对几十次黑客攻击的分析已经确定了去中心化金融领域的主要载体和漏洞。
分散的金融部门正以惊人的速度增长。三年前,DeFi locking的总价值仅为8亿美元。到2021年2月,这一数字已增至400亿美元;2021年4月达到800亿美元的里程碑;现在,它的价值已经超过1400亿美元。一个新市场的快速发展必然会吸引各种黑客和欺诈者的注意。
根据加密货币研究公司的报告,自2019年以来,由于黑客和其他漏洞攻击,DeFi领域已损失约2.849亿美元。从黑客的角度来看,在区块链生态系统上进行黑客攻击是致富的理想手段。因为系统是匿名的,他们可以赚钱,任何黑客都可以在受害者不知情的情况下对其进行测试和调整。2021年前四个月,亏损达到2.4亿美元。这些都是公案。我们估计实际损失达几十亿美元。
DeFi协议的钱是怎么被偷的?我们分析了数十起黑客攻击,并确定了导致黑客攻击的最常见问题。
滥用第三方协议和业务逻辑错误
任何攻击主要从对受害者的分析开始。区块链技术为自动调整和模拟黑客攻击场景提供了许多机会。为了快速隐藏攻击,攻击者必须具备必要的编程技能和智能合约工作原理的知识。佳能的黑客工具包允许他们从网络主版本下载完整的区块链副本,然后对攻击过程进行全面的调整,就像交易发生在真实的网络中一样。
接下来,攻击者需要研究项目的业务模型和所使用的外部服务。业务逻辑的数学模型和第三方服务的错误是黑客经常使用的两个问题。
智能合约的开发者在交易时通常比任何时候都需要更多的相关数据。因此,他们被迫使用外部服务,如Oracle机器。这些服务不是为在不受信任的环境中运行而设计的,因此使用它们意味着额外的风险。据统计(自2020年夏季以来),特定风险占损失比例最小——仅10次黑客攻击,总损失约5000万美元。
编码错误
智能合同在IT领域是一个相对较新的概念。虽然它们很简单,但智能合约的编程语言需要一个完全不同的开发范式。开发者通常根本不具备必要的编码技能,犯下严重错误,给用户造成巨大损失;
安全审计只能消除这些风险中的一部分,因为市场上大多数审计公司并不对他们的工作质量负责,而只对财务感兴趣。由于编码错误,超过100个项目被黑客攻击,导致总损失约5亿美元。一个突出的例子就是2020年4月19日的dforce黑客事件。黑客利用erc-777令牌标准的漏洞和一次重入攻击窃取了2500万美元。
闪贷、价格操纵和矿工罢工
提供给智能合约的信息仅在交易执行时相关。默认情况下,合同中包含的信息可能被外部操纵。这使得一系列的攻击成为可能。
闪贷是* * * * *的一种,但是借用的加密货币需要在同一笔交易中偿还。如果借款人未能归还资金,交易将被取消。这种贷款允许借款人获得大量加密货币,并用于自己的目的。通常,闪贷攻击涉及价格操纵。攻击者可以先在交易中大量出售借来的代币,从而降低其价格,然后以极低的价格进行一系列操作,再回购代币。
基于工作量证明一致性算法的Miner攻击类似于区块链闪电贷款攻击。这种攻击比较复杂,代价也比较大,但是可以绕过闪电贷的一些保护层。它是这样工作的。攻击者租用挖掘函数来形成一个只包含他需要的事务的块。在给定的街区,他们可以借用代币,操纵价格,然后归还借用的代币。因为攻击者独立形成进入区块的交易及其顺序,所以攻击实际上是原子性的(其他交易无法“嵌入”到攻击中),就像闪电贷款的案例一样。此类攻击已被用于攻击100多个项目,总损失约为10亿美元。
随着时间的推移,黑客的平均数量一直在增加。2020年初,盗窃金额达到数十万美元。到今年年底,这个数字已经上升到了几千万美元。
开发商不称职。
最危险的风险类别包括人为错误因素。人们指望DeFi来赚快钱。很多开发商资质很差,但还是想方设法匆匆上马项目。智能合约是开源的,所以很容易被黑客攻击和修改。如果原项目包含前三种漏洞,它们会扩散到数百个克隆项目。RFI safemoon就是一个很好的例子,因为它包含了100个项目的关键漏洞,导致了超过20亿美元的潜在损失。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"defi 协议,defi是不是跑路了":http://www.guoyinggangguan.com/qkl/186868.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
