DeFi 世界的安全問題頻發，黑客賞金獵人平臺 Immunefi 能夠解決嗎？_IMM:Pyrrho DeFi

作者：老雅痞

三年前，鎖定在DeFi的加密貨幣總價值僅有8億美元。到2021年2月，這個數字已經增長到400億美元；2021年4月，它達到了800億美元的里程碑；而現在，它已經超過2460億美元。這個新興賽道捕捉了資本流動性的價值得到快速增長。

從黑客的角度來看，對defi生態系統的攻擊是一種理想并且快速的致富手段，這里顯然成為了各種黑客和欺詐者的游樂園。CipherTrace在最新的《加密資產犯罪和反洗錢報告》中指出，截至7月底，與DeFi相關的黑客事件已經讓用戶們損失了3.61億美元。他們的主要手法是什么？而我們又該如何應對。

DeFi協議的資金是如何被盜的？

REENTRANCYATTACK(重入攻擊）

一個鮮明的例子是發生在2020年4月19日的DForce黑客事件。

在defi協議上，首先智能合約有以下四個提款步驟：

DeFi借貸協議Moola Market遭黑客攻擊，損失840萬美元:金色財經報道，北京時間10月19日凌晨，基于Celo網絡的去中心化金融 (DeFi) 借貸協議Moola Market在遭遇840萬美元的黑客攻擊后暫停運營。

根據The Block團隊的分析，利用者使用了來自幣安的243,000個CELO代幣，然后將60,000個CELO借給Moola，借入180萬個MOO作為抵押品。利用剩余的CELO抬高MOO的價格，并繼續使用借來的MOO將其用作抵押品并借入所有其他代幣。攻擊者獲得了880萬CELO（價值650萬美元）、765,000 cEUR（價值70萬美元）、180萬MOO（價值60萬美元）和644,000 cUSD（價值60萬美元）。

Moola Market表示，其團隊正在積極調查此事件，平臺上的所有活動均已暫停。同時，Moola建議用戶不要交易相關代幣。[2022/10/19 17:31:32]

用戶調用合約，準備從合約中提現所有資金。

DeFi隱私橋Aztec聚合器ZK.Money總存儲量已超1500ETH:7月13日消息，據Dune Analytics的數據顯示，DeFi隱私橋Aztec聚合器ZK.Money總存儲量已超1500枚ETH，已有6873單一用戶地址使用，平均存儲0.19ETH，最大單筆存儲為32.01ETH。[2022/7/13 2:09:49]

合約檢查用戶在合約中是否有資金。

合約將用戶在合約中的資金發送給用戶。

合約自行更新，用戶在合約中沒有資金。

重入漏洞允許黑客在合約完全執行之前再次調用合約。在上面的例子中，攻擊者可以在第三步和第四步之間重新進入合約，并在用戶余額更新之前再次退出。通過重復這個過程，他們可以從合約中提取所有現有的資金，在一個循環中反復提取資金從而盜取了2500萬美元。

FLASHLOANATTACK

最近，閃電攻擊已經成為最流行的黑客攻擊方法。閃電貸款是一種只在一次區塊鏈交易內有效的貸款，沒有違約風險。它意味著貸款人同意向借款人提供任何金額的貸款，前提是在給定的時間內將該金額歸還貸款人，否則貸款人可以回滾整個交易。黑客規避了貸款機制，這帶來了各種漏洞，如資產價格操縱。?

報告：2020年DeFi攻擊事件造成損失逾2.5億美元:據《派盾2020年年度數字貨幣反洗錢報告》顯示，DeFi攻擊事件達到60起，損失逾2.5億美元。其中，有?少10起為閃電貸攻擊，包括bZx、Balancer、Harvest、Akropolis、CheeseBank、ValueDeFi和OriginProtocol等多個DeFi項目遭到攻擊，至少5起為重入攻擊，包括Uniswap、Lendf.Me、Sushiswap、Akropolis、OriginProtocol。[2021/1/14 16:10:00]

閃電貸款攻擊是對某一平臺的智能合約安全性的濫用，攻擊者通常會借入大量不需要抵押的資金。然后他們在一個交易平臺操縱加密貨幣資產的價格，并迅速在另一個交易平臺轉賣

智能合約的漏洞

編碼錯誤產生于不小心執行的智能合約安全審計或未檢查的智能合約漏洞和脆弱性。令人遺憾的是，許多區塊鏈項目的創始人決定在測試覆蓋率不足的情況下運行他們的項目，并忽視了安全審計的相關性，這種疏忽導致被攻擊的可能性增加，給投資者帶來損失。?

幣贏DeFi專區BOND上線5小時后 漲幅增至97.88%:據官方消息，幣贏DeFi專區BOND上線5小時后，漲幅達97.88%，目前價格138.5189USDT。

據悉，BarnBridge是一個波動導數協議。BOND令牌將是系統的管理令牌，使BOND持有人有權對平臺的更新進行投票。結合治理機制和激勵持有人，它將作為使系統中不同利益相關者保持一致的一種手段。BOND也將用作安全和策略管理介質。DeFi協議成功的關鍵在于分散激勵的自動化治理，以激勵參與者并實現安全性，可持續性和參與者福利。[2020/10/26]

價格預言機的操縱：代表例子MakerDao

智能合約的執行依賴于價格oracle所提供的準確數據。然而，獲得這些價格數據并不像人們希望的那樣安全和可靠。如果oracle提供不準確的數據，智能合約將導致交易錯誤的執行。這一事實有利于那些試圖操縱價格對自己有利的黑客。操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊，其本質是對預言機進行操控，造成內外價格差并利用閃電貸等新型金融工具從中套利。

Coinsilium計劃在戰略評估中將重點轉移到DeFi和加密金融:Coinsilium Group Limited（LON:COIN）表示，正在對其業務進行戰略評估，以利用“新興的DeFi和加密金融行業的大量機會”，并重新調整自己，參與最近在新加坡成立的IOV合資企業。（Proactiveinvestors）[2020/7/13]

應運而生的Defi漏洞賞金平臺

傳統的網站和應用程序Bug賞金平臺，如HackerOne和BugCrowd，在這種舊世界的模式中取得了成功。但現有的"Web2.0"bug賞金和與區塊鏈和加密貨幣相關的"Web3.0"bug新時代之間存在巨大差異。在去中心化金融時代，Web3.0漏洞懸賞的關鍵性質是與實際貨幣價值相關，而不僅僅是軟件漏洞。

什么是Immunefi?

Immunefi于2020年12月推出，通過Bug賞金提供智能合約安全。更重要的是，他們已經宣稱是世界上首屈一指的bug賞金平臺!Immunefi有遏制DeFi黑客攻擊問題的野心。為了實現這一目標，它為區塊鏈項目提供咨詢服務、漏洞檢測、項目管理，以及最重要的是，提供一支白帽黑客的軍隊。Immunefi尋求將DeFi協議與黑客聯系起來，以保護平臺和用戶的資產。

什么是漏洞（Bug)賞金？

漏洞賞金計劃為發現智能合約和應用程序的潛在漏洞的安全研究人員提供獎勵。此外，賞金激勵白帽黑客發現并向項目報告漏洞，而項目則根據漏洞的嚴重程度向他們支付報酬。

傳統bug賞金面臨的困境

經濟激勵

雖然世界上把黑客分為白帽黑客和傳統黑客，但大多數人都在灰色地帶活動。舉個例子：有一個發現了可以快速賺取500萬美元的漏洞的黑客，他自身在巨大的利益面前會陷入道德的困境，他是做正確的事與有bug的平臺談判，以此獲得5千美元的bug賞金？還是他自己對這個bug采取行動？如果沒有一個一致的、公平的白帽子獎勵系統，人性黑暗面的誘惑將永遠存在。

報告

Defi項目通常沒有人負責處理bug賞金事件。因此，如果一個白帽試圖報告一個漏洞，試圖找到決策人。另外，如果CTO收到了來自外部的風險提示，說他們的代碼有缺陷，他們的自尊心很容易占據上風，賞金獵人并不討好。即使發現bug全部過程都被通過適當的渠道報告給公司負責人，也不能保證公司會獎賞。財務部門可能還會與開發團隊對漏洞賞金的價值產生分歧，整個過程可能會陷入一系列的死胡同。

Immunefi的賞金計劃

Immunefi平臺代表他們的白帽子和項目團隊處理/溝通和談判，這大大提高了效率壓縮了雙方的時間成本，Immunefi讓黑客保持匿名，并且不要求提供KYC文件。

Immunefi平臺已經發布一些有利可圖的賞金，其客戶Astroport提供高達300萬美元的獎勵。其他引人注目的賞金來自Celer，價值高達20萬美元，xDAI高達200萬美元，Sushi發布的125萬美元賞金。

Immunefi目前有7100萬美元的懸賞金，它想把獵取bug的工作從一種愛好變成一種可行的職業。到目前為止，該平臺已經支付了1000多萬美元，為客戶避免了200億美元的資金受到損失。

如何啟動賞金計劃？

在客戶填寫了Immunefibug賞金登記表后，他們會收到一份調查問卷

Immunefi開始根據這些問題的答案起草一份bug賞金計劃，該草案之后會被發送給客戶進行審查，修改完成后，該程序將被移交給Immunefi的運營專家。運營專家與項目團隊合作，確定賞金活動的啟動時間和賞金的公關/營銷細節以及費用和支付如何進行。

在Immunefi上發布一個bug賞金不需要預付費用。當黑客發現真正的漏洞時，客戶只需在bug賞金的基礎上向Immunefi支付10%的績效費用。

由于defi領域的快速發展，隨之而來的安全問題使大多數平臺和用戶資金受到損失，這也許可以解釋為什么Immunefi，DeFi的新興bug賞金和安全服務平臺之一能夠迅速捕捉價值，目前已經融資了550萬美元的資金，由ElectricCapital領投，參與的還有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他個人投資者。

Amador在接受TechCrunch采訪時補充說："現實情況是，Web3是一個對抗性更強的環境，這意味著漏洞賞金過程的每個部分都與以前不同，從報告的提交和處理，到報告的驗證，再到支付的談判都是如此。傳統的Web2bug賞金是一種方便的錯誤修復工具，而我們的Web3bug賞金則是DeFi項目的一個更為關鍵的應急系統。

隨著DeFi生態積木不斷豐富壯大，安全問題一直是高懸在頭頂上的達摩克里斯之劍，DeFi被黑客攻擊的事件仍然不會停止，未來還會繼續發生，這一點無需贅述。

Tags：EFIDEFIDEFIMMbeFITTER Healthdefi去中心化交易所下載Pyrrho DeFiImminentVerse

PEPE幣