宇宙链 宇宙链
Ctrl+D收藏宇宙链

金色观察 | TRM Labs:2022年DeFi和跨链桥攻击总结

作者:

时间:1900/1/1 0:00:00

文/TRM Labs,译/金色财经xiaozou

根据TRM Labs对黑客事件的回顾,针对DeFi项目和跨链桥的黑客攻击让加密货币生态系统今年成为黑客攻击创纪录的一年。截至2022年11月,被盗资金已超过36亿美元。

DeFi和非DeFi黑客攻击窃取的总金额

3.5:1——这是针对DeFi的黑客攻击与非DeFi攻击的比例。?

80——这是今年由于DeFi攻击导致的加密货币被盗总额的百分比,数额高达30亿美元。

11x——跨链桥黑客攻击平均规模大约是非跨链桥攻击的11倍。针对DeFi支持的跨链桥黑客攻击虽不如针对其他目标的黑客攻击那么常见,但平均规模要大得多。

金色数藏META官网Beta测试版预热页面正式上线:据官方消息,金色数藏META是由金色财经孵化、依托腾讯至信链的数字艺术文化收藏平台。目前金色数藏META官网Beta测试版预热页面已正式上线,可点击原文链接进行查看。[2022/5/18 3:24:47]

13——这是截至2022年11月,TRM Labs检测到的跨链桥黑客攻击数量,失窃金额近20亿美元。

9/10——截至当前,2022年10个最大的黑客攻击中有9个是针对DeFi的,其中有5个是针对跨链桥的。如能预防最大的9次DeFi攻击,将使65%的资金免于被盗。

据Defilama数据,DeFi的总锁定价值(TVL)在过去两年里呈爆炸式增长,从2020年10月的约100亿美元增长到2022年11月的420亿美元。Defilama数据同样显示,在11月底的7天里,桥交易量约为13亿美元。

雪碧平台于今日12:00开启金色算力云及瑶池IPFS云算力折扣抢购:据官方消息,雪碧平台于今日12:00(GMT+8)同时开启金色算力云及瑶池IPFS云算力抢购专场。

IPFS的构想由Juan Benet在2014年5月提出,目前已成为2020最火热的项目之一,受到众多投资机构的关注。

据悉,雪碧交易平台成立于2019年,已获得BiKi产业基金战略投资,注册用户约20万,是一家“社区联邦制”的数字资产交易平台。[2020/7/6]

除了规模庞大外,DeFi项目和跨链桥的其他两个关键特征使它们成为潜在黑客的理想目标,也更容易遭受攻击:

复杂性:DeFi生态系统复杂且相互关联,这让黑客以开发人员无法预料或测试的方式利用漏洞。例如,在闪电贷款攻击中,黑客可以使用与目标无关的服务来操纵资产价格或放大攻击对主要目标的影响。

分析 | 金色盘面:BTC反弹时要注意交易对风险:金色盘面综合分析:我们看到跌幅榜,多数跌幅前列的是以BTC、ETH为计价的标的,在BTC反弹时,应该注意控制风险。[2018/8/8]

透明度:DeFi项目自然非常重视透明度,通常构建在开源代码之上。这使得任何人,无论是安全研究人员还是黑客,都可以查看代码并搜寻可利用的漏洞。

一些黑客还声称,可以在不违反法律的情况下操纵和攻击DeFi项目。这可能导致潜在攻击者将DeFi项目视为比CeFi目标风险更低的项目。

2022年10月,基于Solana的平台Mango Markets损失了约1.15亿美元,原因是有个团队操纵了其价格预言机(决定代币价值的权威)。自称为黑客领袖的Avraham Eisenberg后来透露了自己的身份,并将其团队活动描述为“利润丰厚的交易策略”,而非黑客行为。Eisenberg是否会被起诉,目前尚不清楚。

金色财经现场报道 华为区块链高级产品经理刘再耀:未来基于区块链的云服务预计将占6成以上的收入:金色财经现场报道,在2018大数据产业峰会上,华为区块链高级产品经理刘再耀表示,区块链的市场空间主要来自产品(服务器,存储设备,网络设备以及相应的区块链软件产品和工具等)和服务的收入,未来基于区块链的云服务预计将占6成以上的收入。[2018/4/19]

Mango Markets黑客发布推文称其行为是合法的

到目前为止,基础设施攻击、代码漏洞攻击和协议攻击占今年黑客窃取资金总量的大部分。一些黑客还组合使用这些攻击类型来窃取资金。

基础设施攻击让黑客侵入目标的安全控件,进行未经授权的交易,例如将资金从受害者地址发送到黑客所控地址。这种攻击类型的常见方法有窃取私钥、助记词,及前端攻击。

针对智能合约的代码漏洞攻击使攻击者能够在未经授权的情况下从DeFi协议中移除资金。在智能合约代码漏洞攻击中,黑客可能会使用已发现的漏洞对协议展开攻击。今年早些时候,Solana的wormhole桥成为黑客攻击的目标,导致该DeFi协议中超过3亿美元被盗取。

协议攻击是一种业务逻辑攻击,主要结果是攻击者可以操纵代币的价格,并创造套利机会,在一个市场低买,在另一个市场高卖。闪电贷款和治理操纵是其中最常见的协议攻击类型。

最近FTX和其他备受瞩目的中心化加密公司(如Celsius和Voyager等CeFi)的失败,可能会使人们对DeFi解决方案越来越感兴趣。如果投资者因此大批涌向DeFi,可能会进一步助长黑客的攻击动机。

为了降低这种风险,DeFi项目应该求助于传统的bug赏金计划、智能合约安全审计和商业安全解决方案。

传统的bug赏金计划给黑客和安全研究人员发放奖励,激励他们发现漏洞并将漏洞报告给DeFi项目。然后就可以在攻击利用该漏洞之前修补该漏洞。相比之下,加密赏金计划在攻击后向黑客支付资金鼓励其归还一定比例的被盗资金,这实际上会激励黑客的攻击行为。

安全审计可以发现DeFi项目顶梁柱——智能合约——中的漏洞,允许项目在黑客得以利用这些漏洞之前将其修复。但是,审计并不是万无一失的,应该与其他安全控件和策略合并使用。

新的商业解决方案正在开发,以提高整个DeFi生态系统的安全性。特别是当与现有的控件(如智能合约审计)相结合时,创新的安全产品可能会提供更好的DeFi安全性,尽管现在判断其效力还为时过早。

当结合使用时,这些控件和技术可以缩小DeFi协议的攻击面。随着DeFi的不断增长,黑客将寻求更大胆的方法来利用其弱点和漏洞——因此,保持持续的警惕性必不可少。

金色财经 子木

金色早8点

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

深潮TechFlow

念青

Odaily星球日报

腾讯研究院

标签:EFIDEFDEFI区块链GameFiDefiPlazaDeFi Yield Protocol区块链技术通俗讲解简书

以太坊最新价格热门资讯
加密风投反思 FTX 崩盘:如何优化投资管理机制、避免为 FOMO 买单?

作者:flowie,ChainCatcher“ 上一轮加密牛市中,风险投资机构仓促完成交易,而缺乏尽调“,这是 FTX 发生大面积挤兑前一天.

1900/1/1 0:00:00
新加坡放弃成为加密货币活动枢纽 调查币安

链新(ID:ChinaBlockchainNews)原创 作者 | 杨郑君 FTX破产的余波仍在蔓延。11月30日,新加坡副总理兼财政部长黄循财在国会上表示,新加坡没有计划成为加密货币活动的枢纽,此前人们对区块链技术的看法过于乐观.

1900/1/1 0:00:00
新人快速入门Web3行业六步曲

BlockBeats 注:对于刚刚入圈的 Web3 新人,从哪方面开始学习 Web3 基础知识,如何在行业立足可能感到很困惑.

1900/1/1 0:00:00
2023会是Move生态掘金元年么?

公链是加密世界经久不衰的主流叙事,即使目前有 30+的主流 Layer 1 ,运行着上百万+的各类DeFi、NFT、GameFi和 SociaFi 等DApp.

1900/1/1 0:00:00
后暴雷时代:用户教育至关重要 在 CEX中大力引入Web3.0治理

James QU@PlatON,东京在全球监管风暴下,CEX却逐渐丧失了用户对它的信任,原因何在?也许FTX事件并非唯一的导火索。纵观2022年,加密市场都在逆风而行.

1900/1/1 0:00:00
以太坊扩容的“点睛之笔”

本文不重在讲述ZK技术的技术细节,而在于尽可能多的描绘ZK的应用方向,ZK技术的迭代仍在持续进行中,但是技术的落地需要应用来承载,我们会从最接近用户的应用层逐步深入至底层EVM、L2、跨链桥和公链.

1900/1/1 0:00:00