以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > USDC > Info

DeFi 頻遭攻擊 真的足夠「去中心化」嗎?_FIN:DEF

Author:

Time:1900/1/1 0:00:00

DeFi —— 去中心化金融,不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi 利用了區塊鏈的技術,逐漸發展出有別于傳統金融的金融商品,瘋狂受到追捧。根據 DeFi Pulse 的數據,DeFi 鎖倉量已飆升了 200% 以上,從 2021 年 1 月份的 $320 億到 12 月份的 $980 億。DeFi 作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。

不過,DeFi 真的足夠「去中心化」嗎?

從協議層面以及交互方式來看,DeFi 的確足夠去中心化。但從一些攻擊事件上看,DeFi 似乎顯得不那么去中心化。

2021 年 7 月 14 日,波卡數字收藏品市場平臺 Bondly Finance 遭到攻擊,導致 373,088,023 美元的 BONDLY 代幣從 Bondly Staking Rewards 合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬于 Bondly 首席執行官 Brandon Smith 的密碼帳戶的訪問權限。密碼帳戶包含 Smith 的硬件錢包的助記符恢復短語,復制后允許攻擊者訪問 BONDLY 智能合約,以及被泄露的公司錢包。

DeFi 概念板塊今日平均跌幅為0.92%:金色財經行情顯示,DeFi 概念板塊今日平均跌幅為0.92%。47個幣種中14個上漲,33個下跌,其中領漲幣種為:PEARL(+10.16%)、CRV(+8.08%)、NEST(+5.27%)。領跌幣種為:AMPL(-16.69%)、IDEX(-6.86%)、YFII(-4.67%)。[2021/10/5 17:24:40]

有趣的是,該黑客似乎在四個月后又以相似的方式攻擊了另一個 DeFi 項目。

2021 年 11 月 5 日,DeFi 協議 bZx 發推稱控制 Polygon 和 BSC 部署的私鑰已被泄露,導致資金損失。據官方調查,黑客使用的錢包之一參與了 Bondly Finance 的攻擊。同時,本次漏洞利用與 Bondly Finance 的非常相似:黑客獲得了開發人員的密碼,然后從協議中操縱了一個智能合約。不久,bZx 在更新的事故報告表示:“我們聘請了一家名叫 Kaspersky 的安全公司,該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織 Lazarus 執行的。”據慢霧 AML 旗下反洗錢追蹤系統 MistTrack?分析,攻擊者初始資金來自 Tornado.Cash 轉入的 0.9 ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為 ETH,最后通過 Tornado.Cash 轉出 10960 ETH,以太坊部分的洗幣基本完成。

DeFiner COO Chyna:DeFiner手機端將于2021年Q2發布:2021年1月22日,在金色財經發起的《區塊鏈世界志》活動中,DeFiner COO ChynaQu做了名為《DeFiner是如何思考與做好項目布局,等待東風的》的主題分享。Chyna回顧了DeFiner去年的發展,介紹了DeFiner今年的市場布局,還提到DeFiner手機端將于2021年Q2發布。此外,她還指出“DeFiner的Fixtermloan,雙子座,也會在今年和大家見面。”另外她還展望了2021年整個的DeFi市場,她認為2021年會有更多的優質項目出現來完善DeFi的生態系統。現在的DeFi生態系統還在起步階段,很多好玩的,傳統金融上的東西還沒有出現,接下來除了大家熟知的DeFi借貸,去中心化交易所還會有其他的應用場景會陸陸續續登場。[2021/1/22 16:48:06]

DeFi總市值146.9億美元 OKEx平臺UMA最抗跌:據OKEx統計,DeFi項目當前總市值為146.9億美元,總鎖倉量為190.7億美元

行情方面,今日DeFi代幣普跌,OKEx平臺DeFi幣種跌幅較小的是GHST、HDAO、CNTM。

截至17:00,OKEx平臺熱門DeFi幣種表現如下:[2020/12/22 16:07:42]

以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期,私鑰泄露似乎變得非常熱門:Levyathan 損失 150 萬美元、8ight Finance 損失 175 萬美元、Vulcan Forged 損失 1.4 億美元……我們不禁想,這是不是表示著線下實體(DeFi 開發人員)實際掌管著控制權呢?

ViaBTC創始人楊海坡:DeFi帶來的“安全”是有兩面性的:金色財經報道,9月24日,鏈上ChainUP三周年峰會于深圳舉辦,會上圓桌討論環節,

ViaBTC集團創始人&CEO楊海坡表示,去中心化金融最大的特點是首先給金融市場帶來了開放和自由,同時一定程度上帶來了安全,不過安全是具有兩面性的。對于某些人來講,DeFi是更加安全的,但是DeFi對于大部分人來講利用去中心化參與是有風險的。安全不安全要看用戶和自己對區塊鏈的了解,原因在于:第一是否會用去中心化的設施。第二合約安全是否足夠,例如開源錢包的作惡有些是無法審查的。第三是合約本身的漏洞的問題,與智能合約設計有關。[2020/9/24]

除了釣魚攻擊,前端攻擊也是引發 DeFi 安全問題的高危據點。

2021 年 12 月 2 日,據官方 Discord 消息,去中心化組織 Badger DAO 遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。12 月 9 日,Badger?發布了詳細的事故報告,報告稱此次事件是 Cloudflare Workers 上的惡意注入代碼片段導致的。Cloudflare Workers 是一個運行腳本的界面,這些腳本在流經 Cloudflare 代理時對 Web 流量進行操作和更改。攻擊者在 Badger 工程師不知情或未授權的情況下獲取了項目方在 Cloudflare 后臺的 API Key,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權(approve)給攻擊者,然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧 AML 旗下反洗錢追蹤系統 MistTrack 分析,黑客將部分獲利的加密貨幣換成 renBTC,并通過 renBTC 將約 2100 BTC 跨鏈轉移到 14 個 BTC 地址,目前暫無異動。

在 DeFi 世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。

2021 年 9 月 17 日,Sushiswap CTO 在推特上表示,Sushiswap IDO 平臺 Miso 的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入 Miso 前端,把拍賣錢包地址替換成了自己的錢包地址,導致 864.8 ETH(約 307 萬美元)被盜。

當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與 DeFi 項目,簡直如履薄冰。

總結

不管怎樣,“DeFi 是否完全去中心化”這個問題也許會一直存在。與其說去中心化是 DeFi 最大的特性,不如說是 DeFi 世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的 DeFi 安全事件后,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。

參與 DeFi 項目本質上是把手中的資產轉移或授權給 DeFi 項目方,存在個人極大程度上不可控的安全風險。那我們普通用戶能做什么?慢霧為您準備了一份“DeFi 資產安全解決方案”,點擊原文即可查閱。

Tags:EFIDEFDEFIFINXDEFI Governance Token去中心化金融defi什么意思NRGY DefiDegen Token Finance

USDC
2022 加密市場整體展望_加密貨幣:EFI

2021年對于加密資產來說很顯然是突破性的一年,從機構接受度到個人用戶采納度,加密貨幣已經遠遠超過了其歷史上的任何時期.

1900/1/1 0:00:00
《深圳市金融業高質量發展“十四五”規劃》:推動數字人民幣國際合作和跨境使用_BAS:在coinbase無法提幣

1月14日,深圳市地方金融監督管理局依據《深圳市國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》,對外發布了《深圳市金融業高質量發展“十四五”規劃》(以下簡稱《規劃》).

1900/1/1 0:00:00
80后的QQ秀 15后的元宇宙_元宇宙:數字人民幣app官方下載安卓官網

資本密集投資虛擬人背后,是虛擬形象在從偶像IP下沉到普通人。從Gartner曲線來看,這可能是一個關鍵的應用拐點。虛擬人,正在成為2022年的第一個風口.

1900/1/1 0:00:00
DAO是否會創造一個Facebook的價值陷阱?_META:元宇宙metaworks下載

本文由公號"老雅痞"(laoyapicom)授權轉載 總結 從理論上看,Meta平臺似乎是一項非常有吸引力的投資.

1900/1/1 0:00:00
金色觀察|共識算法的進步方式_BFT:CHA

近兩年,隨著以太坊等公鏈的生態發展,應用已經非常之多了,Defi、NFT這些應用雖然比較“簡易”,但鏈上整體操作量之大,讓用戶和開發者還是很相信以太坊的處理能力和其他公鏈的處理能力的.

1900/1/1 0:00:00
NFT終級投資指南:6個維度判斷NFT項目能否成為藍籌_NFT:ATA

NFT 領域繁榮背后有無數個投資陷阱在等著我們,本文所提出的6個維度,將是調研一個 NFT 項目是否值得長線投資的基本考察點.

1900/1/1 0:00:00
ads