DeFi协议是如何被黑客攻击的？

对几十次黑客攻击的分析确定了去中心化金融领域的主要载体和典型漏洞。

去中心化金融领域正在以惊人的速度增长。三年前，DeFi锁定的总价值仅为8亿美元。到2021年2月，这一数字已增至400亿美元；2021年4月，它达到了800亿美元的里程碑；现在，它的价值已经超过1400亿美元。一个新市场的如此快速增长，肯定会吸引各种黑客和欺诈者的注意。

根据加密货币研究公司的一份报告，自2019年以来，DeFi领域因黑客和其他漏洞攻击而损失了约2.849亿美元。从黑客的角度来看，对区块链生态系统的黑客攻击是一种理想的致富手段。因为这种系统是匿名的，他们有钱可赚，而且任何黑客都可以在受害者不知情的情况下进行测试和调整。在2021年的前四个月，损失达到了2.4亿美元。而这些只是公开知道的案例。我们估计真正的损失达到了数十亿美元。

Parallel通过XCM与Moonbeam集成，将PARA以及DeFi用例带入Moonbeam生态:据官方消息，基于波卡的多链去中心化应用开发平台Moonbeam宣布与Parallel Finance集成，Parallel的PARA也已上线Moonbeam。当将PARA以xcPARA的形式存入Moonbeam后，即可用于Moonbeam活跃的DeFi生态系统当中。同时，GLMR同样能够用于Parallel的一站式DeFi平台所提供的功能。此为Moonbeam第二个与其他独立平行链的跨链连接。[2022/6/22 1:23:58]

DeFi协议的钱是如何被盗的？我们分析了几十起黑客攻击事件，确定了导致黑客攻击的最常见问题。

多服务跨链DeFi平台Stake DAO上线AVAX质押服务:据官方消息，多服务跨链DeFi平台Stake DAO已上线Avalanche。此次扩展允许用户将他们的AVAX委托（并质押）在Stake DAO上，并立即开始赚取质押奖励。未来，Stake DAO将新增一系列功能，包括Liquid Staking（流动性质押），这使AVAX持有者能够交易具备流动性、多用途的衍生品，同时赚取质押奖励。Stake DAO还将为Avalanche不断增长的DeFi生态系统构建创新收益生成策略。（Medium）[2021/7/17 0:59:04]

滥用第三方协议和业务逻辑错误

波场TRON DeFi总锁仓值（TVL）已达到90亿美金:据3月30日18：00（HKT）最新数据显示，波场TRON DeFi总锁仓值（TVL）已达到90亿美金，创下历史新高。3月8日开启的波场TRON五币齐挖世纪挖矿热度升高，波场TRON DeFi总锁仓值持续攀升，表现出波场DeFi生态的强大势能。据悉，波场TRON官方升级了总锁仓值（TVL）的算法：TRX的总冻结量等于能量和带宽之和，其中包括给超级代表投票冻结TRX获得的能量和带宽。

波场TRON以推动互联网去中心化为己任，致力于为去中心化互联网搭建基础设施。旗下的TRON协议是全球最大的基于区块链的去中心化应用操作系统协议之一，为协议上的去中心化应用运行提供高吞吐，高扩展，高可靠性的底层公链支持。波场TRON还通过创新的可插拔智能合约平台为以太坊智能合约提供更好的兼容性。[2021/3/30 19:30:28]

任何攻击都主要从分析受害者开始。区块链技术为自动调整和模拟黑客攻击的场景提供了许多机会。为了使攻击快速而隐蔽，攻击者必须具备必要的编程技能和智能合约工作原理的知识。黑客的典型工具包允许他们从网络的主要版本中下载自己的区块链的完整副本，然后对攻击过程进行全面调整，就好像交易发生在真实的网络中一样。

The Crypto?Lark主持人披露波卡DeFi生态系统最有前途的5个项目:The Crypto?Lark主持人、加密投资者Lark Davis透露其认为波卡DeFi生态系统最有前途的5个项目，由于其高利润潜力，可能会引起炒作。

第一个是Acala，该平台最近部署测试网，获得大量参与。Acala是波卡生态系统的跨链、多抵押和去中心化稳定币。

第二是Ocean Protocol（OCEAN）。信息不仅用于DeFi，Ocean更进一步。这可以给各个行业带来很多价值。特别是它可以用于AI等信息密集型行业。信息可能是新的石油。

第三是去中心化自治组织Mantra DAO（OM）。Mantra建立的伙伴关系加强了其生态系统，包括Band Protocol、Kava、Terra和 Kira Network。该平台还提供88%的质押奖励。

第四是Rio DeFi（RFUEL）。OKEx最近上线RFUEL。Rio将允许用户使用法币网关和Rio钱包轻松进出DeFi。

第五是去中心化跨链交易所Polkastarter。

他最大的投资投向了波卡原生代币DOT，并预计DOT未来几年可能涨至100美元，市值将达到1000亿美元。（Crypto News Flash）[2020/10/4]

接下来，攻击者需要研究项目的业务模式和使用的外部服务。业务逻辑的数学模型和第三方服务的错误是最常被黑客利用的两个问题。

智能合约的开发者在交易时需要的相关数据往往超过他们在任何特定时刻可能拥有的数据。因此，他们被迫使用外部服务——例如，预言机。这些服务并不是为在去信任的环境中运作而设计的，所以它们的使用意味着额外的风险。根据一个统计数据，既定类型的风险占损失的比例最小——只有10次黑客攻击，造成的损失总额约为5000万美元。

编码错误

智能合约在IT领域是一个相对较新的概念。尽管它们很简单，但智能合约的编程语言需要一个完全不同的开发范式。开发人员往往根本不具备必要的编码技能，并犯下严重错误，导致用户的巨大损失。?

安全审计只能消除这类风险的一部分，因为市场上的大多数审计公司对他们的工作质量不承担任何责任，只对财务方面感兴趣。由于编码错误，超过100个项目而被黑客攻击，造成的总损失约为5亿美元。一个鲜明的例子是发生在2020年4月19日的dForce黑客事件。黑客利用ERC-777代币标准中的一个漏洞，结合重入攻击，偷走了2500万美元。

闪电贷、价格操纵和矿工攻击

提供给智能合约的信息只在执行交易时相关。在默认情况下，合约不能幸免于对其中包含的信息进行潜在的外部操纵。这使得一系列的攻击成为可能。

闪电贷是一种没有抵押物的贷款，但需要在同一笔交易中归还所借的加密货币。如果借款人未能归还资金，交易将被取消。这种贷款允许借款人收到大量的加密货币并将其用于自己的目的。通常情况下，闪电贷攻击涉及价格操纵。攻击者可以先在交易中卖出大量借来的代币，从而降低其价格，然后在买回代币之前，以非常低的价值执行一系列行动。

矿工攻击类似于基于工作量证明共识算法的区块链上的闪电贷攻击。这种类型的攻击更加复杂和昂贵，但它可以绕过闪电贷的一些保护层。它的工作原理是这样的。攻击者租用挖矿能力，形成一个只包含他们需要的交易的区块。在给定的区块内，他们可以首先借用代币，操纵价格，然后归还借用的代币。由于攻击者独立形成了进入区块的交易，以及它们的顺序，攻击实际上是原子性的，就像闪电贷的情况。这种类型的攻击已经被用来攻击100多个项目，损失总额约为10亿美元。

随着时间的推移，黑客的平均数量一直在增加。在2020年初，一次盗窃金额就高达数十万美元。到今年年底，这个数字已经上升到数千万美元。

开发者不称职

最危险的风险类型涉及人为错误因素。人们为了寻求快速赚钱而求助于DeFi。许多开发人员资质很差，但仍试图在匆忙中推出项目。智能合约是开源的，因此很容易被黑客复制和改动。如果原始项目包含前三种类型的漏洞，那么它们就会蔓延到数百个克隆项目中。RFISafeMoon是一个很好的例子，因为它包含一个关键的漏洞，被复制到一百个项目上，导致潜在损失超过20亿美元。

文：GUESTAUTHORS

标签：DEFIEFIDEFTROFarm DefiEarn DeFi CoinDefend Animals FoundationStrongBlock

XMR热门资讯