DeFi 频遭攻击,真的足够「去中心化」吗?_SEA:Phoenix Defi Finance

DeFi——去中心化金融,不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与,DeFi利用了区块链的技术,逐渐发展出有别于传统金融的金融商品,疯狂受到追捧。根据DeFiPulse的数据,DeFi锁仓量已飙升了200%以上,从2021年1月份的$320亿到12月份的$980亿。DeFi作为去中心化世界的明星产物,凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。

不过,DeFi真的足够「去中心化」吗?

从协议层面以及交互方式来看,DeFi的确足够去中心化。但从一些攻击事件上看,DeFi似乎显得不那么去中心化。

?

DeFi协议Solv Vouchers发布V2.1新版本,推出全新交易市场:官方消息,DeFi协议Solv Vouchers发布V2.1新版本,Solv VouchersV2.1旨在满足项目团队灵活管理锁仓代币的需求,以及帮助潜在投资者管理投资额度,此次版本更新内容包括官网Overview数据展示、全新的额度票据交易市场、产品UI优化等。其中,Overview页面将会展示平台内锁仓资产总价值(TVL)、平台汇总数据、每个采用Voucher项目的综合数据以及平台最新活动记录。交易市场被划分为额度交易市场与票据展示市场两大板块。[2021/7/16 0:57:12]

2021年7月14日,波卡数字收藏品市场平台BondlyFinance遭到攻击,导致373,088,023美元的BONDLY代币从BondlyStakingRewards合约中转出,据官方调查,攻击者通过精心策划获得了属于Bondly首席执行官BrandonSmith的密码帐户的访问权限。密码帐户包含Smith的硬件钱包的助记符恢复短语,复制后允许攻击者访问BONDLY智能合约,以及被泄露的公司钱包。

Crypto.com推出基于以太坊的挖矿平台DeFiSwap:9月11日消息,加密货币借记卡公司Crypto.com推出基于以太坊的去中心化币币交易和挖矿平台DeFiSwap,目前支持WETH、USDT、USDC、DAI、LINK、COMP、CRO之间的代币兑换。为资金池提供流动性可获得0.3%币币交易费用,同时可通过锁仓平台币CRO来获取奖励。Crypto.com表示,将在产品上线的前14天提供最少1400万枚CRO(每天100万枚CRO)的奖励。[2020/9/11]

有趣的是,该黑客似乎在四个月后又以相似的方式攻击了另一个DeFi项目。

2021年11月5日,DeFi协议bZx发推称控制Polygon和BSC部署的私钥已被泄露,导致资金损失。据官方调查,黑客使用的钱包之一参与了BondlyFinance的攻击。同时,本次漏洞利用与BondlyFinance的非常相似:黑客获得了开发人员的密码,然后从协议中操纵了一个智能合约。不久,bZx在更新的事故报告表示:“我们聘请了一家名叫Kaspersky的安全公司,该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织Lazarus执行的。”据慢雾AML旗下反追踪系统MistTrack?分析,攻击者初始资金来自Tornado.Cash转入的0.9ETH,接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为ETH,最后通过Tornado.Cash转出10960ETH,以太坊部分的洗币基本完成。

Berzeck:Defi热浪持续,不要盲目跟随热点:7月30日消息,今日BitZ举行了首期线上系列直播栏目“有Z有问”,BitZ官方与NerveNetwork发起人/NULS社区理事Berzeck(简称BZ)进行了AMA分享,主题为:Defi热浪持续,看跨链黑马Nerver如何发力。BZ称Nerve不管是异构跨链协议、DEX、跨链资产质押或者后期的稳定币协议,都是当前行业内最火的概念,NVT为DeFi而生。BZ提醒广大投资者,随着DeFi热浪的持续,市场上涌现了数百上千个DeFi项目,提醒用户在选择项目时,建议不要盲目跟随热点,但一定要对优质项目保持关注,抓住一个好的时机参与进去。

有Z有问是一款全新的BitZ交易平台的线上直播栏目,平台会不定期邀请优质的项目方、行业内前辈来社区与官方进行交流。[2020/7/30]

动态 | 以太坊DApp生态借稳定币和DeFi项目重焕新生:据DAppTotal.com 数据显示,以太坊自去年年底类DApp火爆以来,一直处于EOS和TRON之后,而对比09月03日数据发现,每日活跃用户量:EOS 112,701个,ETH 80,206个,TRON 16,550个,以太坊活跃用户量已远超TRON,逼近EOS;每日链上交易额:ETH 874万美元,EOS 808万美元,TRON 547万美元,以太坊每日链上交易额数据已经全面超越EOS和TRON。DAppTotal数据分析师认为:自5月份以来,以太坊DApp活跃用户量和交易额便开始稳步爬升,主要是由两方面原因驱动:1、Tether发行USDT的重心自4月份以来逐步自OMNI网络向以太坊网络偏移,4月份以来新增发超15亿ERC20-USDT;2、DeFi类项目超越游戏类DApp成以太坊DApp最大的新增用户来源,而从8月交易额来看,仅DeFi类项目就占整个以太坊DApp的65.74%。[2019/9/4]

以上两个事例都是无关合约问题,而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期,私钥泄露似乎变得非常热门:Levyathan损失150万美元、8ightFinance损失175万美元、VulcanForged损失1.4亿美元……我们不禁想,这是不是表示着线下实体实际掌管着控制权呢?

除了钓鱼攻击,前端攻击也是引发DeFi安全问题的高危据点。

2021年12月2日,据官方Discord消息,去中心化组织BadgerDAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。12月9日,Badger?发布了详细的事故报告,报告称此次事件是CloudflareWorkers上的恶意注入代码片段导致的。CloudflareWorkers是一个运行脚本的界面,这些脚本在流经Cloudflare代理时对Web流量进行操作和更改。攻击者在Badger工程师不知情或未授权的情况下获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易,就会将代币授权给攻击者,然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾AML旗下反追踪系统MistTrack分析,黑客将部分获利的加密货币换成renBTC,并通过renBTC将约2100BTC跨链转移到14个BTC地址,目前暂无异动。

在DeFi世界,合约一旦部署不可篡改不可撤回,理论上来说是不会受到人为的干预,这点确保了其去中心化的特点,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但是仍存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视,这些错误因素使得攻击者饱餐了一顿又一顿。

2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平台Miso的前端遭受攻击。承包商的一名匿名员工将恶意代码注入Miso前端,把拍卖钱包地址替换成了自己的钱包地址,导致864.8ETH被盗。

当前端问题开始影响资金的安全性,作为用户不得不深思如何才能做到安全地参与DeFi项目,简直如履薄冰。

总结

不管怎样,“DeFi是否完全去中心化”这个问题也许会一直存在。与其说去中心化是DeFi最大的特性,不如说是DeFi世界的终极目标。而不论是作为用户、审计机构还是作为项目方,我们经历过如此多的DeFi安全事件后,是否仍然只将注意力聚焦到智能合约上呢?答案不言而喻。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-6:694ms