注:对于DeFi的进步,安全攻击风险一直是不可以掉以轻心的。守旧主义者由于这一点,一直不会倾注很多资产在DeFi的参与上。Messari剖析师Mira Christanto 在一则剖析中指出,比起单次攻击,行业整体的增长对DeFi协议的影响更大。好像在遭到攻击之后,DeFi协议都比较快地“春风吹又生”,这可能是一个蓬勃进步中的范围容错率高的表现。对于新兴范围,或许大家应该在小心中多一分乐观。
以下是剖析原文:
虽然不少DeFi项目从过去的错误中吸取教训,漏洞攻击事件的发生频率放缓,但黑客的规模却一直在增加。就在一周多以前,DeFi历程了有史以来最大的一次漏洞,Alpha Homora在本次事件中损失了3750万USD。
这就肯定是坏事吗?
指责说DeFi的风险特别大是不公平的。即便是BTC,在早期也有需要核心开发者修补的bug。比如,2022年8月,一个区块包括了920亿比特币;在2022年3月,BTCcore 0.8版本与之前的版本不兼容;2022年7月还发生过一次攻击,矿池gHash.IO的算力短暂超越了互联网的50%,致使矿池自愿承诺降低在互联网中的份额。
假如DeFi协议要想承载数千亿甚至数万亿USD的价值,就需要经过实战检验。过去的攻击可以看作是赏金计划,减少DeFi变得 “大而不倒”风险。每次发生了攻击事件,协议都会以安全为第一考虑。下一次的黑客攻击也会是如此。
以下是过去几年的主要的攻击事件:
漏洞攻击是负面事件,但拉到一个更大的环境来看,它涉及的金额是微不足道的。自2022年7月以来,攻击事件损失的总金额为2.85亿USD。平均每起黑客和合约失败的损失金额为1200万USD。平均到天天损失是2万USD。
自2022年7月以来,攻击事件损失额平均占当天行业TVL的0.3%。自从DeFi盛夏的爆发以来,黑客攻击或失败导致的协议预期损失仅为0.1%。
损失金额与占该协议TVL的平均比率为9%。大部分协议会冻结处于风险中的资本池。然而,市场还是对于攻击事件作出了非常敏锐的反应,而且反应(比TVL的变化)要大得多。一个协议在攻击之后的一天TVL(按资产数目计)平均降低39%,锁定资产的总价格也降低了31%;而在之后的一个月,价格平均恢复了5%,比起刚开始的攻击日期TVL仍然是降低31%。然而来到目前,按协议计算的TVL和价格平均分别上升了+215%和+133%,主如果因为整个行业的资产增长。因此,整个行业的增长状况对比单次的攻击事件影响是更大的。
最大概的攻击方法是预言机与闪电贷组合。代码缺点是第三大容易见到的漏洞,占23%。
预言机:在去中心化的预言机互联网项目中,Chainlink已经成为期望外包预言机的项目的事实选择。它们从多个数据资源中策画feeds,并使操纵参考数据变得愈加困难和昂贵。闪电贷:发起闪电贷攻击并不肯定需要很多的资金,当攻击成功时却会有巨大的回报。有人呼吁禁用闪电贷功能。但,在去中心化的社区中,大家并不可以取消或禁止一个商品。假如有闪电贷的需要,协议则会提供主要的功能。再说,假如没闪电贷,这类攻击也是可能发生的(尽管本钱更高)。可以说,在更大的流动性进入DeFi之前,闪电贷就已经暴露了安全的弱点。三分之一的攻击者出于道德或法律缘由退还了全部或部分资金。一名攻击者将5万元返还给一名在攻击中损失10万元后提出恳求的用户;另一个例子是,对Eminence Finance攻击导致损失1500万USD后,攻击者返还了800万USD;可能是因为因为社区的道德舆论,Sushiswap刚开始开创者道歉并返还了1400万USD。这类或许会成为大家为攻击者正名的例子,从全局的角度看,他们通过暴露漏洞,帮助整个DeFi生态系统更能自如应付攻击。
有几种办法可以防止漏洞做导致的波动性,让这类智囊团(发动攻击者)和协议站在同一阵线上:
1. 创建一个奖励性的bug赏金计划。如此做会有益于生态系统的安全,而不会出现短期的恐惧、恐慌或价格波动。
2. 在奖励计划中提供补助和治理权力,让智囊团一块帮助协议;
3. 招募第三方审计和白帽黑客。虽然不少协议都使用了这种方法,但审计职员非常难检查所大概的攻击方法。除此之外,从经济收益角度而言,攻击协议甚至可能比审计代码收成更大。再者,假如有些漏洞审计职员遗漏了没检查出来,他们也不会遭到经济处罚;
4. 提供保险。在这方面Nexus Mutual是基于ETH的一个先行者,它为智能合约风险提供保障,有社区驱动的治理和保险理赔。Yearn与Nexus Mutual合作推出yInsure,然后在2022年11月与Cover Protocol合并。Cover将成为Yearn商品套件和其他DeFi协议的保险提供商。
结论
DeFi不合适胆小的人。这个范围对攻击的抵御能力愈加强,但进步的速度之快被人不能不承受进步的痛苦。现在一些工作正在推进,以控制攻击带来的对行业声誉的损害和用户的损失。协议可以购买保险,也可以通过提供“漏洞赏金即服务”(bug-bounties-as-a-service)来应付。如此做可以邀请社区中最棒的人才做出贡献,勉励他们一块儿对协议进行建设,而不是攻击。
