IMM:DeFi 世界的安全問題頻發，黑客賞金獵人平臺 Immunefi 能夠解決嗎？_PieDAO DEFI

作者：老雅痞

三年前，鎖定在DeFi的加密貨幣總價值僅有8億美元。到2021年2月，這個數字已經增長到400億美元；2021年4月，它達到了800億美元的里程碑；而現在，它已經超過2460億美元。這個新興賽道捕捉了資本流動性的價值得到快速增長。

從黑客的角度來看，對defi生態系統的攻擊是一種理想并且快速的致富手段，這里顯然成為了各種黑客和欺詐者的游樂園。CipherTrace在最新的《加密資產犯罪和反洗錢報告》中指出，截至7月底，與DeFi相關的黑客事件已經讓用戶們損失了3.61億美元。他們的主要手法是什么？而我們又該如何應對。

DeFi協議的資金是如何被盜的？

REENTRANCYATTACK(重入攻擊）

一個鮮明的例子是發生在2020年4月19日的DForce黑客事件。

在defi協議上，首先智能合約有以下四個提款步驟：

當前DeFi總鎖倉量為740.14億美元:金色財經報道，據DEFI PULSE最新數據顯示，目前DeFi總鎖倉量為740.14億美元，鎖倉量排名前三的分別為Maker（150.2億美元）、Curve（100.5億美元）、Convex（80.9億美元）。[2022/3/14 13:54:20]

用戶調用合約，準備從合約中提現所有資金。

合約檢查用戶在合約中是否有資金。

合約將用戶在合約中的資金發送給用戶。

合約自行更新，用戶在合約中沒有資金。

重入漏洞允許黑客在合約完全執行之前再次調用合約。在上面的例子中，攻擊者可以在第三步和第四步之間重新進入合約，并在用戶余額更新之前再次退出。通過重復這個過程，他們可以從合約中提取所有現有的資金，在一個循環中反復提取資金從而盜取了2500萬美元。

FLASHLOANATTACK

最近，閃電攻擊已經成為最流行的黑客攻擊方法。閃電貸款是一種只在一次區塊鏈交易內有效的貸款，沒有違約風險。它意味著貸款人同意向借款人提供任何金額的貸款，前提是在給定的時間內將該金額歸還貸款人，否則貸款人可以回滾整個交易。黑客規避了貸款機制，這帶來了各種漏洞，如資產價格操縱。?

JUST支持波場TRON 2021全球DeFi Hackathon開發者大賽:據最新消息顯示，JUST基金會正式支持波場TRON 2021全球DeFi Hackathon 千萬美金開發者大賽，波場TRON開發者大賽即將如期舉辦，JUST將攜手去中心化金融生態：JustStable、JustLink、JustLend、JustSwap、跨鏈資產BTCTRON、ETHTRON 等優質項目產品發揮自身優勢全力支持波場TRON2021 Hackathon大賽，大賽將于2021年2月5日（香港時間）開啟報名，千萬美金等大家來領，共創波場TRON生態繁榮。[2021/2/3 18:49:15]

閃電貸款攻擊是對某一平臺的智能合約安全性的濫用，攻擊者通常會借入大量不需要抵押的資金。然后他們在一個交易平臺操縱加密貨幣資產的價格，并迅速在另一個交易平臺轉賣

智能合約的漏洞

編碼錯誤產生于不小心執行的智能合約安全審計或未檢查的智能合約漏洞和脆弱性。令人遺憾的是，許多區塊鏈項目的創始人決定在測試覆蓋率不足的情況下運行他們的項目，并忽視了安全審計的相關性，這種疏忽導致被攻擊的可能性增加，給投資者帶來損失。?

YFI-YIP8提案發起人老白：DeFi不適合普通用戶參與:9月11日晚，火幣大學名師前沿課邀請到DeFi老玩家、YFI-YIP8提案發起人、YFII社區志愿者老白以《DeFi簡介》的主題為學員們帶來分享。

老白表示，DeFi可以理解為去中心化應用（Dapp）的一個子集，2017年開始興起，2019年蓄勢，2020年開始爆發，爆發前提是基于以太坊的穩定幣大量發行。DeFi的短板包括項目認知成本高、工具門檻高、GAS手續費高、合約審計門檻高，因此不適合普通用戶參與，僅作為代理機構使用，普通用戶通過代理來進行DeFi理財。[2020/9/12]

價格預言機的操縱：代表例子MakerDao

智能合約的執行依賴于價格oracle所提供的準確數據。然而，獲得這些價格數據并不像人們希望的那樣安全和可靠。如果oracle提供不準確的數據，智能合約將導致交易錯誤的執行。這一事實有利于那些試圖操縱價格對自己有利的黑客。操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊，其本質是對預言機進行操控，造成內外價格差并利用閃電貸等新型金融工具從中套利。

當前DeFi協議借貸總量為14.65億美元:金色財經報道，DeBank數據顯示，當前DeFi協議借貸總量約為14.65億美元。其中，Compound平臺約9億美元，占總體份額61.42%，Maker平臺約4.12億美元，占總體份額28.12%，Aave平臺約1.28億美元，占總體份額8.79%。dYdX平臺約0.23億美元，占總體份額1.61%。

注：DeFi其實質是基于一套開放的賬戶體系，保證全球任何人都可以無門檻使用的一系列金融服務。這些金融服務主要由一些開源的智能合約來提供，整個服務的代碼和賬目都可以在區塊鏈上進行公開審計。[2020/8/17]

應運而生的Defi漏洞賞金平臺

傳統的網站和應用程序Bug賞金平臺，如HackerOne和BugCrowd，在這種舊世界的模式中取得了成功。但現有的"Web2.0"bug賞金和與區塊鏈和加密貨幣相關的"Web3.0"bug新時代之間存在巨大差異。在去中心化金融時代，Web3.0漏洞懸賞的關鍵性質是與實際貨幣價值相關，而不僅僅是軟件漏洞。

當前DeFi中鎖定資產總價值達23.1億美元:金色財經報道，據DeBank數據顯示，DeFi中鎖定資產總價值達23.1億美元，Compound以6.78億美元排在首位、Maker鎖定資產總價值6.13億美元、Synthetix鎖定資產總價值為3.57億美元。

注：總鎖倉量（TVL）是衡量一個 DeFi 項目使用規模時最重要的指標，通過計算所有鎖定在該項目智能合約中的ETH及各類ERC-20代幣的總價值（美元）之和而得到。[2020/7/8]

什么是Immunefi?

Immunefi于2020年12月推出，通過Bug賞金提供智能合約安全。更重要的是，他們已經宣稱是世界上首屈一指的bug賞金平臺!Immunefi有遏制DeFi黑客攻擊問題的野心。為了實現這一目標，它為區塊鏈項目提供咨詢服務、漏洞檢測、項目管理，以及最重要的是，提供一支白帽黑客的軍隊。Immunefi尋求將DeFi協議與黑客聯系起來，以保護平臺和用戶的資產。

什么是漏洞（Bug)賞金？

漏洞賞金計劃為發現智能合約和應用程序的潛在漏洞的安全研究人員提供獎勵。此外，賞金激勵白帽黑客發現并向項目報告漏洞，而項目則根據漏洞的嚴重程度向他們支付報酬。

傳統bug賞金面臨的困境

經濟激勵

雖然世界上把黑客分為白帽黑客和傳統黑客，但大多數人都在灰色地帶活動。舉個例子：有一個發現了可以快速賺取500萬美元的漏洞的黑客，他自身在巨大的利益面前會陷入道德的困境，他是做正確的事與有bug的平臺談判，以此獲得5千美元的bug賞金？還是他自己對這個bug采取行動？如果沒有一個一致的、公平的白帽子獎勵系統，人性黑暗面的誘惑將永遠存在。

報告

Defi項目通常沒有人負責處理bug賞金事件。因此，如果一個白帽試圖報告一個漏洞，試圖找到決策人。另外，如果CTO收到了來自外部的風險提示，說他們的代碼有缺陷，他們的自尊心很容易占據上風，賞金獵人并不討好。即使發現bug全部過程都被通過適當的渠道報告給公司負責人，也不能保證公司會獎賞。財務部門可能還會與開發團隊對漏洞賞金的價值產生分歧，整個過程可能會陷入一系列的死胡同。

Immunefi的賞金計劃

Immunefi平臺代表他們的白帽子和項目團隊處理/溝通和談判，這大大提高了效率壓縮了雙方的時間成本，Immunefi讓黑客保持匿名，并且不要求提供KYC文件。

Immunefi平臺已經發布一些有利可圖的賞金，其客戶Astroport提供高達300萬美元的獎勵。其他引人注目的賞金來自Celer，價值高達20萬美元，xDAI高達200萬美元，Sushi發布的125萬美元賞金。

Immunefi目前有7100萬美元的懸賞金，它想把獵取bug的工作從一種愛好變成一種可行的職業。到目前為止，該平臺已經支付了1000多萬美元，為客戶避免了200億美元的資金受到損失。

如何啟動賞金計劃？

在客戶填寫了Immunefibug賞金登記表后，他們會收到一份調查問卷

Immunefi開始根據這些問題的答案起草一份bug賞金計劃，該草案之后會被發送給客戶進行審查，修改完成后，該程序將被移交給Immunefi的運營專家。運營專家與項目團隊合作，確定賞金活動的啟動時間和賞金的公關/營銷細節以及費用和支付如何進行。

在Immunefi上發布一個bug賞金不需要預付費用。當黑客發現真正的漏洞時，客戶只需在bug賞金的基礎上向Immunefi支付10%的績效費用。

由于defi領域的快速發展，隨之而來的安全問題使大多數平臺和用戶資金受到損失，這也許可以解釋為什么Immunefi，DeFi的新興bug賞金和安全服務平臺之一能夠迅速捕捉價值，目前已經融資了550萬美元的資金，由ElectricCapital領投，參與的還有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他個人投資者。

Amador在接受TechCrunch采訪時補充說："現實情況是，Web3是一個對抗性更強的環境，這意味著漏洞賞金過程的每個部分都與以前不同，從報告的提交和處理，到報告的驗證，再到支付的談判都是如此。傳統的Web2bug賞金是一種方便的錯誤修復工具，而我們的Web3bug賞金則是DeFi項目的一個更為關鍵的應急系統。

隨著DeFi生態積木不斷豐富壯大，安全問題一直是高懸在頭頂上的達摩克里斯之劍，DeFi被黑客攻擊的事件仍然不會停止，未來還會繼續發生，這一點無需贅述。

Tags：EFIDEFIDEFIMMPhoenix Defi FinanceDeFi11PieDAO DEFIStimmy Coin

幣安交易所app下載