50起黑客事件 逾50億美元損失：DeFi風險入門實用指南

加密黑客、Rug Pull、經濟事件 … ?DeFi 中 50 起最大攻擊已造成了逾 50 億美元的損失，本文將介紹加密風險的實用指南。

加密的快速擴張吸引了數千億美元的資本，不幸的是，漏洞利用和詐騙也隨之變得普遍。這些風險在協議和個人層面仍然被廣泛誤解。通過這篇文章，我們希望闡明與 DeFi 協議最相關的技術和經濟風險，分析一些最突出的漏洞利用和用戶應該考慮的因素，以幫助人們管理對這些風險的敞口。

DeFi 協議中的風險分類

DeFi 協議面臨各種風險——從 Rug Pull 到黑客攻擊再到經濟攻擊，這些術語經常互換使用……但它們的真正含義是什么？

在區分這些攻擊之前，首先了解所涉及的風險類型會有所幫助，大致分為以下幾類：

技術風險——利用編程技術進行對抗攻擊，進而從協議中提取資金

經濟風險——以無法預測的方式使用協議關鍵的杠桿來制造不平衡，從而導致儲戶損失（攻擊者獲得收益）

DeFi 風險的Meme化

在這種情況下，我們會將黑客行為歸類為純技術性的外部攻擊，將 Rug Pull 歸類為內部攻擊，故意濫用技術因素，將經濟利用歸類為利用經濟協議不平衡的行為。

在本文的下一部分，我們將通過 DeFi 中 50 起最大攻擊事件來研究這些風險背后的潛在因素。

最大風險的細分

為了了解 DeFi 協議對每種風險的敏感程度，我們深入研究了迄今為止發生的 50 起最大黑客事件。這包括跨鏈橋的數億美元黑客攻擊、算法穩定幣的崩潰以及用戶資金的徹底蒸發。

在這 50 起事件中，我們估計用戶在 DeFi 應用程序中損失了超過 50 億美元。正如我們將在整篇文章中介紹的那樣，最大的攻擊來自跨鏈橋黑客，以及算法穩定幣摧枯拉朽般的崩潰。

以下是 50 次最大 DeFi 攻擊背后的主要風險因素分布：

大約三分之二的最大事故源于技術風險。與此同時，不到四分之一是由于經濟失衡導致的脆弱性，10% 是兩種風險的混合。

技術風險

我們進一步根據程序攻擊是由于智能合約錯誤、私鑰管理、前端漏洞還是Rug Pull對它們進行分類。

上圖，我們可以觀察到絕大多數技術攻擊是由于協議智能合約中存在的意外錯誤造成的。事實上，在所考慮的 50 次攻擊中，有 46% 源自此類風險。其中，一些最常見的漏洞是復刻攻擊（Re-Entrancy Bug)，例如臭名昭著的 The DAO 黑客攻擊中利用的漏洞。

幣安在加拿大艾伯塔省注冊三個實體，并雇傭前證券監管機構員工:1月13日消息，幣安在加拿大艾伯塔省卡爾加里（Calgary）注冊了三個實體，并且雇傭了兩名具有加拿大證券監管機構工作經驗的高級員工，以尋求遵守該國的規則。 ???（Financial Post）[2022/1/13 8:47:20]

此外，很大一部分攻擊是由于私鑰管理造成的，正如最近在 Axie Infinity 背后的 6.24 億美元的 Ronin 網絡黑客攻擊中所看到的那樣。這些事件是由于黑客能夠訪問控制協議智能合約的私鑰。在 Ronin 的案例中，有一個多重簽名錢包，需要 9 個地址中的 5 個來批準交易，其中 4 個屬于網絡背后的公司 SKy Mavis。 Ronin 指出此次入侵是社會工程攻擊，暗示冒充者向 Sky Mavis 的團隊發送了一個鏈接，該鏈接在打開后被授予訪問其私鑰的權限。被攻破的第五個地址屬于 Axie DAO，似乎他們的一名成員也遭到了同樣的攻擊。

雖然 Ronin 橋確實使用了多重簽名錢包，但該子類別中的許多其他攻擊都是由于單個地址控制對協議資金的訪問。這種不當的私鑰管理可能導致黑客攻擊和Rug pull，同時也使開發人員能夠故意提取用戶資金。

保護自己的資金免受這些風險似乎很難，但這并非不可能。在這篇文章的最后，我們將提供用戶可以采取的可操作的步驟來減輕技術風險，但在此之前，讓我們深入探討經濟風險，這會導致更大的損失。

經濟風險

盡管 DeFi 中大多數攻擊背后都有技術因素，但由于經濟風險，實際上損失更大。

經濟風險可以進一步分為四個子類別：供給側、需求側、穩定機制和資產健康。這些因素在一定程度上是相互依賴的，盡管通常損失可以追溯到每個事件的這些子類別中的一個或兩個。

供給側風險主要涉及流動性的流入和流出及其集中度。 與在技術攻擊中觀察到的模式相比，這個模式非常不同。

例如，讓我們看一下最近的經濟事件，該事件導致 Curve 池的儲戶損失至少 8000 萬美元。在 2022 年 1 月 26 日之前，MIM 穩定幣是 DeFi 挖礦者獲得高回報的首選資產之一。那天，有消息稱該項目創始人 Daniel Sesta 一直在與另一個項目 Wonderland 合作，并與一位匿名合作者合作。創始人，前罪犯份子，通過加拿大 Quadriga 中心化交易所擁有數百萬資金。此外，支持 MIM 的部分抵押品是 Wonderland 的 TIME 代幣。隨著聯合創始人身份的曝光，整個 DeFi 都遭受了巨大的經濟沖擊。

Michael Patryn，化名 Sifu，是 Wonderland 首席財務官，Abracadabra 創始人承認知道他的真實身份。這導致與 Daniele Sesta 相關的項目遭受重大損失。在 Curve MIM 池的情況下，儲戶爭先恐后的提取流動性。

數小時內從池中提取了大約 20 億美元的流動性。由于該池由 MIM 和 3Crv（另一個擁有 33.3% 的 USDT、USDC、DAI 的池）組成，儲戶選擇在 3Crv 中提取資金以避免與 MIM 相關的風險，這導致池中資產的構成變得不平衡。

隨著資金池轉向主要是 MIM，如果存款人選擇在 3Crv（或其任何組件）中提取資金，他們開始被收取更高的提款費。隨著資金池中的流動性越來越少，MIM 不再與美元掛鉤，提款費增長到一個地址因提款而損失 8000 萬美元的程度。由于這一事件，所有儲戶的總損失數額是巨大的。

雖然這本身并不是一個漏洞利用，但 Curve MIM 事件凸顯了經濟風險如何給 DeFi 用戶帶來可怕的損失。當談到經濟攻擊時，最常見的變量是價格操縱，通常是相對較低的市值或非流動資產。這些利用了協議穩定性機制中的漏洞，尤其是它們使用的預言機。

借貸協議 Cream Finance 和 Compound 已成為此事件的受害者，攻擊者使用閃電貸來操縱資產價格，使他們能夠人為地抬高抵押品的價格并將借貸能力提高到不可持續的程度。由于當時 Cream 和 Compound 使用的是鏈上預言機，因此攻擊者能夠通過閃電貸在一個區塊內完成所有這些操作。

盡管閃貸助長了許多此類攻擊，但它們并不是背后的主要原因。這些跡象表明協議容易受到人為操控的影響，有時甚至可以在沒有閃電貸款的情況下手動完成，例如在 BSC 中利用 Venus 協議的 2 億美元。我們將進一步討論用戶如何減輕涉及預言機、清算方和套利者的穩定性風險。

總體而言，這些經濟風險可能非常復雜，但可以通過查看這些協議的流動性變化以及它們使用的預言機等因素來監控。用戶可以采取更多措施來保護自己免受這些風險以及技術風險的影響。

減輕 DeFi 中的風險敞口

如前所述，DeFi 中最大的 50 起事件中有 66% 是由于技術風險，主要是智能合約錯誤。由于絕大多數人在智能合約代碼方面并不精通，這就引出了一個問題：我們能做些什么來預防這些風險？

第一步也是最簡單的步驟是檢查協議是否已經過審核。在發生率方面，我們所分析的大量漏洞利用未經審計。

值得注意的是，不止一名審計員可以審查這些協議并且仍然被利用。例如，Certik 和 NCC Group 對遭受 6.11 億美元黑客攻擊的 Poly Network 進行了審計。鑒于這些審計的跟蹤記錄，用戶可以評估他們可提供的價值，并可能根據歷史事件為協議被利用的可能性分配權重。然而，在這里，不僅需要看審計團隊經手的哪些項目遭受了攻擊，還需要查看已被他們安全審計的協議數量以及它們包含的鎖倉價值。

除了智能合約漏洞，我們還指出了私鑰管理可能帶來的風險。建議用戶對誰可以訪問協議背后的私鑰進行盡職調查。理想情況下，這些協議不僅具有具有多個（10 多個）地址的多重簽名，而且還包括其組織之外的知名人士。這相當于 DeFi 協議的導向器，除了比傳統意義上的漏洞暴露更大。通過遵守該標準，協議不太可能訪問其私鑰并Rug Pull用戶，因為他們無法以編程方式這樣做。

從經濟角度來看，值得用戶監控的是可能影響其存款安全的關鍵指標。對于 AMM 中的存款，尤其是像 Curve 這樣的穩定互換協議，值得關注流動性及其跨資產的構成。此外，如果這些地址提取資金，鯨魚地址中流動性的集中度也有助于評估頭寸在滑點或提款費用方面的脆弱性。

在借貸協議方面，最重要的是他們使用預言機跟蹤鏈下數據或使用資產的時間加權平均價格。這些有助于防止可能導致儲戶損失的價格操縱。同樣，如果共享流動性池中列出了非流動性的小盤資產，這些資產也可能被尋求提取資金的攻擊者人為夸大。

這些涵蓋了協議方面的風險，但用戶也可以采取其他措施來避免進一步的不利影響。其中最常見的包括使用硬件錢包、通過“burner”錢包使用小額資金，以及避免點擊可疑鏈接或與網絡釣魚詐騙互動。

結論

整個加密領域的風險比比皆是，DeFi 也不例外。盡管 DeFi 協議確實提供了比傳統金融更高的收益機會，但它們容易受到更大風險的影響，而且模式非常不同。盡管跟蹤所有這些風險肯定很復雜，但牢記這些風險，尤其是在您存入大量資金的情況下。

隨著加密規模的不斷擴大，黑客事件的影響也變得越來越大，但該行業正在建立最佳實踐以更好地降低這些風險。盡管成本高昂，但現在更多的協議選擇了審計，不使用多重簽名來管理存款的情況也越來越少。隨著開發人員從以前的攻擊中吸取教訓，用于價格的預言機也更具彈性。作為開源，加密可以為這些攻擊提供透明的洞察力，從而強化整個行業。最終，風險可能會貫穿整個加密領域，但越來越多的開發人員和用戶都可以采取措施來減輕風險。

作者：Into The Block 研究主管 Lucas Outumuro

編譯及整理：比推 Mary Liu

Tags：

DOT