你就相當于把自己的信任完全交給了項目團隊。

MeerkatFinance一開始并沒有這個能力，然而在攻擊前不久，MeerkatFinance的部署者“升級”了他們自己的2個Vaults，并且給他們自己進入Vault留了后門。

DeFi去中心化期權交易平臺Asteria測試網正式上線:DeFi去中心化期權交易平臺Asteria測試網正式上線，本次測試用戶可體驗BTC和ETH期權交易，同時可體驗蝶式套利期權、飛鷹式套利期權等多樣化期權策略。Asteria平臺將于近期開啟測試網交易大賽及bug bounty等活動，參與即有機會領取5000USDT空投及未來Asteria代幣ATAT空投權；積極提供建設性意見也能獲取建設獎勵。Asteria官方表示：作為專業化去中心化期權交易平臺，Asteria在致力于打造平臺期權低門檻、高效益、高收益的同時，還將堅持生態共創、社區共享，充分保障用戶利益。[2021/6/24 0:03:58]

我們怎么才能避免被rugpull呢？

我們可以檢查項目的流動性是如何鎖定的，是否有時間鎖，是否有多重簽名？

對這個項目做些調查，弄清楚誰在支持它，這個項目的是做什么。

團隊是否被大家所熟知？如果是的話，你能發現他們的一些相關信息么？現在在網上證明身份變得越來越困難，詐騙者正轉向不同尋常的方法來建立他人的信任，比如DeTradeFund，一些人懷疑該公司使用深度造假技術制作了一段假冒CEO的視頻。rekt.news報道了這個故事。。

另一方面，如果你找不到任何關于項目方相關人員的信息，也請記住匿名團隊并不一定是一件壞事，因為比特幣的創始人至今仍是匿名的。

抵押代幣DeFi平臺OnX Finance已修復所有問題，恢復抵押aETH進行ETH借款:官方消息，抵押代幣DeFi平臺OnX Finance表示，所有問題已修復，抵押aETH進行ETH借款已恢復。OnX借貸平臺供應近9000枚ETH，APY約為42%。

此前消息，抵押代幣DeFi平臺OnX Finance部分用戶在借貸平臺供應池遇到取款問題，小數點問題已修復，當點擊100%時是沒有問題的。團隊正在研究還款問題，在合約團隊周一做出回應之前，不要抵押aETH。按鈕被禁用。[2021/3/1 18:03:08]

經濟利用/閃電貸

曾經有一段時間，似乎每周都有新的DeFi黑客事件出現，而閃電貸這個詞從未遠離過人們的視線。

閃速貸與“黑客攻擊”的聯系讓社區中的許多人相信，閃速貸是完全是負面的。

然而，值得注意的是，閃電貸交易已經適用于擁有大賬戶的鯨魚用戶，閃電貸本身并不是一種惡意工具，它們只是在很短的時間內提供大量資金。這些資金可以被用來利用代碼的漏洞，或者操縱定價并從套利的過程中獲利。

閃電貸是一種無抵押、無擔保的貸款，它必須在區塊鏈交易結束前償還；如果沒有償還，智能合約就會逆轉交易，那么貸款就像從未發生過一樣。

Gate.io將上線DeFi理財ONC、ONS活期挖礦:據官方公告，“Gate.io理財寶”將于2021年1月1日12:00（明日）上線《DeFi理財ONC活期挖礦賺ONS（浮動利率）》和《DeFi理財ONS活期挖礦（浮動利率）》認購，項目期限均為7天，幣年化收益率根據網絡產出情況調整。手機App用戶可在行情頁面選擇“理財寶”按鈕參與。詳情請點擊“原文鏈接”。[2020/12/31 16:10:09]

由于貸款的智能合約必須在其出借的同一交易中完成，因此借款人必須使用其他智能合約從而幫助他在交易結束前與貸款資金進行即時交易。

如果你想了解更多關于閃貸的信息，請點擊這里查看這篇文章。

大多數閃電貸攻擊都涉及使用大量資金操縱代幣價格。

大規模閃電貸攻擊的一個例子是HarvestFinance，該項目在2020年10月被攻擊后損失了3380萬美元。

在攻擊的兩個小時內，fUSDT下跌了13.7%，$FARM下跌了67%，因為黑客取出一筆5000萬美元的USDT閃電貸，然后使用CurveFinance的Y池來進行資金互換，穩定幣的價格出現了快速上漲。

這一連串的操作在7分鐘的時間段內發生。

接受USDT5000萬美元的閃電貸

將1140萬USDC互換成USDT->導致USDT價格上漲

將6060萬USDT存入Vault

兌換1140萬USDT到USDC->USDT價格下降

從Vault提取6110萬USDT>從而獲得50萬USDT利潤

重復上述過程32次。

通過TornadoCash將穩定幣轉換為renBTC并換成BTC和ETH。

在步驟4中，由于USDT價格的變化，攻擊者能夠提現出更多的USDT。由于USDT的價格在提現期間較低，他們的持有份額從Vault中提取更多的USDT。

大約4次循環的gaslimit為1000萬，雖然每次循環的利潤不到1%，但每次循環的利潤很快就增加到了50萬美元。

閃點貸經常被用來操縱價格，這也使得套利成為可能。為了避免對閃電貸價格操縱的攻擊再次發生，協議應該考慮使用可靠的去中心化預言機。

閃速貸還可以用于其他攻擊手段，如重入攻擊、搶先交易或套利。

套利

套利指的是利用不同市場之間的價格差異來產生利潤。這些類型的機會在不成熟的市場是非常常見的，如DeFi和加密貨幣。隨著流動性的增加和市場效率的提高，套利機會往往會減少。

如果一個池子被操縱來為套利提供空間，那么這也可能被認為是一種利用，因為流動性提供者最終可能會失去他們的資金，就像SaddleFinance一樣。

盡管項目方聲稱“已經解決了滑點的問題”，但是在今年1月的運行過程中，至少有3個主要的套利行為在6分鐘內從早期的流動性提供者手中拿走了7.9枚比特幣。

4.01BTC139961美元，2021年1月19日04:06:54PM+UTC

0.79BTC27573美元，2021年1月19日04:08:46PM+UTC

3.11BTC108548美元，2021年1月19日04:12:37PM+UTC

盡管這只是套利行為，但用戶還是蒙受了資金損失，因為SaddleFinance無法保護他們免受套利者的傷害，而這些套利者只是在代碼的限制內進行買賣。

這就引出了一個常見的問題，即在DeFi中損失資金：

這到底是一次黑客攻擊，還是利用了項目方的漏洞？

DeFi仍然是一個全新的概念，整個行業就像是一場實驗，我們在建立新的金融體系時其實也是在測試新的想法。這意味著漏洞經常出現在真實的代碼中，當這些漏洞可以被用來提現資金而不需要強制操縱任何東西時，我們或許最好稱之為“漏洞利用”。

然而，它也可以適用于所有的黑客，因為他們只能使用已編寫的代碼進行操作。不管我們稱他們為黑客還是漏洞利用，最終的結果都是一樣的。如果存在漏洞，那么最終會有人利用它們，而我們是幾乎無法阻止這種情況發生的。

當然了，即使安全審計過得項目也不能保證安全。

審計

rekt.news還對最多的黑客攻擊和漏洞利用進行了排名，它不僅顯示了協議被竊取的金額，還顯示了在黑客入侵前是誰對協議進行了審計。

如果我們看到rekt的排行榜，就會發現大多數被黑的協議實際上在攻擊之前已經完成了安全審計。這證明了審計并不是協議安全的保證，審計公司也可能會出現失誤。

Rekt的排行榜顯示了出事項目的審計方以及被利用的特定代碼片段。

根據排行榜顯示的信息，目前最臭名昭著的安全公司是：Peckshield有3個失敗的審計，Certik有2個，Quantstamp也有2個。

rekt.news最近報道過許多審計過的協議，文章的結果表明，經過審計的協議和未經審計的協議之間的差別很小。

用戶經常犯這樣的錯誤，認為一個安全審計可以永遠保證整個協議的安全，然而，所有的DeFi協議都存在著變數，即使一個協議被非常徹底地進行了審計，但是一個小的更新也會使審計變得無用。

總結

你怎么看DeFi世界發生的黑客事件？你曾經被黑過么？

還有，別忘了去看看rekt.news更多類似的內容。

如果你喜歡閱讀這篇文章，你也可以在Youtube?和推特上查看Finematics?。

Tags：EFIDEFDEFIUSDDEFI S幣DEFILANCER價格Yearn DeFi Forkusda幣什么價

SAND