加密风险的实用指南,基于黑客、地毯式诈骗和经济事件造成的5B+损失。
Crypto的快速扩张吸引了数千亿美元。随着这种增长,不幸的是,漏洞利用和诈骗变得普遍。这些风险在协议和个人层面仍然被广泛误解。
通过这篇文章,我们希望阐明DeFi协议固有的最相关的技术和经济风险,分析一些最突出的漏洞利用和用户应该考虑的因素,以管理他们对这些风险的敞口。
01
DeFi协议中的风险分类
DeFi协议面临各种风险——从地毯式诈骗到黑客攻击再到经济攻击。这些术语经常互换使用……但它们的真正含义是什么?
在区分这些攻击之前,首先了解所涉及的风险类型会有所帮助。这些可以大致分为以下几类:
·技术风险——以对抗方式用于从协议中提取资金的程序功能
·经济风险——以意想不到的方式使用协议的关键杠杆来制造不平衡,从而导致储户损失(攻击者获得收益)
在这种情况下,我们会将黑客行为归类为纯技术性的外部攻击,将地毯拉动归类为内部攻击,故意滥用技术因素,将经济利用归类为利用经济协议不平衡的行为。
在本文的下一部分,我们将通过DeFi中50起最大事件的镜头来研究这些风险背后的潜在因素。
02
最大风险的细分
为了了解DeFi协议对每种风险的敏感程度,我们深入研究了迄今为止发生的50起最大的事件。这包括数亿桥梁的黑客攻击、算法稳定币的经济崩溃以及用户资金的彻底抢劫。
在这50起事件中,我们估计用户在DeFi应用程序中损失了超过50亿美元。正如我们将在整篇文章中介绍的那样,最大的攻击来自桥梁黑客,以及算法稳定币的特别大的崩溃。
以下是50次最大的DeFi攻击背后的主要风险因素分布。
大约三分之二的最大事故源于技术风险。与此同时,不到四分之一是由于经济失衡导致的脆弱性,10%是两种风险的混合。三分之二的最大事故源于技术风险。与此同时,不到四分之一是由于经济失衡导致的脆弱性,10%是两种风险的混合。
03
技术风险
我们进一步根据程序攻击是由于智能合约错误、私钥管理、前端漏洞还是地毯拉动对它们进行分类。
在这里,我们可以观察到绝大多数技术攻击是由于协议智能合约中存在的意外错误造成的。事实上,在所考虑的50次攻击中,有46%源自此类风险。其中,一些最常见的漏洞是重入漏洞,例如臭名昭著的The DAO黑客攻击中利用的漏洞。
此外,很大一部分攻击是由于私钥管理造成的,正如最近在Axie Infinity背后的6.24亿美元的Ronin网络黑客攻击中所看到的那样。这些事件是由于黑客能够访问控制协议智能合约的私钥。
在Ronin的案例中,有一个多重签名钱包,需要9地址中的5来批准交易,其中4属于网络背后的公司SKy Mavis。
Ronin的通讯指出攻击是社会工程的,暗示冒充者向Sky Mavis的团队发送了一个链接,该链接在打开后被授予访问其私钥的权限。被攻破的第五个地址属于Axie DAO,似乎他们的一名成员也遭到了同样的攻击。
虽然Ronin桥确实使用了多重签名钱包,但该子类别中的许多其他攻击都是由于单个地址控制对协议资金的访问。
这种不当的私钥管理可能导致黑客攻击和地毯式诈骗。这充当了黑客利用失败的中心点,同时也使开发人员能够故意提取用户资金。
保护自己的资金免受这些风险的影响似乎令人生畏,但这并非不可能。在这篇文章的最后,我们将提供用户可以采取的可操作的步骤来减轻技术风险,但在此之前,让我们深入探讨经济风险,这会导致更大的损失。
04
经济风险
尽管DeFi中大多数攻击背后都有技术因素,但由于经济风险,实际上已经损失了更大的美元价值。
经济风险可以进一步分为四个子类别:供给侧、需求侧、稳定机制和资产健康。这些因素在一定程度上是相互依存的,尽管通常损失可以追溯到每个事件的这些子类别中的一个或两个。
供给侧风险主要涉及流动性的流入和流出及其集中度。与在技术攻击中观察到的动态相比,这里的动态非常不同。
例如,让我们看一下最近的经济事件,该事件导致Curve池的储户损失至少8000万美元。在2022年1月26日之前,MIM稳定币是DeFi单产农民获得高回报的首选资产之一。
那天,有消息称该项目的创始人Daniel Sesta一直在与另一个项目Wonderland合作,并与一位匿名合作者合作。创始人,前罪犯,通过加拿大Quadriga中心化交易所拥有数百万资金。
此外,支持MIM的部分抵押品是Wonderland的TIME代币。随着联合创始人身份的曝光,整个DeFi都遭受了巨大的经济冲击。
Michael Patryn,化名Sifu,是Wonderland的首席财务官,Abracadabra的创始人承认知道他的真实身份。这导致与Daniele Sesta相关的项目出现重大损失。在Curve MIM池的情况下,储户急于提取流动性。
数小时内从池中提取了大约20亿美元的流动性。由于该池由MIM和3Crv(另一个拥有33.3%的USDT、USDC、DAI的池)组成,储户选择在3Crv中提取资金以避免与MIM相关的风险。这导致池中资产的构成变得不平衡。
随着资金池转向主要是MIM,如果存款人选择在3Crv(或其任何组件)中提取资金,他们开始被收取更高的退出费用。
随着资金池中的流动性越来越少,MIM不再与美元挂钩,退出费用增长到一个地址因提款而损失8000万美元的程度。由于这一事件,所有储户的总损失可能达到了数字。
虽然这本身并不是一个漏洞利用,但Curve MIM事件凸显了经济风险如何给DeFi用户带来可观的损失。当谈到经济攻击时,最常见的变量是价格操纵,通常是相对较低的市值或非流动资产。这些利用了协议稳定性机制中的漏洞,特别是它们使用的预言机。
借贷协议Cream Finance和Compound已成为此事件的受害者,攻击者使用闪电贷来操纵资产价格,使他们能够人为地抬高抵押品的价格并将借贷能力提高到不可持续的程度。
由于当时Cream和Compound使用的是链上预言机,因此攻击者能够通过闪电贷在一个区块内完成所有这些操作。
尽管闪贷助长了许多此类攻击,但它们并不是背后的主要原因。这些迹象表明协议容易受到人为失衡的影响,有时甚至可以在没有闪电贷款的情况下手动完成,例如在BSC中利用Venus协议的2亿美元。我们将进一步讨论用户如何减轻涉及预言机、清算人和套利者的稳定性风险。
总体而言,这些经济风险可能非常复杂,但可以通过观察这些协议的流动性变化以及它们使用的预言机等因素来监控。用户可以采取更多措施来保护自己免受这些风险以及技术风险的影响。
05
减轻DeFi中的风险敞口
如前所述,DeFi中最大的50起事件中有66%是由于技术风险,主要是智能合约错误。由于绝大多数人在智能合约代码方面并不精通,这就引出了一个问题:我们能做些什么来预防这些风险?
第一步也是最简单的步骤是检查协议是否已经过审核。在发生率方面,所分析的大量漏洞利用未经审计。
值得注意的是,不止一名审计员可以审查这些协议并且仍然被利用。例如,Certik和NCC集团对Poly Network 6.11亿美元的黑客攻击进行了审计。
鉴于这些审计员的跟踪记录,用户可以评估他们可以提供的价值,并可能根据以前的事件为协议被利用的可能性分配权重。
然而,在这里,不仅需要查看这些审计员遭受的攻击次数,还需要查看已被他们安全审计的协议数量以及它们包含的锁定值。
除了智能合约漏洞,我们还指出了私钥管理可能带来的风险。建议用户对谁可以访问协议背后的私钥进行尽职调查。
理想情况下,这些协议不仅具有具有多个(10多个)地址的多重签名,而且还包括其组织之外的知名人士。这相当于DeFi协议的导向器,除了比传统意义上的漏洞暴露更大。通过遵守该标准,协议不太可能访问其私钥并拉扯用户,因为他们无法以编程方式这样做。
从经济角度来看,值得用户监控可能影响其存款安全的关键指标。对于AMM中的存款,尤其是像Curve这样的稳定互换,值得关注流动性及其跨资产的构成。此外,如果这些地址提取资金,鲸鱼地址中流动性的集中度也有助于评估头寸在滑点或退出费用方面的脆弱性。
在借贷协议方面,最重要的是他们使用预言机跟踪链下数据或使用资产的时间加权平均价格。这些有助于防止可能导致储户损失的价格操纵。同样,如果共享流动性池中列出了非流动性的小盘资产,这些资产也可能被寻求提取资金的攻击者人为夸大。
这些涵盖了协议方面的风险,但也有用户可以实施的最佳实践来避免进一步的不利影响。其中最常见的包括使用硬件钱包、拥有一个“燃烧器”钱包以积极使用小额资金,以及避免点击可疑链接或与网络钓鱼诈骗互动。有关于这些的重要信息,所以我们不会更详细地深入研究它们。
06
结论
整个加密领域的风险比比皆是,DeFi也不例外。尽管DeFi协议确实提供了比传统金融更高的收益机会,但它们容易受到更大风险的影响,而且动态非常不同。尽管跟踪所有这些风险肯定很复杂,但值得牢记这些风险,尤其是在您存入大量资金的情况下。
尽管随着加密货币规模的扩大,事件变得越来越大,但该行业正在建立最佳实践以更好地降低这些风险。尽管成本高昂,但现在更多的协议选择了审计。他们不使用多重签名来管理存款也不太常见。
随着开发人员从以前的攻击中吸取教训,用于价格的预言机也更具弹性。作为开源,加密可以为这些攻击提供透明的洞察力,从而加强整个行业。最终,风险可能会贯穿整个加密领域,但越来越多的开发人员和用户都可以采取措施来减轻风险。