宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 火币APP > 正文

DeFi 频遭攻击 真的足够「去中心化」吗?

作者:

时间:1900/1/1 0:00:00

DeFi——去中心化金融,不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与,DeFi利用了区块链的技术,逐渐发展出有别于传统金融的金融商品,疯狂受到追捧。根据DeFiPulse的数据,DeFi锁仓量已飙升了200%以上,从2021年1月份的$320亿到12月份的$980亿。DeFi作为去中心化世界的明星产物,凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。

不过,DeFi真的足够「去中心化」吗?

从协议层面以及交互方式来看,DeFi的确足够去中心化。但从一些攻击事件上看,DeFi似乎显得不那么去中心化。

2021年7月14日,波卡数字收藏品市场平台BondlyFinance遭到攻击,导致373,088,023美元的BONDLY代币从BondlyStakingRewards合约中转出,据官方调查,攻击者通过精心策划获得了属于Bondly首席执行官BrandonSmith的密码帐户的访问权限。密码帐户包含Smith的硬件钱包的助记符恢复短语,复制后允许攻击者访问BONDLY智能合约,以及被泄露的公司钱包。

Galaxy Digital CEO:DeFi网络需要在监管来临前加强其安全性:Galaxy Digital首席执行官Mike Novogratz在推特上发布了一些对DeFi网络的建议,他表示:“要么现在就投资合规层,要么以后再付出代价。 \"他表示,监管机构越来越关注这个领域。如果该行业要蓬勃发展,DeFi网络需要加强安全性并“遵守规则”。(Business Insider)[2021/6/24 0:03:46]

有趣的是,该黑客似乎在四个月后又以相似的方式攻击了另一个DeFi项目。

2021年11月5日,DeFi协议bZx发推称控制Polygon和BSC部署的私钥已被泄露,导致资金损失。据官方调查,黑客使用的钱包之一参与了BondlyFinance的攻击。同时,本次漏洞利用与BondlyFinance的非常相似:黑客获得了开发人员的密码,然后从协议中操纵了一个智能合约。不久,bZx在更新的事故报告表示:“我们聘请了一家名叫Kaspersky的安全公司,该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织Lazarus执行的。”据慢雾AML旗下反追踪系统MistTrack?分析,攻击者初始资金来自Tornado.Cash转入的0.9ETH,接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为ETH,最后通过Tornado.Cash转出10960ETH,以太坊部分的洗币基本完成。

DeFi智能投顾Rari Capital首席执行官开始设计RGT代币经济2.0的新提案:DeFi智能投顾Rari Capital(RGT)CEO Jai Bhavnani表示,已经开始设计RGT代币经济2.0的新提案,距离完成还有很长时间。Bhavnani提醒,如果该提案通过,没有为Rari生态系统贡献价值的用户,将会被稀释。[2021/2/10 19:26:49]

调查:DeFi被大规模采用还需3至10年时间:Cointelegraph最近对DeFi展开一项调查,结果显示,在所有的受访者中,89%的人同意DeFi具有广泛的可扩展性,并最终会成为主流,8%的人不同意这种说法。在DeFi领域中,48%的顶级项目预计在三到五年后才会被主流采用,而8%的人认为这可能需要超过10年的时间。[2020/9/23]

以上两个事例都是无关合约问题,而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期,私钥泄露似乎变得非常热门:Levyathan损失150万美元、8ightFinance损失175万美元、VulcanForged损失1.4亿美元……我们不禁想,这是不是表示着线下实体实际掌管着控制权呢?

除了钓鱼攻击,前端攻击也是引发DeFi安全问题的高危据点。

Defi总锁仓量已减少45%:以太坊网络一度堵塞,浏览器显示转账确认时间曾高达44分钟,疑似是因为ETH暴跌导致Defi平台大量清算。据Defi Pulse显示,Defi总锁仓量已经下降到6.8亿美金,仅3月12日锁仓量已减少2亿美金,据今年锁仓量最高点12.3亿美金已减少 45%。[2020/3/12]

2021年12月2日,据官方Discord消息,去中心化组织BadgerDAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。12月9日,Badger?发布了详细的事故报告,报告称此次事件是CloudflareWorkers上的恶意注入代码片段导致的。CloudflareWorkers是一个运行脚本的界面,这些脚本在流经Cloudflare代理时对Web流量进行操作和更改。攻击者在Badger工程师不知情或未授权的情况下获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易,就会将代币授权给攻击者,然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾AML旗下反追踪系统MistTrack分析,黑客将部分获利的加密货币换成renBTC,并通过renBTC将约2100BTC跨链转移到14个BTC地址,目前暂无异动。

在DeFi世界,合约一旦部署不可篡改不可撤回,理论上来说是不会受到人为的干预,这点确保了其去中心化的特点,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但是仍存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视,这些错误因素使得攻击者饱餐了一顿又一顿。

2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平台Miso的前端遭受攻击。承包商的一名匿名员工将恶意代码注入Miso前端,把拍卖钱包地址替换成了自己的钱包地址,导致864.8ETH被盗。

当前端问题开始影响资金的安全性,作为用户不得不深思如何才能做到安全地参与DeFi项目,简直如履薄冰。

总结

不管怎样,“DeFi是否完全去中心化”这个问题也许会一直存在。与其说去中心化是DeFi最大的特性,不如说是DeFi世界的终极目标。而不论是作为用户、审计机构还是作为项目方,我们经历过如此多的DeFi安全事件后,是否仍然只将注意力聚焦到智能合约上呢?答案不言而喻。

参与DeFi项目本质上是把手中的资产转移或授权给DeFi项目方,存在个人极大程度上不可控的安全风险。那我们普通用户能做什么?慢雾为您准备了一份“DeFi资产安全解决方案”,点击原文即可查阅。

标签:EFIDEFIDEFBONDLYWDEFI价格Bearn Defi Protocolbondly币最新消息

火币APP热门资讯
最大化新NFT产品媒体覆盖率的五种方法

加密世界在过去五年中呈爆炸式增长,主流媒体对该行业的报道在十年前是不可想象的。甚至特斯拉、星巴克等大公司也接受加密货币购买。? 不过也有新公司或个人进入该领域,并且几乎每天都在铸造新的NFT.

1900/1/1 0:00:00
项目周刊|沃顿商学院教授:比特币已成为千禧一代的新黄金

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.

1900/1/1 0:00:00
NFT真正的价值是什么?

关于NFT的官方定义是:Non-FungibleToken,非同质化代币。它代表了区块链上一种数字凭证,或者数字资产。上面这段定义给圈外人念完和没念一样,大家的反应是每个字都听懂了,合在一起不是人话。你要说QQ橱窗秀,懂得人还多一些.

1900/1/1 0:00:00
听宏观专家告诉你 为什么加密市场当前没有资金入场?

RaoulPal是全球宏观金融研究机构GlobalMacroInvestor和RealVision的创始人,也是当前加密领域最知名的KOL之一.

1900/1/1 0:00:00
NFT:元宇宙核心身份识别标志

现阶段NFT尚处于发展初期,更多的应用于个人资产保护,是数字资产“身份证”,成为展现虚拟世界身份地位和财富实力的象征,类似于现实世界的收藏品。由NFT代表的区块链技术将成为构筑元宇宙的基础,长期将在更多领域发挥价值.

1900/1/1 0:00:00
以太坊开发者:L2与ETH呈正和关系 明年将是L2 vs L1竞争链的关键年

注:12月29日,以太坊开发者RyanBerckmans发表了他对以太坊L2的一些思考,以下为编译内容.

1900/1/1 0:00:00