DeFi協議是如何被黑客攻擊的？_EFI:Kong Defi

對幾十次黑客攻擊的分析確定了去中心化金融領域的主要載體和典型漏洞。

去中心化金融領域正在以驚人的速度增長。三年前，DeFi鎖定的總價值僅為8億美元。到2021年2月，這一數字已增至400億美元；2021年4月，它達到了800億美元的里程碑；現在，它的價值已經超過1400億美元。一個新市場的如此快速增長，肯定會吸引各種黑客和欺詐者的注意。

根據加密貨幣研究公司的一份報告，自2019年以來，DeFi領域因黑客和其他漏洞攻擊而損失了約2.849億美元。從黑客的角度來看，對區塊鏈生態系統的黑客攻擊是一種理想的致富手段。因為這種系統是匿名的，他們有錢可賺，而且任何黑客都可以在受害者不知情的情況下進行測試和調整。在2021年的前四個月，損失達到了2.4億美元。而這些只是公開知道的案例。我們估計真正的損失達到了數十億美元。

DeFiBox安全提醒：BSC鏈上多個項目遭DNS劫持:新加坡時間3月15日晚，BSC（幣安智能鏈）上多個DeFi協議網站受到DNS攻擊，其中包括Cream Finance和BSC頭部DEX PancakeSwap，攻擊者通過網站請求用戶提交個人私鑰或助記詞，有關項目團隊已通過推特提醒用戶不要訪問網站、不要提交私鑰等信息。

據了解，DNS劫持是互聯網攻擊的一種方式，通過攻擊域名解析服務器（DNS），或偽造域名解析服務器（DNS）的方法，把目標網站域名解析到錯誤的IP地址從而實現用戶無法訪問目標網站的目的或者蓄意或惡意要求用戶訪問指定IP地址（網站）的目的。

DeFiBox提醒廣大用戶，慎重進行DeFi協議合約操作，暫不要訪問有關風險網站。同時需檢查是否存在相關協議的無限授權情況，任何情形下都不要泄漏助記詞信息，防范DNS攻擊帶來的安全風險。[2021/3/16 18:47:07]

DeFi協議的錢是如何被盜的？我們分析了幾十起黑客攻擊事件，確定了導致黑客攻擊的最常見問題。

第三季度DeFi總交易量的96％屬于以太坊:DappRadar的第三季度報告稱，DeFi領域幾乎所有交易量都屬于以太坊。

報告顯示，今年第三季度DeFi的交易量達到1250億美元，自2020年第二季度以來增加了1,130億美元。 總交易量的96％發生在以太坊區塊鏈上。

報告稱，以太坊智能合約鎖定的總價值也超過了100億美元，其中Uniswap，MakerDAO和Curve處于領先地位。 如今，DeFi智能合約的總鎖定金額為108.2億美元。 今年6月份，它的價值僅約為10億美元。[2020/10/12]

濫用第三方協議和業務邏輯錯誤

Framework Labs聯合創始人：接下來6個月非以太坊DeFi將會有可行的機會:Framework Labs聯合創始人Michael Anderson接受采訪時表示：“我認為在接下來的六個月里，非以太坊DeFi將會有可行的機會。這是一場建立從以太坊到非以太坊DeFi協議的可行橋梁的競賽。目前Polkadot（波卡）與以太坊之間還沒有橋梁。盡管波卡甚至是Cosmos或Substract都在構建DeFi平臺和生態系統，但真正的DeFi需要一座通往以太坊的橋梁。所以，這是第一位。第二，你還需要有一個以太坊的Layer 2解決方案，可以非常徹底地解決可擴展性問題。這兩點就像是一場賽馬。事實上，我打賭Layer 2解決方案會在跨鏈橋梁啟用之前盡快解決很多主網核心問題。我想將會有新方法來創建以太坊無法創建的DeFi，但我確實認為以太坊是DeFi將繼續存在的地方。”（Cointelegraph）[2020/9/12]

任何攻擊都主要從分析受害者開始。區塊鏈技術為自動調整和模擬黑客攻擊的場景提供了許多機會。為了使攻擊快速而隱蔽，攻擊者必須具備必要的編程技能和智能合約工作原理的知識。黑客的典型工具包允許他們從網絡的主要版本中下載自己的區塊鏈的完整副本，然后對攻擊過程進行全面調整，就好像交易發生在真實的網絡中一樣。

當前DeFi中鎖定資產總價值達46.08億美元:金色財經報道，據DeBank數據顯示，DeFi中鎖定資產總價值達46.08億美元，Maker以10.4億美元排在首位、Compound鎖定資產總價值為8.14億美元、Synthetix鎖定資產總價值5.78億美元。

注：總鎖倉量（TVL）是衡量一個DeFi項目使用規模時最重要的指標，通過計算所有鎖定在該項目智能合約中的ETH及各類ERC-20代幣的總價值（美元）之和而得到。[2020/8/4]

接下來，攻擊者需要研究項目的業務模式和使用的外部服務。業務邏輯的數學模型和第三方服務的錯誤是最常被黑客利用的兩個問題。

智能合約的開發者在交易時需要的相關數據往往超過他們在任何特定時刻可能擁有的數據。因此，他們被迫使用外部服務——例如，預言機。這些服務并不是為在去信任的環境中運作而設計的，所以它們的使用意味著額外的風險。根據一個統計數據，既定類型的風險占損失的比例最小——只有10次黑客攻擊，造成的損失總額約為5000萬美元。

編碼錯誤

智能合約在IT領域是一個相對較新的概念。盡管它們很簡單，但智能合約的編程語言需要一個完全不同的開發范式。開發人員往往根本不具備必要的編碼技能，并犯下嚴重錯誤，導致用戶的巨大損失。?

安全審計只能消除這類風險的一部分，因為市場上的大多數審計公司對他們的工作質量不承擔任何責任，只對財務方面感興趣。由于編碼錯誤，超過100個項目而被黑客攻擊，造成的總損失約為5億美元。一個鮮明的例子是發生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代幣標準中的一個漏洞，結合重入攻擊，偷走了2500萬美元。

閃電貸、價格操縱和礦工攻擊

提供給智能合約的信息只在執行交易時相關。在默認情況下，合約不能幸免于對其中包含的信息進行潛在的外部操縱。這使得一系列的攻擊成為可能。

閃電貸是一種沒有抵押物的貸款，但需要在同一筆交易中歸還所借的加密貨幣。如果借款人未能歸還資金，交易將被取消。這種貸款允許借款人收到大量的加密貨幣并將其用于自己的目的。通常情況下，閃電貸攻擊涉及價格操縱。攻擊者可以先在交易中賣出大量借來的代幣，從而降低其價格，然后在買回代幣之前，以非常低的價值執行一系列行動。

礦工攻擊類似于基于工作量證明共識算法的區塊鏈上的閃電貸攻擊。這種類型的攻擊更加復雜和昂貴，但它可以繞過閃電貸的一些保護層。它的工作原理是這樣的。攻擊者租用挖礦能力，形成一個只包含他們需要的交易的區塊。在給定的區塊內，他們可以首先借用代幣，操縱價格，然后歸還借用的代幣。由于攻擊者獨立形成了進入區塊的交易，以及它們的順序，攻擊實際上是原子性的，就像閃電貸的情況。這種類型的攻擊已經被用來攻擊100多個項目，損失總額約為10億美元。

隨著時間的推移，黑客的平均數量一直在增加。在2020年初，一次盜竊金額就高達數十萬美元。到今年年底，這個數字已經上升到數千萬美元。

開發者不稱職

最危險的風險類型涉及人為錯誤因素。人們為了尋求快速賺錢而求助于DeFi。許多開發人員資質很差，但仍試圖在匆忙中推出項目。智能合約是開源的，因此很容易被黑客復制和改動。如果原始項目包含前三種類型的漏洞，那么它們就會蔓延到數百個克隆項目中。RFISafeMoon是一個很好的例子，因為它包含一個關鍵的漏洞，被復制到一百個項目上，導致潛在損失超過20億美元。

文：GUESTAUTHORS

Tags：DEFEFIDEFI以太坊Kong DefiBlaze DeFiXDEFI以太坊幣怎么挖礦賺錢

區塊鏈