2020年数字货币反洗钱报告:defi成为黑客的“蜜罐”,年损失超过2.5亿美元

释放双眼,带上耳机,听听看~!
2020年10月DeFi攻击损失达到3380万美元,为全年 DeFi 攻击造成损失最多的一个月;11月,DeFi攻击达到10起,为全年攻击频率最高的一个月。

分散金融(Defi)是一个动荡的战国时代。

2020年被称为“defi元年”,数以百计的defi项目正在世界范围内涌现。这些defi项目拥有超过100亿的虚拟货币资产,就像黑客的蜜罐。

根据peckshield发布的《2020年度数字货币反洗钱报告》,2020年10月,defi攻击损失3380万美元,是全年损失最大的月份;11月,defi攻击数量达到10起,是全年发病频率最高的月份。

2020年数字货币反洗钱报告:defi成为黑客的“蜜罐”,年损失超过2.5亿美元插图

2020年defi安全事件及损失统计

蜜罐引来黑客洗钱新方法

2020年,黑客将不仅关注交易所、金融钱包等聚集了绝大多数用户虚拟资产的领域,还将关注菜鸟defi。

由于大部分产品都是基于智能合约和交互协议构建的,组合玩法越来越多,代码普遍开源,资产完全在链上,行业规模增长潜力巨大,因此成为2020年黑客关注的焦点。

根据《paidun 2020年度数字货币反洗钱报告》,2020年,虚拟货币黑客攻击仍呈爆发趋势,达到170起,较2018年、2019年增长300%;攻击造成的经济损失高达23.3亿美元,较2019年增长660%,较2018年增长7.2%。

2020年数字货币反洗钱报告:defi成为黑客的“蜜罐”,年损失超过2.5亿美元插图1

虚拟货币黑客攻击的安全事件统计

2020年数字货币反洗钱报告:defi成为黑客的“蜜罐”,年损失超过2.5亿美元插图2

虚拟货币黑客攻击安全事件造成的经济损失统计

其中,DEFI攻击事件60起,损失超过2.5亿美元。在这60起攻击中,至少有10起是闪贷攻击,包括BZX、balancer、harvest、Akropolis、cheese bank、value defi和origin Protocol等多个项目。黑客利用闪贷以极低的成本撬动巨额资金,在多个协议中操纵或套利价格。

至少有五次与WiFi相关的重入攻击。再入攻击是以太坊智能合约最经典的攻击之一。著名的Dao盗窃事件是攻击者利用重入攻击造成以太坊硬分叉,损失价值5000万美元。

一方面,区块链产业的蓬勃发展,不断推动行业联动和自律的完善;另一方面,技术创新衍生出新的洗钱方式,虚拟货币反洗钱也迎来了新的挑战。

9月26日,交易所kucoin被盗走价值2亿多美元的虚拟货币。事发后,库考因联系了多家集中虚拟货币交易所(cefi)、项目方、安全机构和警方,并采取了一些有效措施追查被盗资产。库科因称,到目前为止,85%的被盗资产已被追回。

安全事件发生后,交易所和cefi(集中财务)及时损失。虽然部分丢失的资产得到了有效冻结和追回,但在cefi联合冻结后,黑客陆续将被盗资产转给了包括uniswap、kyber等在内的去中心化交易所(DEX),并逐一进行了大扫除。

此次黑客攻击开创了技术与金融洗钱相结合的先例,给虚拟货币兑换的反洗钱工作带来了新的挑战。

派克谢尔德·派登指出,过去黑客攻击交易所窃取数字货币后,只是通过货币混和等技术将窃取的虚拟资产直接送出交易所,然后通过取款获利。黑客的攻击使用DEX逐一清除,目标是虚拟货币市场放松对新兴领域警惕的地方。

金融创新是一种奇思妙想

今年11月以来,闪电贷款攻击事件频发,一周内发生4起闪电贷款攻击事件。闪贷是一种创新的金融工具,用于高效地提供大量资金,促进价值循环。然而,它经常被攻击者利用,成为黑客下“金蛋”的鸡。

区块链闪贷是一种无抵押贷款的贷款方式,但贷款人必须在同一区块内偿还贷款,否则交易将失败。所以闪电贷款对于贷款平台来说基本上是零成本零风险。而黑客可以利用这种贷款方式,以很小的成本贷出大量资金,然后利用这些资金造成一些虚拟货币的价格波动,然后从中获利。

2020年数字货币反洗钱报告:defi成为黑客的“蜜罐”,年损失超过2.5亿美元插图3

BZX闪电攻击

以BZX为例,攻击者通过dydx flash loan借出10000 eth。然后,攻击者以其中5家为例,以500 eth存款复合物为抵押,出借112支wbtc,第四步卖出;然后攻击者利用BZX的杠杆交易功能做空eth,大量买入wbtc,从而抬高了uniswap中wbtc的价格;当uniswap中的wbtc价格飙升(价格为61.4weth/wbtc)后,攻击者在第二步出售通过化合物借入的112个wbtc,所有wbtc都在uniswap中出售并返还给相应的weth。最后,攻击者偿还了闪电贷款,获利6871.41 eth。

佩克希尔德佩顿说:“闪电贷款是一项非常有意义的金融创新,是对传统金融的创新。但是,应该在安全的基础上鼓励创新,从而构建DEFI可持续发展的基石。”

针对defi存在的安全问题,peckshield建议在新合约上线前,我们应该对智能合约进行全面专业的安全审计,检查各种已知漏洞;另一方面,我们要注意与其他供应商核对产品组合中的业务逻辑漏洞,避免交叉合同逻辑兼容性漏洞;最重要的是设计一定的风险控制断路器机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,以便在第一时间应对安全风险,及时检查和阻止安全攻击。一旦遇袭,要通过联动行业各方力量,建立一套完善的资产跟踪机制。进攻结束后,我们需要检查和填补漏洞,完善防御体系。

人已赞赏
头条资讯

能源区块链研究 | 重启能源公司与互联资本战略基金在罗马尼亚地区向绿色能源投资5亿美元

2021-1-15 3:01:33

头条行情资讯

平行链槽拍卖临近,博卡生态项目入市点

2021-1-15 3:22:04

9 条回复 A文章作者 M管理员
  1. 6116

    区块链项目业务支撑是什么

  2. 豪门资本豪誠

    3亿用户就值两个比特币吗?

  3. shen

    不跑~还得送钱

  4. Fishking

    晕 不信啊比特币

  5. sars

    开空舒服

  6. Rx, Kerner

    没希望了,盘头自己都上去割了

  7. 牧羊社区

    号号号~棒棒棒

  8. 2898

    空就对了!

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索