對幾十次黑客攻擊的分析確定了去中心化金融領域的主要載體和典型漏洞。
去中心化金融領域正在以驚人的速度增長。三年前,DeFi鎖定的總價值僅為8億美元。到2021年2月,這一數字已增至400億美元;2021年4月,它達到了800億美元的里程碑;現在,它的價值已經超過1400億美元。一個新市場的如此快速增長,肯定會吸引各種黑客和欺詐者的注意。
根據加密貨幣研究公司的一份報告,自2019年以來,DeFi領域因黑客和其他漏洞攻擊而損失了約2.849億美元。從黑客的角度來看,對區塊鏈生態系統的黑客攻擊是一種理想的致富手段。因為這種系統是匿名的,他們有錢可賺,而且任何黑客都可以在受害者不知情的情況下進行測試和調整。在2021年的前四個月,損失達到了2.4億美元。而這些只是公開知道的案例。我們估計真正的損失達到了數十億美元。
DeversiFi宣布更名為rhino.fi 并轉型為多鏈DeFi的Layer2網關:7月15日消息,Layer2 交易協議 DeversiFi 宣布更名為 rhino.fi,同時該項目定位更改為通往多鏈 DeFi 的 Layer2 網關,新平臺允許用戶跨鏈交換數百個代幣,無需前端橋接,無需切換網絡,無需持有原生代幣,并且每次跳轉到新鏈時都不會產生討厭的費用。[2022/7/15 2:14:41]
DeFi協議的錢是如何被盜的?我們分析了幾十起黑客攻擊事件,確定了導致黑客攻擊的最常見問題。
任何攻擊都主要從分析受害者開始。區塊鏈技術為自動調整和模擬黑客攻擊的場景提供了許多機會。為了使攻擊快速而隱蔽,攻擊者必須具備必要的編程技能和智能合約工作原理的知識。黑客的典型工具包允許他們從網絡的主要版本中下載自己的區塊鏈的完整副本,然后對攻擊過程進行全面調整,就好像交易發生在真實的網絡中一樣。
韓國金融監管局在積極審查與穩定幣和DeFi相關的新加密貨幣法規:金色財經報道,韓國金融監管機構周二一起討論如何解決本月 TerraUSD 穩定幣崩盤的后果。?據當地新聞報道,在國民議會召開緊急會議后,金融監管局 (FSS)、公平貿易委員會 (FTC) 和金融服務委員會 (FSC) 分享了最新消息。?FSS 透露,在 Terra 區塊鏈倒閉后,它計劃檢查提供與 Terra 區塊鏈相關的金融服務的公司的場所。
此外,FSS 將開發一項研究服務,旨在分析在國內交易所流通的加密貨幣和數字資產的風險。然后,該服務將根據這些資產的風險特征對其進行分類。FSC還宣布正在積極審查與穩定幣和DeFi相關的新加密貨幣法規。?[2022/5/25 3:39:23]
接下來,攻擊者需要研究項目的業務模式和使用的外部服務。業務邏輯的數學模型和第三方服務的錯誤是最常被黑客利用的兩個問題。
Compound Labs總法律顧問:DeFi利率協議并不等于借貸協議:近日,Compound Labs的總法律顧問Jake Chervinsky在推特上發文《DeFi利率協議并不等于借貸協議》。他在文章中指出,目前市場上有幾種DeFi協議被稱為“借貸”協議(Jake Chervinsky稱其為利率協議),都依賴于相同的基本機制來發揮作用,即超額抵押和清算。超額抵押和清算旨在消除違約風險。放款人不必擔心借款人無法償還貸款,因為借款人是否首先還款并不重要。這并不是說利率協議完全沒有任何風險,而是簡單地說,它們不構成違約風險,而違約風險是借貸具有的特點。所以,由于不依賴于信任,也不使用戶面臨違約風險,因此利率協議促成的交易,實際并不是貸款。與此同時,DeFi也不做擔保借貸,DeFi交易與抵押貸款是完全不同的。最后,Jake Chervinsky總結稱,需要認識到,超額抵押貸款市場與規模更大的基于信用的貸款的市場不同。如果任何創新技術能夠顛覆幾萬億的全球信貸市場,那將是非常了不起的,但在知道DeFi能夠勝任這項任務之前,應該小心避免這樣一個宏大的承諾。通過承認利率協議不與信貸市場競爭,可以慶祝其在不使用戶遭受信貸風險的情況下產生收益的能力。DeFi協議不提供借貸服務,實際上是件好事。[2020/9/7]
智能合約的開發者在交易時需要的相關數據往往超過他們在任何特定時刻可能擁有的數據。因此,他們被迫使用外部服務——例如,預言機。這些服務并不是為在去信任的環境中運作而設計的,所以它們的使用意味著額外的風險。根據一個統計數據(自2020年夏天以來),既定類型的風險占損失的比例最小——只有10次黑客攻擊,造成的損失總額約為5000萬美元。
Plutus CEO Arnie Hill:Plutus DeFi可使用戶在獲得一定資產透明度的同時,保障用戶隱私不受影響:7月26日消息,在今日舉行的“霍比特E姐有約”中,霍比特全球商務副總裁Elsa與Plutus CEO Arnie Hill進行了主題為“乘風破浪的PlutusDefi,打造協議級別匿名隱私”的線上AMA。在談及PlutusDeFi獨到之處時,Arnie Hill稱 Plutus DeFi的Bl3nd3r混合交易使用零知識證明技術,以隱匿用戶及其資產。使用智能合約,存款人可以獲取一定程度的透明度,得到第三方認證的合約可照常工作,同時保障用戶的隱私不受影響。最重要的是,作為去中心化匿名軟件,不設第三方托管資產,或為了中斷進程而進行管理員操作,因此用戶資金不會被沒收。
此外,PLT將于7月27日正式上線霍比特交易所。
「霍比特E姐有約」為霍比特交易所線上AMA直播欄目,旨在為社區用戶提供一個直觀、清晰、便捷的平臺了解項目,同時為項目方提供一個直接觸達社區用戶、與社區近距離交流的渠道。[2020/7/26]
智能合約在IT領域是一個相對較新的概念。盡管它們很簡單,但智能合約的編程語言需要一個完全不同的開發范式。開發人員往往根本不具備必要的編碼技能,并犯下嚴重錯誤,導致用戶的巨大損失。
安全審計只能消除這類風險的一部分,因為市場上的大多數審計公司對他們的工作質量不承擔任何責任,只對財務方面感興趣。由于編碼錯誤,超過100個項目而被黑客攻擊,造成的總損失約為5億美元。一個鮮明的例子是發生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代幣標準中的一個漏洞,結合重入攻擊,偷走了2500萬美元。
提供給智能合約的信息只在執行交易時相關。在默認情況下,合約不能幸免于對其中包含的信息進行潛在的外部操縱。這使得一系列的攻擊成為可能。
閃電貸是一種沒有抵押物的貸款,但需要在同一筆交易中歸還所借的加密貨幣。如果借款人未能歸還資金,交易將被取消。這種貸款允許借款人收到大量的加密貨幣并將其用于自己的目的。通常情況下,閃電貸攻擊涉及價格操縱。攻擊者可以先在交易中賣出大量借來的代幣,從而降低其價格,然后在買回代幣之前,以非常低的價值執行一系列行動。
礦工攻擊類似于基于工作量證明共識算法的區塊鏈上的閃電貸攻擊。這種類型的攻擊更加復雜和昂貴,但它可以繞過閃電貸的一些保護層。它的工作原理是這樣的。攻擊者租用挖礦能力,形成一個只包含他們需要的交易的區塊。在給定的區塊內,他們可以首先借用代幣,操縱價格,然后歸還借用的代幣。由于攻擊者獨立形成了進入區塊的交易,以及它們的順序,攻擊實際上是原子性的(不能將其他交易“嵌入”到攻擊中),就像閃電貸的情況。這種類型的攻擊已經被用來攻擊100多個項目,損失總額約為10億美元。
隨著時間的推移,黑客的平均數量一直在增加。在2020年初,一次盜竊金額就高達數十萬美元。到今年年底,這個數字已經上升到數千萬美元。
最危險的風險類型涉及人為錯誤因素。人們為了尋求快速賺錢而求助于DeFi。許多開發人員資質很差,但仍試圖在匆忙中推出項目。智能合約是開源的,因此很容易被黑客復制和改動。如果原始項目包含前三種類型的漏洞,那么它們就會蔓延到數百個克隆項目中。RFI SafeMoon是一個很好的例子,因為它包含一個關鍵的漏洞,被復制到一百個項目上,導致潛在損失超過20億美元。
文:GUEST AUTHORS
Tags:EFIDEFIDEF加密貨幣defiai幣被盜defi communityDEFLCT幣加密貨幣交易違法嗎判幾年
頭條 ▌Poly Network攻擊者已返還價值3.42億美元的代幣金色財經報道,區塊鏈數據顯示.
1900/1/1 0:00:00近乎是在同一時間,今年所發生的兩起較大的DeFi安全問題事故都有了最終的答案。在北京時間8月12日,歷經約52小時的Poly Network事故,黑客最終選擇將所有資產返還;另一起起始于6月23.
1900/1/1 0:00:00隱私性和可擴展性研究團隊都在填補零知識證明的前沿研究和以太坊應用開發之間的空白。我們最近研究的一個重點領域是?zkopru(使用零知識證明的 optimistic rollup),這是一套為隱私.
1900/1/1 0:00:008月7日,信托公司 Delaware Trusts 計劃與 MakerDAO 合作,以社區銀行 WSFS Bank 為受托人,使用現實世界的資產支持創建去中心化的信貸工具.
1900/1/1 0:00:00在未來,我們就像是生活在Facebook版的《楚門的世界》。“元宇宙”(Metaverse)聽起來可能像是威廉·吉布森(William Gibson)小說里的一些陳詞濫調,但Facebook首席.
1900/1/1 0:00:00時間回到六年前,有多少人會覺得以太坊很性感?很多人最近在以太坊上的投資翻了一番。目前來看,以太坊可能是過去20年來最好的投資。以下就是原因。以太坊進行了大規模升級.
1900/1/1 0:00:00