宇宙链 宇宙链
Ctrl+D收藏宇宙链

DeFi协议是如何被黑客攻击的?

作者:

时间:1900/1/1 0:00:00

对几十次黑客攻击的分析确定了去中心化金融领域的主要载体和典型漏洞。

去中心化金融领域正在以惊人的速度增长。三年前,DeFi锁定的总价值仅为8亿美元。到2021年2月,这一数字已增至400亿美元;2021年4月,它达到了800亿美元的里程碑;现在,它的价值已经超过1400亿美元。一个新市场的如此快速增长,肯定会吸引各种黑客和欺诈者的注意。

根据加密货币研究公司的一份报告,自2019年以来,DeFi领域因黑客和其他漏洞攻击而损失了约2.849亿美元。从黑客的角度来看,对区块链生态系统的黑客攻击是一种理想的致富手段。因为这种系统是匿名的,他们有钱可赚,而且任何黑客都可以在受害者不知情的情况下进行测试和调整。在2021年的前四个月,损失达到了2.4亿美元。而这些只是公开知道的案例。我们估计真正的损失达到了数十亿美元。

基于 Teller 借贷协议的 SG Loans 首次向新加坡 DeFi 消费者提供无担保贷款:3月27日消息,建立在Teller 协议之上的去中心化借贷市场 SG Loans 宣布首次向新加坡 DeFi 消费者提供无担保贷款,借款人以新加坡信用局的信用报告的形式提交他们的链上凭证以及他们的链下凭证,Teller 的信用风险算法通过这些信息创建和分析借款投标请求,然后将投标请求提交给可以使用其资金以 USDC 偿还贷款的贷方。

据悉,SG Loans 是位于新加坡的去中心化和无担保贷款市场,通过 Polygon 建立在 Teller 协议之上,并与 Signum Capital 合作,使用户无需银行或传统贷款提供商即可获得个人无担保贷款。[2022/3/27 14:20:59]

DeFi协议的钱是如何被盗的?我们分析了几十起黑客攻击事件,确定了导致黑客攻击的最常见问题。

跨链DeFi平台Wing今日14时系统升级:据官方消息,根据Wing DAO社区第15次和20次投票结果,基于本体的首个跨链信用DeFi平台Wing将于北京时间12月25日14:00进行系统升级,预计升级时间3小时,升级期间将同时关闭FlashPool和InclusivePool的“借、贷、保”服务。升级后,WING的激励分配将根据每个币种的使用率x借出资产总额进行计算。同时,Kink(边际利率)点机制也将同时启用。[2020/12/25 16:28:16]

任何攻击都主要从分析受害者开始。区块链技术为自动调整和模拟黑客攻击的场景提供了许多机会。为了使攻击快速而隐蔽,攻击者必须具备必要的编程技能和智能合约工作原理的知识。黑客的典型工具包允许他们从网络的主要版本中下载自己的区块链的完整副本,然后对攻击过程进行全面调整,就好像交易发生在真实的网络中一样。

DeFi 概念板块今日平均跌幅为1.15%:金色财经行情显示,DeFi 概念板块今日平均跌幅为1.15%。47个币种中17个上涨,30个下跌,其中领涨币种为:TRB(+5.94%)、JST(+5.47%)、ANT(+5.07%)。领跌币种为:KCASH(-16.86%)、AMPL(-7.35%)、HDAO(-6.17%)。[2020/12/7 14:23:05]

接下来,攻击者需要研究项目的业务模式和使用的外部服务。业务逻辑的数学模型和第三方服务的错误是最常被黑客利用的两个问题。

智能合约的开发者在交易时需要的相关数据往往超过他们在任何特定时刻可能拥有的数据。因此,他们被迫使用外部服务——例如,预言机。这些服务并不是为在去信任的环境中运作而设计的,所以它们的使用意味着额外的风险。根据一个统计数据(自2020年夏天以来),既定类型的风险占损失的比例最小——只有10次黑客攻击,造成的损失总额约为5000万美元。

分析师:DeFi市场由业内人士驱动,没有太多新参与者:金色财经报道,加密货币分析师Alex Krüger今日发推称,“加密DeFi 2020”已经成为了一个由追求利润的加密业内人士所驱动的,重新激烈定价的故事。这次没有太多的新参与者。即使在代币完全没有价值的情况下,这一次大多数投资者都知道他们在投机毫无价值的代币。[2020/8/15]

智能合约在IT领域是一个相对较新的概念。尽管它们很简单,但智能合约的编程语言需要一个完全不同的开发范式。开发人员往往根本不具备必要的编码技能,并犯下严重错误,导致用户的巨大损失。 

安全审计只能消除这类风险的一部分,因为市场上的大多数审计公司对他们的工作质量不承担任何责任,只对财务方面感兴趣。由于编码错误,超过100个项目而被黑客攻击,造成的总损失约为5亿美元。一个鲜明的例子是发生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代币标准中的一个漏洞,结合重入攻击,偷走了2500万美元。

提供给智能合约的信息只在执行交易时相关。在默认情况下,合约不能幸免于对其中包含的信息进行潜在的外部操纵。这使得一系列的攻击成为可能。

闪电贷是一种没有抵押物的贷款,但需要在同一笔交易中归还所借的加密货币。如果借款人未能归还资金,交易将被取消。这种贷款允许借款人收到大量的加密货币并将其用于自己的目的。通常情况下,闪电贷攻击涉及价格操纵。攻击者可以先在交易中卖出大量借来的代币,从而降低其价格,然后在买回代币之前,以非常低的价值执行一系列行动。

矿工攻击类似于基于工作量证明共识算法的区块链上的闪电贷攻击。这种类型的攻击更加复杂和昂贵,但它可以绕过闪电贷的一些保护层。它的工作原理是这样的。攻击者租用挖矿能力,形成一个只包含他们需要的交易的区块。在给定的区块内,他们可以首先借用代币,操纵价格,然后归还借用的代币。由于攻击者独立形成了进入区块的交易,以及它们的顺序,攻击实际上是原子性的(不能将其他交易“嵌入”到攻击中),就像闪电贷的情况。这种类型的攻击已经被用来攻击100多个项目,损失总额约为10亿美元。

随着时间的推移,黑客的平均数量一直在增加。在2020年初,一次盗窃金额就高达数十万美元。到今年年底,这个数字已经上升到数千万美元。

最危险的风险类型涉及人为错误因素。人们为了寻求快速赚钱而求助于DeFi。许多开发人员资质很差,但仍试图在匆忙中推出项目。智能合约是开源的,因此很容易被黑客复制和改动。如果原始项目包含前三种类型的漏洞,那么它们就会蔓延到数百个克隆项目中。RFI SafeMoon是一个很好的例子,因为它包含一个关键的漏洞,被复制到一百个项目上,导致潜在损失超过20亿美元。

文:GUEST AUTHORS

标签:DEFDEFIEFIWINGRamp DeFiHEFI币wing币前景怎么样

火必交易所热门资讯
集体高潮才是未来:从YGG模式、Helium造物看元宇宙的未来

众所周知,Axie Infinite的成功离不开YGG在菲律宾地推,今天我想讲的就是将物理世界和元宇宙打通的关键:YGG模式和Helium模式。这或许是NFT走向大众的基础条件.

1900/1/1 0:00:00
去信任的“侧链-StarkEx”桥接

摘要 在侧链和 L2 之间转移资金的需求日渐旺盛目前的方法:经由 L1 (以太坊) —— 速度慢、成本高,但是去信任;经由 App (或 LP) —— 需要信任.

1900/1/1 0:00:00
收益分层协议 Gro 如何实现高低两类风险结构产品?

稳定币收益协议 Gro 目前提供低风险储蓄产品 PWRD 和高风险产品 Vault,会使用用户提供的稳定币在第三方 DeFi 协议获取收益,不同的是,Vault 在享受高收益的同时,需要为 PWRD 充当承保人.

1900/1/1 0:00:00
金色DeFi日报 | 攻击Poly Network的黑客开始归还资产

DeFi数据 1.DeFi总市值:1034.3亿美元 市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:46.

1900/1/1 0:00:00
一文说透与Web3.0相关的六个最值得关注的方向

如果让你用一句话形容Web3.0,你会怎么形容?Make Internet Great Again?(让互联网再次伟大)让数据所有权回归每个人?让信息与价值完全自由流动?我觉得都没毛病.

1900/1/1 0:00:00
加纳央行将与德国G+D公司合作启动CBDC试点项目

加纳是少数几个在Crypto领域活跃的非洲国家之一,该国正在采取具体措施促进Crypto领域的创新。在阿克拉举行的第五届加纳国际贸易和金融会议上,加纳副总统Mahamudu Bawumia博士指出,非洲各国政府应该采用数字货币.

1900/1/1 0:00:00