对数十起黑客攻击的剖析确定了去中心化金融范围的主要载体和典漏洞。
DeFi部门正以惊人的速度增长。三年前,DeFi locking的总价值仅为8亿USD。到2022年2月,这一数字已增至400亿USD;2022年4月,它达到了800亿USD的里程碑;目前,它的价值已经超越1400亿USD。一个新市场的迅速进步势必会引起各种黑客和欺诈者的注意。
依据cryptocurrency research的一份报告,自2022年以来,因为黑客和其他漏洞攻击,DeFi范围损失了约2.849亿USD。从黑客的角度来看,区块链生态系统上的黑客攻击是致富的理想方法。由于这个系统是匿名的,他们能赚钱,任何黑客都可以在受害者不知情的状况下测试和调整它。在2022年的前四个月,损失达到2.4亿USD。这类都是公开的案例。大家估计实质损失为数十亿USD。
DeFi协议的钱是如何被偷的?大家剖析了数十起黑客攻击,并确定了致使黑客攻击的最容易见到问题。
滥用第三方协议和业务逻辑错误
任何攻击都主要从剖析受害者开始。区块链技术为自动调整和模拟黑客攻击场景提供了很多机会。为了使攻击迅速隐蔽,攻击者需要拥有必要的编程技能和智能合约工作原理的常识。典的黑客工具包允许他们从互联网主版本下载区块链的完整副本,然后对攻击过程进行全方位调整,就像买卖发生在真实互联网中一样。
下面,攻击者需要研究项目的业务模和用的外部服务。业务逻辑的数学模和第三方服务的错误是黑客最常借助的两个问题。
智能合约的开发者在买卖时总是需要比任何特定时间都更多的有关数据。因此,他们被迫用外部服务,比如预言机机器。这类服务的设计目的不是在不可信的环境中运行,因此它们的用法意味着额外的风险。据统计(自2022年夏季以来),特定类的风险占损失的比率最小——只有10次黑客攻击,总损失约5000万USD。
编码错误
智能合约是IT范围一个相对较新的定义。尽管它们非常简单,但智能合约的编程语言需要一种完全不一样的开发范式。开发职员一般根本不拥有必要的编码技能,犯下紧急错误,给用户导致巨大损失;
安全审计只能消除部分此类风险,由于市场上的大部分审计公司对其工作水平不承担任何责任,只对财务有兴趣。因为编码错误,100多个项目遭到黑客攻击,导致约5亿USD的总损失。一个突出的例子是2022年4月19日的dforce黑客事件。黑客借助erc-777代币标准中的漏洞,再加上一次再入攻击,偷走了2500万USD。
闪电贷款、价格操纵和矿工袭击
提供给智能合约的信息仅在买卖实行时有关。默认状况下,合同中包括的信息可能遭到外部操纵。这使得一系列攻击成为可能。
快闪贷款是一种无抵押贷款,但需要在同一笔买卖中偿还借入的数字货币。假如借款人未能归还资金,买卖将被取消。这种贷款允许借款人获得很多数字货币,并将其用于我们的目的。一般,闪电贷款攻击涉及价格操纵。攻击者可以第一在买卖中供应很多借用的代币,从而减少其价格,然后在回购代币之前以极低的价格实行一系列操作。
miner攻击像基于工作量证明一致性算法的区块链闪电贷款攻击。这类型的攻击更为复杂和昂贵,但它可以绕过闪电贷款的某些保护层。它是如此工作的。攻击者租用挖矿功能以形成仅包括其所需事务的块。在给定的区块内,他们可以先借入代币,操纵价格,然后返还借入的代币。因为攻击者独立形成进入块的事务及其顺序,因此攻击事实上是原子性的(其他事务不可以“嵌入”到攻击中),就像lightning loan的状况一样。此类攻击已被用于攻击100多个项目,总损失约10亿USD。
伴随时间的推移,黑客的平均数目一直在增加。在2022年初,偷窃金额高达数十万USD。到今年年底,这一数字已上升到数千万USD。
开发者不称职
最危险的风险类涉及人为错误原因。大家向DeFi寻求迅速挣钱。很多开发职员的资质非常差,但仍试图匆忙启动项目。智能合约是开源的,因此比较容易被黑客复制和更改。假如原始项目包括前三类型的漏洞,它们将扩散到数百个克隆项目。RFI safemoon就是一个非常不错的例子,由于它包括一个已复制到100个项目的重要漏洞,致使潜在损失超越20亿USD。
