金色观察 | TRM Labs:2022年DeFi和跨链桥攻击总结_区块链:泰达币区块链交易查询

文/TRMLabs,译/金色财经xiaozou

根据TRM?Labs对黑客事件的回顾,针对DeFi项目和跨链桥的黑客攻击让加密货币生态系统今年成为黑客攻击创纪录的一年。截至2022年11月,被盗资金已超过36亿美元。

DeFi和非DeFi黑客攻击窃取的总金额

几个数字

3.5:1——这是针对DeFi的黑客攻击与非DeFi攻击的比例。?

80——这是今年由于DeFi攻击导致的加密货币被盗总额的百分比,数额高达30亿美元。

11x——跨链桥黑客攻击平均规模大约是非跨链桥攻击的11倍。针对DeFi支持的跨链桥黑客攻击虽不如针对其他目标的黑客攻击那么常见,但平均规模要大得多。

金色沙龙 | 黄天威:金融领域的细分领域都是逐步从散户主导到机构主导:在今日举行的金色沙龙中,比特时代创始人黄天威表示,区块链行业现在已经出现了很多衍生品,杠杆期权期货合约等等。现在呢,还没有出现一些像传统金融领域的里面的那种,掉期合约远期合约,现在暂时还没有出现。那区块链行业要发展,或者说任何一个金融领域的细分领域,它的发展趋势,其实都是逐步的,从散户主导到机构主导,散户跟机构不同,散户更多的是追逐利润最大化,面对风险的时候考虑的比较少。机构就相对比较稳妥,因为它有资金成本,有他的兜底压力,所以机构要求很稳妥。所以当一个市场发展越来越成熟的时候,参与者越来越多的时候,需求越来越多样化的时候,整个市场就会诞生出很多不同的一些衍生品工具来满足机构的需求。[2020/2/26]

13——这是截至2022年11月,TRM?Labs检测到的跨链桥黑客攻击数量,失窃金额近20亿美元。

金色财经独家分析 比特币支付仍需解决稳定问题:即日起,Bitflyer为运营“湘南美容诊所”的SBC medical group提供比特币支付服务。日本国内74家诊所均可以使用比特币支付服务。金色财经独家分析,2017年比特币价格也不断飙涨,在现实生活里,确实也有越来越多的消费场所,开始接受比特币或虚拟货币支付,例如软件巨头微软自2014年以来,这家软件巨头便开始允许用户在他们的微软账号中添加比特币资金,并用于软件支付。美国电子产品零售商Newegg将其比特币整合支付扩展至其加拿大平台,让数百万加拿大客户可用比特币支付产品。南非第二大连锁超市Pick n Pay也宣布开放虚拟货币支付。不过,因为价格波动太大、交易手续费高等问题一度对比特币支付造成困扰,例如微软就一度因为比特币价格的波动暂停比特币支付。比特币支付一直标榜零手续费、快速、可靠等优点,然而在近年来随着加密货币的火热交易量上涨,导致了手续费越来越贵,到账速率也不是很理想,再加上2017年年底比特币价格快速走高,2018年第一季度又经历大幅下跌,因此比特币如何才能成为一种大众化的支付方式仍然等待解决。[2018/4/9]

9/10——截至当前,2022年10个最大的黑客攻击中有9个是针对DeFi的,其中有5个是针对跨链桥的。如能预防最大的9次DeFi攻击,将使65%的资金免于被盗。

金色财经独家分析 重庆多角度支持区块链产业发展:4月8日,在涪陵区招商引资项目集中签约活动上,重庆数资区块链研究院与重庆海林生猪签订协议,联合打造“区块链+黑猪”溯源系统。金色财经独家分析,重庆在区块链领域表现积极,2017年11月,重庆市经信委出台《关于加快区块链产业培育及创新应用的意见》,意见提出,到2020年,重庆将打造2到5个区块链产业基地,引进和培育区块链国内细分领域龙头企业10家以上、有核心技术或成长型的区块链企业50家以上,引进和培育区块链中高级人才500名以上,努力建成中国重要的区块链产业高地和创新应用基地。去年底,重庆首个区块链产业创新基地在渝中区正式揭牌,截至目前已吸引了十余家区块链企业正式入驻。在人才引进和培育方面,重庆市经信委《关于加快区块链产业培育及创新应用的意见》里提出面向国内外引进区块链相关领域的领军人才,加强与国内外顶尖技术团队和重点培训机构合作,定向培养区块链高端人才和专业技术人才。对于区块链,重庆从政策上、基础建设上、人才支撑多方面对区块链产业进行了支持。[2018/4/9]

金额巨大和安全漏洞使DeFi成为极具吸引力的目标

金色财经独家整理:Cointelegraph作者分析上周数字货币走势 揭示影响因素长短期相互转化:上周,诸多关键因素影响者加密货币投资者关于牛熊市的预期。技术分析来看,大多加密货币呈现下跌的走势,跌破200日均线,而一些利好因素又使市场经历了强波动。短期看,三大顶尖广告平台(谷歌,脸书,推特)均禁止加密货币相关广告、币安出走马耳他是看跌两个主因,而G20会议成果的政策放松则是看涨的主因。但文章也揭示了短期因素在长期的相反作用:禁止广告将起到筛选和减少欺诈的作用,长期利好投资者信心,而G20暂时政策上的放松也并未排除可能在远期某一时刻进行更严格的监管措施的可能。[2018/3/27]

据Defilama数据,DeFi的总锁定价值在过去两年里呈爆炸式增长,从2020年10月的约100亿美元增长到2022年11月的420亿美元。Defilama数据同样显示,在11月底的7天里,桥交易量约为13亿美元。

除了规模庞大外,DeFi项目和跨链桥的其他两个关键特征使它们成为潜在黑客的理想目标,也更容易遭受攻击:

复杂性:DeFi生态系统复杂且相互关联,这让黑客以开发人员无法预料或测试的方式利用漏洞。例如,在闪电贷款攻击中,黑客可以使用与目标无关的服务来操纵资产价格或放大攻击对主要目标的影响。

透明度:DeFi项目自然非常重视透明度,通常构建在开源代码之上。这使得任何人,无论是安全研究人员还是黑客,都可以查看代码并搜寻可利用的漏洞。

一些黑客还声称,可以在不违反法律的情况下操纵和攻击DeFi项目。这可能导致潜在攻击者将DeFi项目视为比CeFi目标风险更低的项目。

2022年10月,基于Solana的平台MangoMarkets损失了约1.15亿美元,原因是有个团队操纵了其价格预言机。自称为黑客领袖的AvrahamEisenberg后来透露了自己的身份,并将其团队活动描述为“利润丰厚的交易策略”,而非黑客行为。Eisenberg是否会被起诉,目前尚不清楚。

MangoMarkets黑客发布推文称其行为是合法的

DeFi黑客攻击包括基础设施攻击、代码漏洞攻击和协议攻击

到目前为止,基础设施攻击、代码漏洞攻击和协议攻击占今年黑客窃取资金总量的大部分。一些黑客还组合使用这些攻击类型来窃取资金。

基础设施攻击让黑客侵入目标的安全控件,进行未经授权的交易,例如将资金从受害者地址发送到黑客所控地址。这种攻击类型的常见方法有窃取私钥、助记词,及前端攻击。

针对智能合约的代码漏洞攻击使攻击者能够在未经授权的情况下从DeFi协议中移除资金。在智能合约代码漏洞攻击中,黑客可能会使用已发现的漏洞对协议展开攻击。今年早些时候,Solana的wormhole桥成为黑客攻击的目标,导致该DeFi协议中超过3亿美元被盗取。

协议攻击是一种业务逻辑攻击,主要结果是攻击者可以操纵代币的价格,并创造套利机会,在一个市场低买,在另一个市场高卖。闪电贷款和治理操纵是其中最常见的协议攻击类型。

CeFi的失败可能助长DeFi攻击

最近FTX和其他备受瞩目的中心化加密公司的失败,可能会使人们对DeFi解决方案越来越感兴趣。如果投资者因此大批涌向DeFi,可能会进一步助长黑客的攻击动机。

为了降低这种风险,DeFi项目应该求助于传统的bug赏金计划、智能合约安全审计和商业安全解决方案。

传统的bug赏金计划给黑客和安全研究人员发放奖励,激励他们发现漏洞并将漏洞报告给DeFi项目。然后就可以在攻击利用该漏洞之前修补该漏洞。相比之下,加密赏金计划在攻击后向黑客支付资金鼓励其归还一定比例的被盗资金,这实际上会激励黑客的攻击行为。

安全审计可以发现DeFi项目顶梁柱——智能合约——中的漏洞,允许项目在黑客得以利用这些漏洞之前将其修复。但是,审计并不是万无一失的,应该与其他安全控件和策略合并使用。

新的商业解决方案正在开发,以提高整个DeFi生态系统的安全性。特别是当与现有的控件相结合时,创新的安全产品可能会提供更好的DeFi安全性,尽管现在判断其效力还为时过早。

当结合使用时,这些控件和技术可以缩小DeFi协议的攻击面。随着DeFi的不断增长,黑客将寻求更大胆的方法来利用其弱点和漏洞——因此,保持持续的警惕性必不可少。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-7:666ms