宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > NEAR > 正文

DeFi 频遭攻击,真的足够「去中心化」吗?

作者:

时间:1900/1/1 0:00:00

DeFi——去中心化金融,不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与,DeFi利用了区块链的技术,逐渐发展出有别于传统金融的金融商品,疯狂受到追捧。根据DeFiPulse的数据,DeFi锁仓量已飙升了200%以上,从2021年1月份的$320亿到12月份的$980亿。DeFi作为去中心化世界的明星产物,凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。

不过,DeFi真的足够「去中心化」吗?

从协议层面以及交互方式来看,DeFi的确足够去中心化。但从一些攻击事件上看,DeFi似乎显得不那么去中心化。

?

DeFi 概念板块今日平均跌幅为3.98%:金色财经行情显示,DeFi 概念板块今日平均跌幅为3.98%。47个币种中8个上涨,39个下跌,其中领涨币种为:DMG(+15.74%)、YFII(+8.58%)、REP(+5.05%)。领跌币种为:PEARL(-15.53%)、HOT(-13.88%)、HDAO(-13.87%)。[2021/7/20 1:04:06]

2021年7月14日,波卡数字收藏品市场平台BondlyFinance遭到攻击,导致373,088,023美元的BONDLY代币从BondlyStakingRewards合约中转出,据官方调查,攻击者通过精心策划获得了属于Bondly首席执行官BrandonSmith的密码帐户的访问权限。密码帐户包含Smith的硬件钱包的助记符恢复短语,复制后允许攻击者访问BONDLY智能合约,以及被泄露的公司钱包。

DeFi项目总市值突破140亿美元,LINK占比超50%:金色财经报道,据DeBank数据显示,当前DeFi项目总市值突破140亿美元。其中,市值排名前五的代币为:LINK市值为71.44亿美元,占比50.72%、SNX市值为7.54亿美元,占比为5.35%、UMA市值为7.14亿美元占比为5.07%、LEND市值为6.64亿美元,占比为4.71%、MKR市值为6.23亿美元,占比为4.42%。

注:\"DeFi 项目市值\"是衡量一个 DeFi 项目估值的指标。( DeFi 项目市值 = DeFi 项目代币价格 x 代币流通供应量 )[2020/8/17]

有趣的是,该黑客似乎在四个月后又以相似的方式攻击了另一个DeFi项目。

DeFi贷款协议bZx公布BZRX地址,代币将于7月13日开始释放:7月12日消息,DeFi贷款协议bZx在推特表示,其代币BZRX地址已经确定为0x56d811088235F11C8920698a204A5010a788f4b3,目前正在等待更新代币logo。

此前报道,bZx团队决定将分配给众筹所用的代币置于一个为期4年的锁定合约,最短生效期(cliff)为6个月,BZRX代币释放的时间为美东时间7月13日10时,即北京时间7月13日22时开始计算。不过,目前团队并没有公布更多信息,包括可购买该代币的交易平台以及代币价格等。[2020/7/12]

2021年11月5日,DeFi协议bZx发推称控制Polygon和BSC部署的私钥已被泄露,导致资金损失。据官方调查,黑客使用的钱包之一参与了BondlyFinance的攻击。同时,本次漏洞利用与BondlyFinance的非常相似:黑客获得了开发人员的密码,然后从协议中操纵了一个智能合约。不久,bZx在更新的事故报告表示:“我们聘请了一家名叫Kaspersky的安全公司,该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织Lazarus执行的。”据慢雾AML旗下反追踪系统MistTrack?分析,攻击者初始资金来自Tornado.Cash转入的0.9ETH,接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为ETH,最后通过Tornado.Cash转出10960ETH,以太坊部分的洗币基本完成。

DeFi协议Ren推出核心产品RenVM:5月27日,由Polychain Capital和FBG Capital支持的DeFi协议Ren推出了其核心产品“RenVM”。RenVM允许用户以ERC-20的形式创建代币化BTC、BCH和ZEC,以在以太坊生态系统中使用。(Cointelegraph)[2020/5/27]

以上两个事例都是无关合约问题,而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期,私钥泄露似乎变得非常热门:Levyathan损失150万美元、8ightFinance损失175万美元、VulcanForged损失1.4亿美元……我们不禁想,这是不是表示着线下实体实际掌管着控制权呢?

除了钓鱼攻击,前端攻击也是引发DeFi安全问题的高危据点。

2021年12月2日,据官方Discord消息,去中心化组织BadgerDAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。12月9日,Badger?发布了详细的事故报告,报告称此次事件是CloudflareWorkers上的恶意注入代码片段导致的。CloudflareWorkers是一个运行脚本的界面,这些脚本在流经Cloudflare代理时对Web流量进行操作和更改。攻击者在Badger工程师不知情或未授权的情况下获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易,就会将代币授权给攻击者,然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾AML旗下反追踪系统MistTrack分析,黑客将部分获利的加密货币换成renBTC,并通过renBTC将约2100BTC跨链转移到14个BTC地址,目前暂无异动。

在DeFi世界,合约一旦部署不可篡改不可撤回,理论上来说是不会受到人为的干预,这点确保了其去中心化的特点,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但是仍存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视,这些错误因素使得攻击者饱餐了一顿又一顿。

2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平台Miso的前端遭受攻击。承包商的一名匿名员工将恶意代码注入Miso前端,把拍卖钱包地址替换成了自己的钱包地址,导致864.8ETH被盗。

当前端问题开始影响资金的安全性,作为用户不得不深思如何才能做到安全地参与DeFi项目,简直如履薄冰。

总结

不管怎样,“DeFi是否完全去中心化”这个问题也许会一直存在。与其说去中心化是DeFi最大的特性,不如说是DeFi世界的终极目标。而不论是作为用户、审计机构还是作为项目方,我们经历过如此多的DeFi安全事件后,是否仍然只将注意力聚焦到智能合约上呢?答案不言而喻。

标签:DEFDEFIEFIREN比特令牌币defi3.0My Defi LegendsDeFinitionVaren

NEAR热门资讯
如何利用区块链提高供应链金融数字化水平?

2021年12月,清华大学社会治理与发展研究院与中关村大数据产业链盟联合发布了《中国区块链产业生态地图报告》。报告指出,目前,我国的区块链应用以供应链金融、商品溯源、版权存证、司法存证等为主.

1900/1/1 0:00:00
一文解释为什么金融科技将在元宇宙中发挥关键作用

与许多其他领域一样,元宇宙的这个虚拟空间激发了金融创新者的渴望,他们希望了解金融科技和新的金融科技解决方案如何在这个全新的世界中提供金融服务。用于创建新商业模式的元宇宙技术可能会促使加密货币作为一种大规模替代金融系统的出现.

1900/1/1 0:00:00
迪士尼获得主题公园元宇宙的技术专利

迪士尼的一项专利获得批准,该专利将为主题公园游客创造个性化的互动景点。这项技术将促进迪士尼主题公园的无头盔增强现实(AR)景点。这项技术将通过追踪使用手机的游客,生成和投射个性化的3D效果到附近的物理空间、墙壁和公园里的物体上.

1900/1/1 0:00:00
Coinbase报告:真正的「以太坊杀手」也许是以太坊自己

原文标题:《IsETH2.0thereal"ETHKiller"?》原文作者:DavidDuong,Coinbase机构研究部门主管编译:Odaily星球日报 内容概述 ●Layer1(L1)替代方案越来越受欢迎.

1900/1/1 0:00:00
区块链漫画平台TooNFT完成175万美元融资,HG Ventures等参投

据U.Today1月11日报道,基于区块链的网络漫画平台TooNFT完成175万美元融资,HGVentures、GBIC、Alphabit、AdaptiveLabs、MindfulnessCapital和PrestigeFund等参投.

1900/1/1 0:00:00
当图像碰上区块链会产生怎样的化学反应?

前言 图像碰到区块链会产生怎样的化学反应?从图像形成到传播,我们细细道来。图像的形成方式多种多样,常见的方式是基于各类的传感器所收集的原始数据所构成.

1900/1/1 0:00:00