國家區塊鏈漏洞庫發布DeFi網絡安全態勢報告_DEF:EFI

來源：國家區塊鏈漏洞庫

近期DeFi安全事件頻發，國家區塊鏈漏洞庫收錄的安全事件包括shroom.finance項目增發無限代幣、Unicats項目授權攻擊、Balancer項目攻擊事件、Akropolis和OUSD分別遭遇黑客重入攻擊等。DeFi生態安全威脅風險等級為高。

一、DeFi當前整體發展情況

2017年12月，全球首個DeFi項目Maker正式上線。今年以來，DeFi經歷了快速發展，特別是6月到11月間DeFi鎖定資產價值從10億美元增長到了180億美元左右，上漲幅度高達1,700%。高峰時期，項目數量超500個。目前DeFi的主要產品類型有借貸市場、去中心化交易所、衍生品、支付網絡、代幣化資產等。此外，根據用途及代幣特性，DeFi還有基礎設施、數據服務、錢包以及穩定幣等品類。

圖1DeFi主要項目類型總鎖定價值占比

DeFi項目快速發展，圍繞DeFi的各類安全事件也開始頻繁發生。

二、DeFi安全現狀

DeFi在各鏈平臺的安全狀況國家區塊鏈漏洞庫對今年以來的DeFi安全事件統計，82.61%安全事件發生在以太坊上。波場區塊鏈占比6.52%，EOS區塊鏈占比4.35%，其他區塊鏈占比6.52%。

國家區塊鏈技術（能源領域）創新中心成立，聚焦能源數字化:5月30日消息，2023 中關村論壇區塊鏈 + 隱私計算發展論壇在京舉行，國家區塊鏈技術（能源領域）創新中心正式揭牌成立，這是國家區塊鏈技術創新中心正式投入運行后，在國民經濟關鍵領域布局的首個國家級行業創新中心。

國家區塊鏈技術（能源領域）創新中心將圍繞行業創新平臺建設、綜合性人才引育和成果轉化、行業高端區塊鏈智庫構建等三方面開展建設。在行業創新平臺建設方面，中心將打造融合能源特色、全球領先的區塊鏈支撐性行業創新平臺，滿足大規模場景應用。[2023/5/30 9:49:49]

圖2各類區塊鏈上的DeFi安全事件占比

DeFi項目的安全問題

1、無限增發問題

無限增發是指智能合約中存在可以非法調用增發函數的漏洞，導致攻擊者可以進行隨意發幣的操作過程。

DeFi項目方通過添加minter權限，即可進行增發代幣操作。此外，也存在本該擁有鑄幣權限的治理合約地址，被替換成項目方所持外部地址的情況，這樣使得項目方可以無限鑄幣。還有些項目方沒寫時間鎖，導致增幣不受時間限制，可以無限增幣。例如，DeFi項目shroom.finance因為沒有設置時間鎖定，導致代幣無限增發。

2、授權攻擊問題授權攻擊是指攻擊者利用合約邏輯漏洞獲得其他用戶授權過的合約權限，對用戶的代幣進行隨意轉賬。

投資者參與DeFi項目時，為了方便，通常會被要求將全部代幣授權給合約地址，以避免用戶在之后的操作中反復授權，例如用戶有1,000萬某代幣，但每次合約進行轉賬的時候用不了1,000萬，這樣的話，每次合約轉賬都需要用戶簽名，如果在最開始就把1,000萬授權給合約地址，那就可以避免不必要的重復操作。但如有惡意者利用合約權限，調用ERC20代幣中存在的transferFrom函數實施代理轉賬。那么用戶錢包中的所有代幣都能被攻擊者隨意操作。在詐騙項目Unicats中，項目方正是留下了這樣的可以越過判斷條件的權限，相當于地址白名單，使其可利用合約身份發起交易，恣意盜取用戶的資產。

武漢獲批國家區塊鏈發展先導區，已聚集區塊鏈企業 143 家:9月6日消息，據武漢市經濟和信息化局，工信部正式復函湖北省經信廳，支持武漢市創建國家區塊鏈發展先導區。目前，武漢市已聚集區塊鏈企業143家，下一步，武漢將打造成為具有全國影響力的區塊鏈之城。

據悉，“星火·鏈網”武漢超級節點、區塊鏈服務網絡(BSN)武漢城市主干網、武漢市“城市大腦”區塊鏈中樞平臺正加快建設，為行業用戶提供標識基礎服務能力和跨鏈互通能力。同時，武漢多家單位部署上線區塊鏈項目，推進應用示范。此外，湖北楚天云的“楚融鏈”供應鏈金融平臺項目當選2022年度區塊鏈應用場景揭榜掛帥項目，多家企業經各區初審擬推薦為全市首批區塊鏈培育庫企業。（中國新聞網）[2022/9/6 13:11:22]

圖3攻擊代碼部分截圖

從目前情況看，幾乎所有的項目方在前端或者其他地方，會默認設置用戶授權的額度是最大。而有些合約在調用其他合約的時候，也會需要給合約授權，但是他們往往使用的是使用多少授權多少的方式。因此，作為投資者，在DeFi項目的授權問題上都必須保持高度警惕，以免墜入攻擊者的“陷阱”。

3、套利問題

套利是通過同時購買和出售同種虛擬數字貨幣資產來獲得利潤的方式，它利用了同一虛擬數字貨幣資產在不同交易所定價的不同的現象，特別是在虛擬數字貨幣資產發行的開始階段，在不同交易所之間流動性變化很大，導致有很多可以利用交易所之間的價格差來套利賺取收益的機會。

國家區塊鏈新基建中部首個“星火·鏈網”在漢上線:1月24日消息，國家區塊鏈新基建設施“星火·鏈網”中部首個骨干節點在武漢市漢陽區正式上線，配套園區武漢星火數字產業大樓揭牌，該區同時發布促進區塊鏈產業發展的若干政策（試行）（征求意見稿）。

據了解，眾多數字經濟企業和項目到漢陽扎堆，“星火·鏈網”骨干節點的上線也是理由之一。該網是在工信部專項支持下，由中國信通院牽頭、聯合北航、北郵、中國聯通等建設的國家區塊鏈新型基礎設施。它以代表產業數字化轉型的工業互聯網為主要應用場景，以網絡標識這一數字化關鍵資源為突破口，推動區塊鏈的應用發展，實現新基建的引擎作用。

漢陽還發布了《漢陽區促進區塊鏈產業發展的若干政策（試行）（征求意見稿）》，從企業落戶、人才引進、眾創孵化、場景應用等方面，為入駐武漢星火數字產業大樓的區塊鏈企業呈上全方位的支持。[2022/1/24 9:08:31]

這類問題主要出現在業務復雜程度較高的DeFi項目上。例如，Balancer項目的攻擊事件。攻擊者通過組合利用“閃電貸”、通縮貨幣的特性，以及Balancer代幣池的“乘積恒定”規則，使用通縮代幣STA和“閃電貸”構造出只有1單位STA的特殊情況。當池中只有1單位STA和其他代幣時，僅需1單位STA就可以兌換價值較高的其它代幣。加之，STA具有通縮特性，即轉賬時會銷毀部分代幣，但因為1單位STA是最小值，當轉賬1單位STA時也會銷毀1單位STA，這就使得池中STA數量不變。攻擊者反復進行此操作，便可掏空資金池。如下圖：

政協委員陳曉紅：重慶將積極打造國家區塊鏈數字經濟產業園:金色財經現場報道，7月8日，2020線上智博會區塊鏈應用創新大賽在重慶啟動。啟動儀式上，中國工程院院士、全國政協委員陳曉紅通過視訊的形式表示，重慶舉辦全國性區塊鏈應用創新大賽，積極打造國家區塊鏈數字經濟產業園，彰顯著發展數字經濟、打造智慧名城的執著與探索精神。正值畢業季，我和同學們說，區塊鏈、大數據、人工智能等，正讓生活和工作經歷著巨變，我們要永遠處于開放創新的狀態。

此外，陳曉紅透漏了其以政協委員身份履職盡責一貫的觀點：“來自于實踐、來自于需求，能解決問題的提案，才有生命力。”她指出，區塊鏈應用創新大賽一樣，能將區塊鏈技術用于解決實際問題的項目，才有場景，才有需求，才能脫虛向實。希望優秀項目借助大賽平臺，充分展示區塊鏈賦能產業轉型升級的力量，收獲資本青睞與政府支持，真正讓區塊鏈產業創新落到實處。[2020/7/8]

圖4攻擊流程

4、重入攻擊

重入攻擊是指合約代碼在執行回調函數時被攻擊者劫持，導致本該調用的回調函數被替換為惡意合約地址，使得攻擊者能再次調用該函數，例如，本該進行一次轉賬的函數被兩次調用，這就使得攻擊者獲得兩次收益。

最近發生的DeFi協議Akropolis遭到了黑客重入攻擊事件，通過分析，本次攻擊主要是由于合約未進行參數校驗以及未對重入攻擊進行防范所導致。

攻擊者首先將自己的惡意合約地址作為參數傳入函數deposit()，傳入的位置為代幣地址的參數位置。這樣就將導致函數在執行代幣的safetransferFrom()函數時，調用的是攻擊者的惡意合約。攻擊流程分為如下幾個步驟進行：

動態 | 印度《國家區塊鏈戰略》草案建議印度央行數字貨幣CBDR:由印度政府注冊成立的非營利性公共機構印度國家智能治理研究所（NISG）現已提交《國家區塊鏈戰略》。該草案對區塊鏈、智能合約、區塊鏈技術采用挑戰及影響進行了解釋和介紹。此外，該戰略文件稱有必要明確區分不同類型的區塊鏈系統。除了區塊鏈的其他用例外，該戰略草案建議印度政府和印度儲備銀行發行中央銀行數字INR（CBDR），并支持去中心化應用程序。簡而言之，該草案強調法律法規應基于區塊鏈執行的功能，而不應基于技術本身。該草案還建議建立一個機構來協調各個州機構之間的區塊鏈戰略。該草案的戰略愿景為，到2025年，印度將成為創新、教育、商業化以及區塊鏈技術采用方面的領先國家之一。[2020/1/28]

1.deposit()函數首先執行depositToProtocol()函數，而depositToProtocol()函數里存在一個被惡意劫持的safeTransferFrom()函數，所以這一步將執行攻擊合約。

2.在攻擊合約中攻擊者再次調用了deposit()函數，而這次傳入的參數為正常代幣地址，本次調用攻擊者存入了真實的DAI進行正常存幣操作。

3.代碼中可以看到，mint函數之前進行了一個余額相差計算，鑄幣即是根據這個差值來計算的，而本次存入真實DAI使得余額增加，所以本次攻擊者將會獲得與存入DAI等價的poolTokens。

4.惡意合約執行完畢后，正常合約將繼續執行depositToProtocol()函數之后的代碼。

5.由于之前攻擊者確實存入了DAI，所以本次攻擊者將會再次獲得與存入DAI等價的poolTokens，實現了資產翻倍。

攻擊者正是使用了這一系列方法，對合約發起了多次攻擊，最終獲利200多萬的DAI。

圖5攻擊流程

再比如，最近發生的OUSD遭重入攻擊事件，攻擊者利用重入攻擊與彈性供應調整來達到攻擊目的。

本次攻擊，攻擊者通過dYdX閃電貸貸出7萬枚ETH，并將ETH兌換成了相應的USDT和DAI。

1.攻擊者先向Vault中轉入750萬的USDT，從而使自己在Vault中的價值占比達到50%以上。

2.調用合約中的mintMultiple()函數進行鑄幣，并將2,050萬枚DAI與惡意合約假冒的另一種代幣作為參數傳入，函數正常接收到2,050萬枚DAI，在接收另一種代幣時其實調用的是攻擊者的惡意合約，攻擊者在攻擊合約中再次存入2,000枚USDT進行鑄幣，其目的是為了觸發rebase()調用。

3.因為正常合約是轉賬之后，會進行資產結算，更新資產總價值，然后通過rebase()進行分配，但此時合約被劫持，合約還未將這2,050萬的DAI算入Vault資產總價值，所以在進行rebase()的時候，會將這2,050萬枚DAI全部當作收益進行分配。

4.由于攻擊者在Vault中的價值占比超過50%，所以攻擊者會在沒有任何付出的情況下分配到超1,025萬的DAI，之后合約正常執行，攻擊者獲得由oUSD.mint鑄的OUSD代幣，其價值與存入DAI相等。

最終，攻擊者所有的收獲加起來價值大約為3,327萬枚OUSD。最后，攻擊者贖回之前存入的代幣，并將獲得的代幣歸還閃電貸。

導致DeFi安全事件的原因國家區塊鏈漏洞庫對DeFi安全事件的主要原因進行分析，具體包括業務邏輯實現漏洞、業務設計缺陷以及項目方跑路、重入攻擊、釣魚詐騙等，詳細原因分類如下圖所示。

圖6導致DeFi安全事件的原因

除此而外，導致DeFi安全事件頻發的另一個原因是，大量“仿盤”項目如雨后春筍般在市場中迅速興起。這些項目普遍存在技術底層薄弱，業務設計不合理等問題，有的更是疑似詐騙的項目。接下來，我們對其中存在的典型問題分析如下：

1、業務邏輯實現錯誤所謂業務邏輯實現錯誤，是指在寫程序實現需求的時候，因為錯誤的代碼編寫方法導致漏洞存在。在CherryFi項目USDT鎖死事件中，其轉賬邏輯調用了safeTransfer函數進行具體轉賬操作。但是，USDT的轉賬邏輯并沒有返回值，這就導致safeTransfer調用永遠無法成功，導致資金鎖死，用戶因此無法進行USDT轉入和轉出。據了解，CherryFi代碼未經審計。

2、業務設計缺陷業務設計缺陷，是指在業務設計的過程中考慮不夠完善與嚴謹，而并非是因為代碼編寫問題導致的業務缺陷。在DeFi項目中，此類問題主要體現在交易對相關邏輯或彈性供應機制中，且極易引發惡意套利問題。在Curve項目中，其變量A在進行變化前后的兌換比例如不一致，就會出現套利機會。

圖7代幣聯合曲線

如上圖所示，Curve代幣池中不同代幣余額都要滿足該曲線。為進一步說明這個套利空間的形成過程，可假設TokenX為USDT，TokenY為另一種代幣。用戶在A=1時將持有的USDT和TokenY全部兌換成TokenY，假設兌換前池子中共150USDT，50TokenY，如圖紅點，該點處于藍色曲線上，同時保持150與50的比例，用戶持有50USDT。根據此時的曲線，用戶如果使用50USDT兌換TokenY，則池子里將會有200USDT，為了保證比例處于藍色曲線，則紅點將會移動到黃點，對應比列為200：30，所以50USDT可兌換20TokenY。

假設，A=10時，當前池中余額為200USDT和30TokenY。此時使用持有的20TokenY兌換USDT，這時池中有50TokenY，為了滿足紅色曲線的比列，則黃點會移動到綠點，則池中余額應為140USDT和50TokenY，即使用20TokenY可兌換到60USDT，這樣就獲得了10個USDT的利潤。這就是A在變化前后，形成的套利的空間。

3、代碼錯誤代碼錯誤通常發生在編寫代碼時，因為程序員疏忽大意，導致代碼書寫錯誤。該問題可能對項目帶來毀滅性打擊，例如YAM項目因出現代碼書寫錯誤，在彈性供應計算過程中忘記除以精度，如下圖所示，導致合約保留過多代幣。而治理需要投票，發起一個提案需要提案發起者抵押總代幣的1%才能夠提案成功，如果總代幣數量太多了，那提案所需抵押的代幣量就比較巨大，從而導致沒有人能承擔得起提案所需代幣。最終，項目方不得不因此宣布項目終止。

圖8部分錯誤代碼截圖

最后，隨著DeFi行業的快速發展，越來越多的組合性創新被應用到DeFi項目中，但是人們在進行安全檢測或者安全審計的過程中，往往很難發現組合后的風險。比如，Lendf.me攻擊，項目的業務邏輯、ERC777本身都沒有問題，但是組合起來之后存在重入漏洞。組合性風險的難題仍待區塊鏈安全行業的各個廠商去聯手解決。

三、結語

當前DeFi項目仍處于發展初期，各個項目方水平參差不齊，技術條件差異較大。部分DeFi項目，一是未經過專業的代碼安全審計；二是忽視區塊鏈技術特性，只基于傳統金融類中心化系統經驗進行建設；三是部分區塊鏈應用沒有進行真實性核查，存在被不法分子利用數字資產投資、理財等噱頭進行詐騙的風險。部分項目方還存在將地址上的數字資產進行大量轉移的行為，亟需相關方關注。綜上，DeFi生態安全威脅風險等級為高。

Tags：區塊鏈DEFDEFIEFI我朋友做區塊鏈被捉了怎么辦defibox幣有價值嗎defi幣是什么幣PureFi

以太坊最新價格