01月13日 16:32
简体中文
English
Tiếng Việt
Español
Русский
Français (Afrique)
Português
ไทย
Indonesia
日本語
بالعربية
Українська
摘要
在过去的几年里,去中心化金融(DeFi)大幅上涨,这大大吸引着区块链投资者,他们将目光转向新兴行业。截至2021年第三季度,DeFi市值已累计超过1000亿。这股热潮从一开始就吸引了黑客的目光,他们利用项目漏洞发起大规模攻击。
为此,像CipherTrace这样的公司已经发布了应对工具和新的合规解决方案,将有助于去中心化交易所(DEX)和DeFi项目遵守外国资产控制办公室(OFAC)的规定。DeFi正快速发展,这是促进DeFi合法化跨出的一大步。CipherTrace DeFi合规性将使所有相关数据易于直接在链上使用,以便易于与现有的DeFi框架快速集成。
在很大程度上,这已经在帮助DeFi项目遏制这种恶意行为。总体上看,加密犯罪在前几年呈下降趋势:2019年犯罪额为45亿美元,2020年为19亿美元,2021年前七个月为6.81亿美元,但DeFi犯罪造成的影响却倍增。
本文将探讨加密犯罪的原因、2021年DeFi重大黑客攻击,以及业界遏制以防再次攻击的措施。
为什么选择DeFi项目?
DeFi受到了大规模黑客攻击,许多人因此会问,为什么仍有许多人对DeFi这个区块链感兴趣。可能让您觉得非常有意思的是,在传统金融系统中是内部操作管理运营和控制整个区域,而DeFi系统不依赖此类内部操控。
由区块链技术驱动的去中心化金融彻底改变了金融行业,因为这种金融无需中央控制和托管,因而用户能完全控制和交易他们的数字资产,无需中央权限。这种去中心化依靠区块链网络上的智能合约得以实现。只有在满足设定条件时,智能合约才允许网络上的行动执行。因此,我们能享有点对点金融服务,进行可审计和无缝的去中心化借贷、去中心化交易所、衍生品交易、支付系统、收益农业和市场预测等,而且速度更快、价格更优惠。
例如,以太坊DeFi项目在前一年的利率很高,因而得到广泛采用,许多用户也获得了可观的利润。用户可以从贷款和从贷款中获得的利息中赚取“被动收益”。通过投资收益农业,用户可利用他们的加密资产来创造获得可观的回报。
黑客攻击设计存在缺陷的智能合约
尽管区块链行业总体的黑客攻击有所下降,但与2020相比,2021年DeFi受黑客攻击造成的损失增长了2.7倍。黑客通过网络攻击、拉地毯式骗局、系统故障、盗窃等多种方式盗取平台上的资产。
区块链上实施的智能合约出现故障、滥用第三方协议、开发人员无能和业务逻辑错误时,可能黑客更易攻击,因此多数情况下,DeFi是在这些时候受到攻击的。通常所产生的这些合约错误几乎无法撤销,故障也是如此,从而增加被攻击的风险。遗憾的是,DeFi项目中仍然普遍存在这些缺陷。
专家表示,黑客利用这些DeFi项目密码或代码的漏洞来成功授权资金转移。
备注:Poly Network、Compound和Cream Finance的总市值达$9.06亿,因而成为2021年受黑客攻击影响最大的DeFi项目。
1. 2021年最大的DeFi黑客事件:Poly Network黑客事件
8月10日,Poly Network受黑客攻击损失达$6.12亿,超过了MtGox和Coincheck黑客事件的损失,成为历史上受黑客攻击损失最大的事件。通常,攻击DeFi的黑客会从特定的DeFi工具入手,但这次黑客攻击的对象是Poly Network的基础设施。
黑客攻击是为了完全控制去中心化交易所(DEX)的智能合约,从而获得合约中锁定代币的访问权。
本次事件中,太坊网络上共有2.73亿美元代币被盗,Polygon网络中约8500万美元硬币(USDC)被盗,Binance智能链上被盗金额约2.53亿美元。此外,这名黑客还盗取了大量的renBTC、Wrapped
Bitcoin (wBTC)和Wrapped Ether(wETH)代币。
Poly Network运行的智能合约连接独立的区块链,有利于代币转移。据报道,这名黑客被称为白帽,他利用CrossChainManager智能合约并在Poly Network上交换了合约的存储密钥。这样他完全获得了代币控制权,可以解锁代币并将其移动到其它地址。
令人惊讶的是,黑客虽然拒绝了Poly network的提议,但在8月11日又开始将部分被盗资金返退还给Poly Network。
据说这位黑客将所盗资金转移到了他在一些知名交易所开立的钱包中,这些交易所通过他提交的实名认证协议获得了一些他的相关信息。
据CipherTrace称,大部分被盗资金已退回到Poly Network提供的地址。
地址是如下:
· 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
· 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
· 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
2. Compound Finance黑客事件
2021年4月19日,EasyFI损失了约7500万美元EASY代币和600万美元用户流动资金。 EasyFi是在Polygon Layer 2网络上运行的Compound Finance分叉。黑客访问了项目的管理员密钥。管理员密钥是开发人员更新协议的权限。事件发生后,开发团队更改了区块链网络协议以抵消他们的损失并避免在未来再次遭到黑客攻击。
3. Yearn Finance闪电贷款黑客事件
Yearn Finance (YFI)于2021年2月遭到黑客攻击,280万美元被盗。黑客通过闪电贷款从DIA保险库中转移了1100万美元,以提供抵押贷款。这位神秘的黑客利用设计缺陷,使用了五种不同的DeFi协议发起了“闪贷攻击”,这五种协议是:Compound Finance (COMP)、Aave Protocol (AAVE)、Curve Protocol (CRV)、dYdX、和Yearn Finance (YFI).
4. PAID Network 2021年黑客事件
黑客通过使用Paid Network合约部署员的已破解密钥来操纵智能合约升级功能。有了这种访问权限,黑客铸造并倾销了1亿多枚硬币,引起通货膨胀,导致代币市值损失约 85%。
5. Cream Finance的1.3亿美元黑客事件
仅在2021年,Cream Finance就遭受了三起不同的攻击,损失总金额达1.866亿美元。
-2月,黑客通过对Alpha Homora协议的智能合约重新录音攻入网络。大约有3750万美元ETH和稳定币被盗。
- 8月底,黑客盗取了价值1880万美元Ether (ETH) 和AMP代币时,Cream Finance同样遭到了攻击。
-Cream Finance在 2021年10月27日又遭到了一次攻击,这次损失价值约1.3亿美元,是2021年第三大黑客事件。
黑客是从以太坊网络上Cream Finance的闪电贷款(即时贷款)智能合约中的一个漏洞进行攻击的。
6. BadgerDAO 1.2亿美元代币被盗事件
在BadgerDAO协议中,比特币持有者能够通过其代币将他们的加密货币“桥接”到以太坊平台,他们从而能够享受原本无法访问的、DeFi网络提供的受益机会。
据负责网络安全的人士称,pecksheild与Badger DAO合作调查了被盗代币,证实一名恶意操作者于2020年12月1日将约1.2亿美元代币盗走。他们还称,该恶意操作者在其网站上插入脚本使Web3交易中断,从而要求将受害者的代币转移到攻击者提供的地址。Badger的团队称,他们早在11月10日就发现了一些蛛丝马迹,但又几乎无踪可循,因为黑客十分谨慎,在不同的时间段操作。
尽管区块链技术本身没有问题,但黑客在执行交易时利用了Badger web2.0网站上的用户。由于其团队检测到了未经授权的转移行为,从而冻结了badger平台,暂停了所有智能合约,并要求用户不要向攻击者的地址转移资产。
此后,该公司聘请了数据取证专家Chainalysis,同时与外部机构合作,进行全面调查。
总结
- 根据coin Telegraph的数据,在2021年的加密黑客事件中,所攻击的只有37%的为已审计项目。
- 与未经审计的项目相比,已经审计的项目受攻击的影响减少约60%。
- 该数据还表明,高达13亿美元的损失来自未经审计的项目。
因此,我们可以推断,审计至关重要,它能为区块链采用者提供安全的DeFi协议。近来,对智能合约安全审计和第三方审计程序的需求有所上升,这是为了确保这些项目在上市前的可行性。总之,投资者在投资DeFi项目之前需要进行深入的研究。不过,这些黑客事件和盗窃行为向区块链社区敲响了警钟,推动了该行业进一步发展,建立更高的可信度。
作者:Gate.io研究员
M. Olatunji
免责声明:
*本文仅代表作者的观点,不构成任何投资建议。
*本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处,否则将追究法律责任。
Gate.io精选文章
《加密货币的未来:2022年可能是全球采用加密资产的一年》
《分析师认为2022年加密领域将迎来更好的发展》
《哈萨克斯坦内乱为何引发比特币暴跌?》