DeFi —— 去中心化金融,不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与,DeFi 利用了区块链的技术,逐渐发展出有别于传统金融的金融商品,疯狂受到追捧。根据 DeFi Pulse 的数据,DeFi 锁仓量已飙升了 200% 以上,从 2021 年 1 月份的 $320 亿到 12 月份的 $980 亿。DeFi 作为去中心化世界的明星产物,凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。
不过,DeFi 真的足够「去中心化」吗?
从协议层面以及交互方式来看,DeFi 的确足够去中心化。但从一些攻击事件上看,DeFi 似乎显得不那么去中心化。
2021 年 7 月 14 日,波卡数字收藏品市场平台 Bondly Finance 遭到攻击,导致 373,088,023 美元的 BONDLY 代币从 Bondly Staking Rewards 合约中转出,据官方调查,攻击者通过精心策划获得了属于 Bondly 首席执行官 Brandon Smith 的密码帐户的访问权限。密码帐户包含 Smith 的硬件钱包的助记符恢复短语,复制后允许攻击者访问 BONDLY 智能合约,以及被泄露的公司钱包。
基于Cosmos的DeFi协议Onomy完成1000万美元融资:金色财经报道,基于Cosmos的DeFi协议Onomy完成1000万美元融资,参投方包括Bitfinex、GSR Markets、Ava Labs、CMS Holdings和DWF Labs等。本轮融资旨在扩大团队规模。Onomy旨在融合DeFi和外汇市场,其产品包括Layer1区块链网络和跨链桥,以及名为Onex的去中心化交易所和非托管钱包。Onomy的主网将在未来几天启动。(the block)[2022/11/23 8:01:42]
有趣的是,该黑客似乎在四个月后又以相似的方式攻击了另一个 DeFi 项目。
2021 年 11 月 5 日,DeFi 协议 bZx 发推称控制 Polygon 和 BSC 部署的私钥已被泄露,导致资金损失。据官方调查,黑客使用的钱包之一参与了 Bondly Finance 的攻击。同时,本次漏洞利用与 Bondly Finance 的非常相似:黑客获得了开发人员的密码,然后从协议中操纵了一个智能合约。不久,bZx 在更新的事故报告表示:“我们聘请了一家名叫 Kaspersky 的安全公司,该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织 Lazarus 执行的。”据慢雾 AML 旗下反追踪系统 MistTrack?分析,攻击者初始资金来自 Tornado.Cash 转入的 0.9 ETH,接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为 ETH,最后通过 Tornado.Cash 转出 10960 ETH,以太坊部分的洗币基本完成。
DeFi总锁仓量突破650亿美元,续刷历史新高:金色财经报道,据Debank数据显示,DeFi总锁仓量突破650.2亿美元,当前锁仓金额排名前五的去中心化金融协议为:Compound(72亿美元)、Maker (69亿美元)、PancakeSwap(63亿美元)、Uniswap(54亿美元)和SunshiSwap(52亿美元)。
注:总锁仓量(TVL)是衡量一个 DeFi 项目使用规模时最重要的指标,通过计算所有锁定在该项目智能合约中的ETH及各类ERC-20代币的总价值(美元)之和而得到。[2021/3/31 19:31:45]
以上两个事例都是无关合约问题,而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期,私钥泄露似乎变得非常热门:Levyathan 损失 150 万美元、8ight Finance 损失 175 万美元、Vulcan Forged 损失 1.4 亿美元……我们不禁想,这是不是表示着线下实体(DeFi 开发人员)实际掌管着控制权呢?
DeFi借贷协议规模创历史新高,超130亿美元:金色财经报道,据Debank数据显示,截止今日10时,DeFi借贷协议规模创历史新高,超130亿美元,其中:Compound占比为42.54%位居第一,Maker占比23.11%位居第二,Venus占比22.52%位居第三。注:去中心化的借贷市场是一个基于智能合约的网络系统,加密货币持有者可以在这里将他们的链上资产/通证借给他人来获得利润。
据行情显示,COMP日内涨幅超10%,现报416.19美元。[2021/3/30 19:28:18]
除了钓鱼攻击,前端攻击也是引发 DeFi 安全问题的高危据点。
2021 年 12 月 2 日,据官方 Discord 消息,去中心化组织 Badger DAO 遭遇黑客攻击,用户资产在未经授权的情况下被转移。12 月 9 日,Badger?发布了详细的事故报告,报告称此次事件是 Cloudflare Workers 上的恶意注入代码片段导致的。Cloudflare Workers 是一个运行脚本的界面,这些脚本在流经 Cloudflare 代理时对 Web 流量进行操作和更改。攻击者在 Badger 工程师不知情或未授权的情况下获取了项目方在 Cloudflare 后台的 API Key,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易,就会将代币授权(approve)给攻击者,然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾 AML 旗下反追踪系统 MistTrack 分析,黑客将部分获利的加密货币换成 renBTC,并通过 renBTC 将约 2100 BTC 跨链转移到 14 个 BTC 地址,目前暂无异动。
DeFi项目Xfinance计划于9月10日进行代币XFI的预售:DeFi项目Xfinance宣布将与LID Protocol达成合作,于9月10日在LID预售Dapp上进行代币XFI的预售。LID Protocol通过使用标准化的非托管预售智能合约来锁定流动性,解决了Uniswap退出问题。
在预售完成后,60%的ETH将永久被锁定在Uniswap的流动性中,15%的ETH将在预售结束后72小时内回购和销毁XFI代币,以防止任何形式的抛售,从而减少供应,增加需求。(Bitcoin.com)[2020/9/7]
在 DeFi 世界,合约一旦部署不可篡改不可撤回,理论上来说是不会受到人为的干预,这点确保了其去中心化的特点,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但是仍存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视,这些错误因素使得攻击者饱餐了一顿又一顿。
2021 年 9 月 17 日,Sushiswap CTO 在推特上表示,Sushiswap IDO 平台 Miso 的前端遭受攻击。承包商的一名匿名员工将恶意代码注入 Miso 前端,把拍卖钱包地址替换成了自己的钱包地址,导致 864.8 ETH(约 307 万美元)被盗。
当前端问题开始影响资金的安全性,作为用户不得不深思如何才能做到安全地参与 DeFi 项目,简直如履薄冰。
总结
不管怎样,“DeFi 是否完全去中心化”这个问题也许会一直存在。与其说去中心化是 DeFi 最大的特性,不如说是 DeFi 世界的终极目标。而不论是作为用户、审计机构还是作为项目方,我们经历过如此多的 DeFi 安全事件后,是否仍然只将注意力聚焦到智能合约上呢?答案不言而喻。
参与 DeFi 项目本质上是把手中的资产转移或授权给 DeFi 项目方,存在个人极大程度上不可控的安全风险。那我们普通用户能做什么?慢雾为您准备了一份“DeFi 资产安全解决方案”,点击原文即可查阅。
标签:EFIDEFIDEFFINInfiniityDeFiDEFILANCER币DEFIDOCLIMB TOKEN FINANCE
12月9日,香港地产大亨、新世界执行副主席兼行政总裁郑志刚宣布,投资了区块链沙盒游戏The Sandbox,以500万美元买下了游戏中最大的虚拟土地。据称,该地块将包括一个“创新中心”,用来展示大湾区创业公司的商业成功.
1900/1/1 0:00:002021年,"Rug Pull "已成为整个DeFi领域中“年销售量”最多的类型之一。随随便便去媒体上搜索关键词,就可以出来一票新闻: 资讯来源:金色财经 "Rug Pull "通俗一点来说,就是项目方跑路.
1900/1/1 0:00:0012月22日下午,中央网信办信息化发展局、中央宣传部版权管理局、国务院办公厅电子政务办公室、最高人民法院信息中心、最高人民检察院检察技术信息研究中心、教育部科学技术与信息化司、工业和信息化部信息技术发展司、民政部信息中心、司法部信息中.
1900/1/1 0:00:002021年是加密市场大热的一年,那么2022呢?谁也说不准。大家也都有所想法。本文也随便说几句。不过需要申明的是,本人不是财务顾问,文章仅用于技术交流和娱乐目的。过去的2021 年跌宕起伏,对于加密市场来说持续大热,可以说是高烧不退.
1900/1/1 0:00:00西班牙《阿贝赛报》网站近日报道称,区块链技术正在成为保护食品安全的“有力武器”。由于在数据登记和监控方面享有安全性、匿名性和速度,区块链正进入到越来越多的商业模式中.
1900/1/1 0:00:00美东时间周二上午,美国参议院银行、住房和城市事务委员会举行题为「稳定币:它们如何工作,它们如何使用,以及它们的风险是什么? 」主题听证会,会议由银行委员会主席 Sherrod Brown (D-OH) 安排.
1900/1/1 0:00:00