DEFI:學術視角分析與DeFi和Web3錢包相關的風險_WEB

作者：sed 來源：medium 編譯：金色財經，善歐巴

去中心化金融 (DeFi) 已成為金融領域的一股變革力量，為用戶提供了無需中介機構即可進行借貸和投資的新機會。參與 DeFi 的一個關鍵組成部分是使用 Web3 錢包，它使用戶能夠安全地與各種 DeFi 服務交互。盡管 DeFi 提供了充滿希望的機會，但必須承認和理解這個快速發展的生態系統所涉及的固有風險。本文旨在對與 DeFi 和 Web3 錢包的使用相關的風險進行學術分析，重點介紹可信示例以及應避免的警告實例。

智能合約漏洞

智能合約是 DeFi 應用程序的構建塊，容易受到編碼錯誤、錯誤和漏洞的影響。智能合約中的缺陷可能導致用戶資金丟失或被盜。2016 年 DAO 黑客攻擊和最近的事件等著名事件凸顯了在部署智能合約之前對其進行審計和測試的重要性。為了降低這種風險，用戶應該選擇經過知名公司徹底安全審計的 DeFi 平臺。例如，Compound 和 Aave 是著名的協議，它們經過了多次審計，并已成為 DeFi 領域中的可信實體。

《元宇宙與數字化生存新敘事》入選2022年度中國十大學術熱點:金色財經報道，《元宇宙與數字化生存新敘事》入選2022年度中國十大學術熱點，入選理由為：元宇宙極大激發了社會各界對互聯網未來發展的想象力，元宇宙研究關注，元宇宙研究關注區塊鏈等新興技術的大融合，探索在商業活動、工業生產、文化教育和城市社群等領域的宏大敘事。[2022/12/30 22:16:35]

集中式故障點

盡管 DeFi 的核心理念圍繞著去中心化，但生態系統的某些組成部分，例如價格預言機、借貸池，甚至開發團隊本身，都可能帶來中心化風險。依賴單一來源的價格數據或一小群人的行為可能會導致操縱或惡意活動，從而造成重大損失。建議選擇通過利用多個數據源或去中心化治理機制來爭取去中心化的 DeFi 項目。此類項目的示例包括 Uniswap 和 SushiSwap，它們由于致力于去中心化而受到歡迎。

科學家學術論文描述針對以太坊PoS鏈的3種攻擊方法:10月31日消息，來自斯坦福大學和以太坊基金會的計算機科學家Caspar Schwarz-Schilling、Joachim Neu、Barnabé Monnot、Aditya Asgaonkar、Ertem Nusret Tas、David Tse最近撰寫一份新白皮書，描述了針對以太坊PoS（權益證明）鏈的3種攻擊方法。該白皮書揭示了最近出現的兩次以太坊網絡攻擊，并且該論文的作者改進了這些技術。

除了前兩種方法（理論上會造成“短程重組”和“對抗性網絡延遲”）的改進之外，計算機科學家還提出了第三種攻擊。“結合兩種改進的攻擊技術，我們獲得了第三種攻擊，它允許擁有極少權益（stake）且無法控制網絡消息傳播的對手進行甚至是遠程（long-range）共識鏈重組。”作者們補充說，“誠實但理性或有意識形態動機的驗證者可以利用這種攻擊來增加他們的利潤或阻塞協議，從而威脅到PoS Ethereum的激勵一致性和安全性。該攻擊還可能導致投票處理擁堵導致共識不穩定。”

同時，以太坊網絡批評者使用這篇論文強調當網絡過渡到完整的PoS系統時與這些攻擊相關的潛在漏洞。Chia創始人、Bittorrent創建者Bram Cohen發布關于這項新研究的推文。Chia支持者回應稱，“讓我們在一年后重溫你的推文，看看Chia與ETH相比取得了什么成就。請考慮你的態度，正在拒絕像我這樣的社區成員。”

該論文的作者總結道，“我們的攻擊也使得可能出于意識形態動機的先天性惡意行為者推遲并在某些情況下徹底拖延達成共識的決定。第4.2節的改進攻擊為攻擊者提供了一種工具來做到這一點，即使攻擊者無法控制消息傳播延遲（這被認為是概率性的）。”（Bitcoin.com）[2021/10/31 6:23:20]

監管和合規風險

2020年學術期刊中比特幣的引用量有所增加:The Block使用Google Scholar的數據研究了學術期刊中與區塊鏈相關的引用量的增長。其發現，2020年學術期刊中比特幣的引用量有所增加。2019年和2020年是區塊鏈相關引用增長率最低的兩年。[2020/12/18 15:37:48]

DeFi 的新生性質導致監管環境仍在發展，而且往往不確定。全球各國政府和監管機構都在努力解決如何處理 DeFi 及其潛在影響。用戶必須了解與在法律界限不明確的環境中操作相關的潛在風險。參與在已建立的司法管轄區內運行并已證明為遵守法規所做的努力的 DeFi 協議可以幫助減輕這種風險。例如，Coinbase 和 Gemini 等平臺在監管合規方面取得了重大進展，并贏得了加密社區的信任。

網絡釣魚和社會工程攻擊

作為 DeFi 服務網關的 Web3 錢包可能容易受到網絡釣魚攻擊或社會工程嘗試的攻擊。惡意行為者經常試圖欺騙用戶泄露他們的私鑰或其他敏感信息，從而導致未經授權的訪問和潛在的資金損失。用戶在與任何與錢包相關的通信或請求進行交互時應謹慎行事，確保他們僅與合法且可信的來源進行交互。使用硬件錢包或使用來自 MetaMask 等知名錢包提供商的瀏覽器擴展可以提供額外的安全層來抵御這些威脅。

惡意加密礦工正攻擊歐洲學術超級計算機:金色財經報道，歐洲學術界的超級計算機正在受到惡意加密礦工的攻擊。受影響的機構包括蘇格蘭的愛丁堡大學。由于安全事件，該大學已將其ARCHER超級計算機下線。EGI計算機安全和事件響應團隊表示，攻擊者似乎正在嘗試挖掘Monero（XMR）。ARCHER認為，這是整個學術界的主要問題，因為在英國和歐洲其他地方，已有數臺計算機遭到破壞。[2020/5/20]

以下是用戶在使用 Web3 錢包時應注意的網絡釣魚和社會工程攻擊的一些其他示例：

假錢包網站：惡意行為者可能會創建模仿流行 Web3 錢包外觀的欺詐網站，試圖誘騙用戶輸入他們的私鑰或助記詞。例如，攻擊者可以創建一個具有類似于合法錢包提供商的 URL 的網站，并引誘用戶輸入他們的憑據。

網絡釣魚電子郵件和消息：用戶可能會收到看似來自可信來源的電子郵件或直接消息，例如 Web3 錢包提供商或 DeFi 平臺。這些消息通常包含指向惡意網站的鏈接或提示用戶共享他們的私鑰或其他敏感信息。

社交媒體冒充：攻擊者可能會創建虛假的社交媒體賬戶，冒充知名錢包提供商或 DeFi 項目。他們使用這些帳戶向毫無戒心的用戶發送直接消息，誘使他們共享錢包詳細信息或將資金轉移到欺詐地址。

移動應用程序欺騙：可以在應用程序商店中發布模仿合法 Web3 錢包應用程序的虛假移動應用程序。下載和使用這些假冒應用程序的用戶會在不知不覺中為攻擊者提供對其私鑰和敏感數據的訪問權限。

網絡釣魚廣告和搜索結果：惡意行為者可以創建欺騙性在線廣告或操縱搜索引擎結果，將用戶引導至模仿流行錢包提供商的虛假網站。點擊這些廣告或搜索結果的用戶可能會無意中泄露他們的私鑰或其他機密信息。

為了防范這些風險，保持警惕并遵循最佳實踐至關重要：

始終通過仔細檢查 URL 并確保它與官方域匹配來驗證網站或應用程序的真實性。

警惕未經請求的電子郵件、消息或社交媒體通信，這些通信要求提供個人信息或引導您點擊可疑鏈接。

安裝瀏覽器擴展程序或附加組件，以提供額外的安全功能和針對網絡釣魚嘗試的保護。

定期更新您的 Web3 錢包軟件，并使用具有安全性和用戶信任記錄的信譽良好的錢包提供商。

盡可能啟用雙因素身份驗證 (2FA)，為您的錢包增加一層額外的安全保護。

通過隨時了解情況并采取穩健的安全措施，用戶可以保護自己免受 DeFi 生態系統中的網絡釣魚和社會工程攻擊。

無常損失和波動

某些 DeFi 服務，例如去中心化交易所 (DEX) 中的流動性提供，使用戶面臨無常損失的風險。當流動性池中持有的資產的價值與池外持有的資產的價值不同時，就會發生無常損失。此外，加密貨幣的波動性帶來了價格風險，可能導致重大損失。用戶評估與提供流動性相關的風險并分散其投資組合以減輕價格突然變動的影響至關重要。像 Curve Finance 和 Balancer 這樣的協議已經實現了最小化無常損失的機制，并且是 DeFi 領域中值得信賴的例子。

結論

隨著 DeFi 繼續革新金融格局，用戶必須意識到這個新興生態系統中固有的風險。智能合約漏洞、中心化風險、監管不確定性、網絡釣魚攻擊和市場波動都是需要仔細考慮的挑戰。與經過安全審計、促進去中心化和證明合規性的知名 DeFi 平臺合作可以幫助減輕這些風險。通過采用最佳實踐、保持知情和謹慎行事，用戶可以駕馭 DeFi 格局并利用其潛力，同時最大限度地減少潛在的陷阱。

金色財經

企業專欄

閱讀更多

金色早8點

Odaily星球日報

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：DEFIDEFEFIWEBDefi Shopping StakeMy DeFi PetOneFinBank Coinweb3域名交易記錄

區塊鏈