DeFi——去中心化金融,不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi利用了區塊鏈的技術,逐漸發展出有別于傳統金融的金融商品,瘋狂受到追捧。根據DeFiPulse的數據,DeFi鎖倉量已飆升了200%以上,從2021年1月份的$320億到12月份的$980億。DeFi作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。
不過,DeFi真的足夠「去中心化」嗎?
從協議層面以及交互方式來看,DeFi的確足夠去中心化。但從一些攻擊事件上看,DeFi似乎顯得不那么去中心化。
2021年7月14日,波卡數字收藏品市場平臺BondlyFinance遭到攻擊,導致373,088,023美元的BONDLY代幣從BondlyStakingRewards合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬于Bondly首席執行官BrandonSmith的密碼帳戶的訪問權限。密碼帳戶包含Smith的硬件錢包的助記符恢復短語,復制后允許攻擊者訪問BONDLY智能合約,以及被泄露的公司錢包。
Stellar-Polygon跨鏈橋上線,以擴展XLM在DeFi中的使用:9月23日消息,面向加密教育和開發的多用途平臺NewsCrypto(NWC)獲得了Polygon的一筆grant,用于創建兩個網絡之間的互操作性協議。根據一份新聞稿,兩種主流智能合約環境Stellar(XLM)和Polygon(MATIC)將在新的跨鏈橋啟動后實現100%互操作。NewsCrypto將推出一種機制,允許將Wrapped XLM代幣集成到Polygon上的DeFi中。(U.Today)[2021/9/23 17:01:58]
有趣的是,該黑客似乎在四個月后又以相似的方式攻擊了另一個DeFi項目。
2021年11月5日,DeFi協議bZx發推稱控制Polygon和BSC部署的私鑰已被泄露,導致資金損失。據官方調查,黑客使用的錢包之一參與了BondlyFinance的攻擊。同時,本次漏洞利用與BondlyFinance的非常相似:黑客獲得了開發人員的密碼,然后從協議中操縱了一個智能合約。不久,bZx在更新的事故報告表示:“我們聘請了一家名叫Kaspersky的安全公司,該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織Lazarus執行的。”據慢霧AML旗下反洗錢追蹤系統MistTrack?分析,攻擊者初始資金來自Tornado.Cash轉入的0.9ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為ETH,最后通過Tornado.Cash轉出10960ETH,以太坊部分的洗幣基本完成。
58學院直播間:DeFi未來的發展難題在于能否建立落地應用:12月17日下午6點,58學院第二十六期AMA《走進DeFi的真實世界》邀請到了水橋區塊鏈的市場總監Annie做客直播間,在談到DeFi未來發展的難題時,Annie表示,任何事物都猶如硬幣,正反兼具,機遇與挑戰并存。目前DeFi已經進入了冷靜期,未來投資者將關注DeFi是否能有落地應用項目,是否能建立長期穩定的盈利模式,真實場景+落地應用將是DeFi未來發展的重點。只有真正實現區塊鏈技術落地的DeFi應用,才能正面迎接時代挑戰,把握時代機遇。[2020/12/17 15:34:44]
Gate.io“理財寶”上線USDG鎖倉理財第二期-DeFi流動性挖礦賺USDG:據官方公告,“Gate.io 理財寶”將于10月6日(明日)中午12:00開啟《USDG鎖倉理財-DeFi流動性挖礦賺USDG(第二期)》理財項目,總倉位200萬USDG,鎖倉7天。
Gate.io提示:持倉理財是定期鎖倉理財,請務必了解清楚,謹慎參與。詳情見原文鏈接。[2020/10/5]
以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期,私鑰泄露似乎變得非常熱門:Levyathan損失150萬美元、8ightFinance損失175萬美元、VulcanForged損失1.4億美元……我們不禁想,這是不是表示著線下實體實際掌管著控制權呢?
STP即將開啟Defi生態計劃 推出新產品和STPT激勵計劃:據STP(Standard Tokenization Protocol)官方公告,STP項目將開啟圍繞培養Defi業態的生態計劃。其中包含將于7月初上線的DeFi聚合器“DeFiZone”,DefiZone將以“為用戶聚合、篩選更優回報率、匹配性的Defi產品”為目標。作為該計劃的一部分,STP團隊宣布拿出5000萬STPT通證,作為激勵,發放給整合進入DeFiZone和STP生態的DeFi項目及團隊。目前該激勵計劃已開放申請。[2020/6/17]
除了釣魚攻擊,前端攻擊也是引發DeFi安全問題的高危據點。
2021年12月2日,據官方Discord消息,去中心化組織BadgerDAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。12月9日,Badger?發布了詳細的事故報告,報告稱此次事件是CloudflareWorkers上的惡意注入代碼片段導致的。CloudflareWorkers是一個運行腳本的界面,這些腳本在流經Cloudflare代理時對Web流量進行操作和更改。攻擊者在Badger工程師不知情或未授權的情況下獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權給攻擊者,然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML旗下反洗錢追蹤系統MistTrack分析,黑客將部分獲利的加密貨幣換成renBTC,并通過renBTC將約2100BTC跨鏈轉移到14個BTC地址,目前暫無異動。
在DeFi世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。
2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平臺Miso的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso前端,把拍賣錢包地址替換成了自己的錢包地址,導致864.8ETH被盜。
當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與DeFi項目,簡直如履薄冰。
總結
不管怎樣,“DeFi是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi最大的特性,不如說是DeFi世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的DeFi安全事件后,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。
參與DeFi項目本質上是把手中的資產轉移或授權給DeFi項目方,存在個人極大程度上不可控的安全風險。那我們普通用戶能做什么?慢霧為您準備了一份“DeFi資產安全解決方案”,點擊原文即可查閱。
譯者:Evelyn、Aaron|W3.HitchhikerDeFifortheMetaverse Introduction自2018年以來,去中心化金融的概念一直在加密貨幣社區中穩步發展.
1900/1/1 0:00:00占據NFT市場90%以上份額的OpenSea自傳出有IPO計劃之后,用戶對這個起源于加密領域的NFT交易平臺頗有不滿,他們認為OpenSea平臺利潤來源于用戶每筆NFT交易手續費的貢獻.
1900/1/1 0:00:00第二層擴展的概念很早就有了,它是對區塊鏈主鏈交易性能進行提升和擴展的一種技術方案。第二層擴展的核心思想是盡可能將高頻、繁瑣的交易從區塊鏈主鏈拿到鏈下,在鏈下的其它系統中執行,以減少在主鏈上的資源.
1900/1/1 0:00:00編者按:作為聚集于產品和技術的區塊鏈媒體,橙皮書最看重的一個方向,是行業早期的基礎設施建設。但區塊鏈行業實在是太早了——早到你想真正動手做出點什么之前,往往需要先問一句:我們到底需要什么?我們相.
1900/1/1 0:00:00參與2021年初NFT購買狂潮的社區相信,用于制造NFT的區塊鏈技術給他們帶來了巨大的好處。區塊鏈是一個防篡改的賬本,可以認證和定義原創數字作品,隨著NFT作品的永久交易,它可以為藝術家提供版稅.
1900/1/1 0:00:00比特幣又又又……跌了。近日,比特幣迎來“瀑布式”暴跌,1月21日至1月24日間,由4.3萬美元左右一路下挫到3.3萬美元左右,4個交易日累計下跌超23%,創下自2012年以來的最差年度開局表現.
1900/1/1 0:00:00