對幾十次黑客攻擊的分析確定了去中心化金融領域的主要載體和典型漏洞。
去中心化金融領域正在以驚人的速度增長。三年前,DeFi鎖定的總價值僅為8億美元。到2021年2月,這一數字已增至400億美元;2021年4月,它達到了800億美元的里程碑;現在,它的價值已經超過1400億美元。一個新市場的如此快速增長,肯定會吸引各種黑客和欺詐者的注意。
根據加密貨幣研究公司的一份報告,自2019年以來,DeFi領域因黑客和其他漏洞攻擊而損失了約2.849億美元。從黑客的角度來看,對區塊鏈生態系統的黑客攻擊是一種理想的致富手段。因為這種系統是匿名的,他們有錢可賺,而且任何黑客都可以在受害者不知情的情況下進行測試和調整。在2021年的前四個月,損失達到了2.4億美元。而這些只是公開知道的案例。我們估計真正的損失達到了數十億美元。
數據:DeFi總用戶數量已達300萬:加密貨幣風險投資公司1confirmation合伙人Richard Chen發推表示,DeFi總用戶數量已達300萬。注:此處用戶數量為唯一地址數量。因為一個用戶可以有多個地址,所以數據可能高估。[2021/7/12 0:46:09]
DeFi協議的錢是如何被盜的?我們分析了幾十起黑客攻擊事件,確定了導致黑客攻擊的最常見問題。
濫用第三方協議和業務邏輯錯誤
任何攻擊都主要從分析受害者開始。區塊鏈技術為自動調整和模擬黑客攻擊的場景提供了許多機會。為了使攻擊快速而隱蔽,攻擊者必須具備必要的編程技能和智能合約工作原理的知識。黑客的典型工具包允許他們從網絡的主要版本中下載自己的區塊鏈的完整副本,然后對攻擊過程進行全面調整,就好像交易發生在真實的網絡中一樣。
報告:DeFi不會立即對傳統金融機構造成威脅 但會提供可以借鑒的解決方案:Crypto.com聯合波士頓咨詢集團BCG旗下數字化實施咨詢團隊BCGPlatinion發布了一份關于DeFi的新報告。報告在概述DeFi的優點和缺陷后總結稱,若DeFi想要大幅提升采用率,則需關注以下六個重要事項,包括區塊鏈吞吐量和高網絡費用、流動性、安全和智能合約風險、需超額抵押、監管風險等。另外,報告指出,DeFi或將通過提供一種既便宜又快速的替代方案來解決傳統金融領域中關于支付、借貸以及交易所等的低效率、高成本的問題。盡管絕大多數金融人士質疑DeFi究竟能否完全解決傳統金融領域所面臨的挑戰,而且DeFi也面臨著很多監管、安全等風險,但這并不意味著DeFi會立即威脅到傳統金融領域。相反,DeFi鼓勵商業金融機構、中央銀行和加密貨幣社區進行合作,以構建具有和技術彈性的新一代金融解決方案。在這種需求下,盡管DeFi的熱度會隨著炒作的消退可能會大幅下降,但隨著全球化的發展以及業務生態系統進一步轉向建立在共享治理和去中心化基礎上的新一代業務模型,對諸如DeFi之類的解決方案的需求將不斷增長,也會提供給傳統機構可以借鑒的解決方案。[2020/9/10]
接下來,攻擊者需要研究項目的業務模式和使用的外部服務。業務邏輯的數學模型和第三方服務的錯誤是最常被黑客利用的兩個問題。
MOBI今日登陸BW DeFi幣種交易專區,目前最高漲幅1000%:據悉BW今日上線交易對MOBI/USDT,同步登陸DeFi幣種交易專區,開盤價為0.85 USDT,最高價為8.5 USDT,目前最高漲幅達到1000%!
Mobius Crypto是使用區塊鏈和人工智能重新定義去中心化金融(DeFi)的新穎創新平臺。 Mobius Crypto提供多種基于區塊鏈的金融服務。
BW將持續上新DeFi幣種,更多熱門DeFi幣種資訊請訪問官網。[2020/8/21]
智能合約的開發者在交易時需要的相關數據往往超過他們在任何特定時刻可能擁有的數據。因此,他們被迫使用外部服務——例如,預言機。這些服務并不是為在去信任的環境中運作而設計的,所以它們的使用意味著額外的風險。根據一個統計數據,既定類型的風險占損失的比例最小——只有10次黑客攻擊,造成的損失總額約為5000萬美元。
Aave與RealT合作將房屋抵押貸款引入DeFi:金色財經報道,根據DeFi Pulse的說法,去中心化貨幣市場Aave已發布了其協議第二版的規范。Aave將與房地產代幣化公司RealT合作,將房屋抵押貸款帶入DeFi。 目前RealT尚未回復以發表評論。此外,V2版還將包括交易費用優化,例如對智能合約GasToken的本地支持。[2020/8/15]
編碼錯誤
智能合約在IT領域是一個相對較新的概念。盡管它們很簡單,但智能合約的編程語言需要一個完全不同的開發范式。開發人員往往根本不具備必要的編碼技能,并犯下嚴重錯誤,導致用戶的巨大損失。?
安全審計只能消除這類風險的一部分,因為市場上的大多數審計公司對他們的工作質量不承擔任何責任,只對財務方面感興趣。由于編碼錯誤,超過100個項目而被黑客攻擊,造成的總損失約為5億美元。一個鮮明的例子是發生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代幣標準中的一個漏洞,結合重入攻擊,偷走了2500萬美元。
閃電貸、價格操縱和礦工攻擊
提供給智能合約的信息只在執行交易時相關。在默認情況下,合約不能幸免于對其中包含的信息進行潛在的外部操縱。這使得一系列的攻擊成為可能。
閃電貸是一種沒有抵押物的貸款,但需要在同一筆交易中歸還所借的加密貨幣。如果借款人未能歸還資金,交易將被取消。這種貸款允許借款人收到大量的加密貨幣并將其用于自己的目的。通常情況下,閃電貸攻擊涉及價格操縱。攻擊者可以先在交易中賣出大量借來的代幣,從而降低其價格,然后在買回代幣之前,以非常低的價值執行一系列行動。
礦工攻擊類似于基于工作量證明共識算法的區塊鏈上的閃電貸攻擊。這種類型的攻擊更加復雜和昂貴,但它可以繞過閃電貸的一些保護層。它的工作原理是這樣的。攻擊者租用挖礦能力,形成一個只包含他們需要的交易的區塊。在給定的區塊內,他們可以首先借用代幣,操縱價格,然后歸還借用的代幣。由于攻擊者獨立形成了進入區塊的交易,以及它們的順序,攻擊實際上是原子性的,就像閃電貸的情況。這種類型的攻擊已經被用來攻擊100多個項目,損失總額約為10億美元。
隨著時間的推移,黑客的平均數量一直在增加。在2020年初,一次盜竊金額就高達數十萬美元。到今年年底,這個數字已經上升到數千萬美元。
開發者不稱職
最危險的風險類型涉及人為錯誤因素。人們為了尋求快速賺錢而求助于DeFi。許多開發人員資質很差,但仍試圖在匆忙中推出項目。智能合約是開源的,因此很容易被黑客復制和改動。如果原始項目包含前三種類型的漏洞,那么它們就會蔓延到數百個克隆項目中。RFISafeMoon是一個很好的例子,因為它包含一個關鍵的漏洞,被復制到一百個項目上,導致潛在損失超過20億美元。
文:GUESTAUTHORS
Tags:DEFEFIDEFI區塊鏈BTCDEFIBearn Defi Protocoldefibox幣價格區塊鏈運用的技術中不包括哪一項項
在球星卡火爆之后,數字球星卡橫空出世。NBATopShot市場上,勒布朗詹姆斯的卡牌拍出了20.8萬美元的天價。NBATopShot是基于區塊鏈的NBA數字收藏品平臺.
1900/1/1 0:00:00DeFi是對傳統金融世界的新型解構,它利用區塊鏈技術使得金融活動得以更高效、公開、透明地運行。此前銀行、交易所和保險等等金融機構都在區塊鏈上找到了它們的映射.
1900/1/1 0:00:00一個好的故事會讓你有所感觸。如果對故事擁有所有權,會讓這些情緒更加強烈。用NFT講故事,可以成為講故事的一種有力方式:對新舊故事都是如此。過去幾個月,多個項目一直在探索這個故事與NFT的交叉點.
1900/1/1 0:00:00Kusama第二波平行鏈插槽競拍就要開始了,距離Kusama上線第1條公益平行鏈Statemine已經差不多3個月。在這三個月內,已經完成了5次插槽拍賣.
1900/1/1 0:00:00注:原文作者是擁有“審計上帝”之稱的白帽黑客samczsun,同時他也是Paradigm的研究合伙人,其最近出手拯救了BitDAOMISO荷蘭拍賣資金池中的3.5億美元資產,而在這篇文章中.
1900/1/1 0:00:00與比特幣挖礦相比,以太坊挖礦的運營成本和能耗都比較低,但挖礦利潤卻一直高于比特幣,這意味著只要抓住合適入場時機,就有可能獲取較大利潤空間.
1900/1/1 0:00:00