对数十起黑客攻击的分析确定了去中心化金融领域的主要载体和典漏洞。
去中心化的金融部门正以惊人的速度增长。三年前,DeFi locking的总价值仅为8亿美元。到2021年2月,这一数字已增至400亿美元;2021年4月,它达到了800亿美元的里程碑;现在,它的价值已经超过1400亿美元。一个新市场的快速发展必然会引起各种黑客和欺诈者的注意。
根据cryptocurrency research的一份报告,自2019年以来,由于黑客和其他漏洞攻击,DeFi领域损失了约2.849亿美元。从黑客的角度来看,区块链生态系统上的黑客攻击是致富的理想手段。因为这个系统是匿名的,他们可以赚钱,任何黑客都可以在受害者不知情的情况下测试和调整它。在2021年的前四个月,损失达到2.4亿美元。这些都是公开的案例。我们估计实际损失为数十亿美元。
DeFi协议的钱是怎么被偷的?我们分析了数十起黑客攻击,并确定了导致黑客攻击的最常见问题。
滥用第三方协议和业务逻辑错误
任何攻击都主要从分析受害者开始。区块链技术为自动调整和模拟黑客攻击场景提供了许多机会。为了使攻击快速隐蔽,攻击者必须具备必要的编程技能和智能合约工作原理的知识。典的黑客工具包允许他们从网络主版本下载区块链的完整副本,然后对攻击过程进行全面调整,就像交易发生在真实网络中一样。
接下来,攻击者需要研究项目的业务模和使用的外部服务。业务逻辑的数学模和第三方服务的错误是黑客最常利用的两个问题。
智能合约的开发者在交易时往往需要比任何特定时间都更多的相关数据。因此,他们被迫使用外部服务,例如预言机机器。这些服务的设计目的不是在不可信的环境中运行,因此它们的使用意味着额外的风险。据统计(自2020年夏天以来),特定类的风险占损失的比例最小——只有10次黑客攻击,总损失约5000万美元。
编码错误
智能合约是IT领域一个相对较新的概念。尽管它们很简单,但智能合约的编程语言需要一种完全不同的开发范式。开发人员通常根本不具备必要的编码技能,犯下严重错误,给用户造成巨大损失;
安全审计只能消除部分此类风险,因为市场上的大多数审计公司对其工作质量不承担任何责任,只对财务感兴趣。由于编码错误,100多个项目遭到黑客攻击,造成约5亿美元的总损失。一个突出的例子是2020年4月19日的dforce黑客事件。黑客利用erc-777代币标准中的漏洞,再加上一次再入攻击,偷走了2500万美元。
闪电贷款、价格操纵和矿工袭击
提供给智能合约的信息仅在交易执行时相关。默认情况下,合同中包含的信息可能受到外部操纵。这使得一系列攻击成为可能。
快闪贷款是一种无抵押贷款,但需要在同一笔交易中偿还借入的加密货币。如果借款人未能归还资金,交易将被取消。这种贷款允许借款人获得大量加密货币,并将其用于自己的目的。通常,闪电贷款攻击涉及价格操纵。攻击者可以首先在交易中出售大量借用的代币,从而降低其价格,然后在回购代币之前以极低的价格执行一系列操作。
miner攻击类似于基于工作量证明一致性算法的区块链闪电贷款攻击。这种类的攻击更为复杂和昂贵,但它可以绕过闪电贷款的某些保护层。它是这样工作的。攻击者租用挖矿功能以形成仅包含其所需事务的块。在给定的区块内,他们可以先借入代币,操纵价格,然后返还借入的代币。由于攻击者独立形成进入块的事务及其顺序,因此攻击实际上是原子性的(其他事务不能“嵌入”到攻击中),就像lightning loan的情况一样。此类攻击已被用于攻击100多个项目,总损失约10亿美元。
随着时间的推移,黑客的平均数量一直在增加。在2020年初,盗窃金额高达数十万美元。到今年年底,这一数字已上升到数千万美元。
开发者不称职
最危险的风险类涉及人为错误因素。人们向DeFi寻求快速赚钱。许多开发人员的资质很差,但仍试图匆忙启动项目。智能合约是开源的,因此很容易被黑客复制和更改。如果原始项目包含前三种类的漏洞,它们将扩散到数百个克隆项目。RFI safemoon就是一个很好的例子,因为它包含一个已复制到100个项目的关键漏洞,导致潜在损失超过20亿美元。
文章标题:DeFi协议为何频繁成为黑客攻击的目标?
文章链接:https://www.btchangqing.cn/312505.html
更新时间:2021年09月09日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
