隨著 DeFi 黑客攻擊的飆升，這家初創公司想要 Rad……

在過去的幾年裡，數百個新的去中心化金融應用程序和協議湧入以太坊網絡和其他區塊鏈。 2021 年 290 月，鎖定在所有 DeFi 應用程序中的總價值達到了驚人的 XNUMX 億美元。 

從理論上講，DeFi 旨在通過讓來自世界各地、任何背景的人（無論他們是誰）參與來實現金融獲取的民主化。 沒有財務或地域限製或中心化中介——一切都是去中心化的、去信任的和點對點的。 

事實證明，這一願景很受歡迎，DeFi 的增長速度超出了任何人的想像。 然而，它的崛起被許多關鍵的安全威脅所籠罩，這使得對於那些對加密貨幣如何運作不太了解的人來說，這似乎是一個非常冒險的冒險。 

雖然 2021 年對 DeFi 來說是重要的一年，但對於黑客來說，這可以說是更大的一年，Chainalaysis 最近的一份報告 尋找 他們在那一年偷走了價值 3.2 億美元的加密貨幣。 今年對黑客來說可能同樣有利可圖。 根據 CertiK 的最新 report、DeFi 和 Web3 在今年前六個月共向黑客損失了超過 2 億美元。 

Chainalysis 表示，加密領域的黑客已經遠離錢包和其他目標，如今幾乎完全針對 DeFi 協議。 在 2022 年的前三個月，幾乎 97% 的被黑客竊取的資金來自 DeFi，高於 72 年的 2021% 和 30 年的 2020%。快速瀏覽一下今年最大的一些黑客行為可以解釋為什麼 DeFi成為攻擊者的熱門目標。 他們可以竊取的金額是巨大的。 今年迄今為止最昂貴的黑客攻擊是 Ronin 驗證器安全漏洞. 23 月 173,600 日，攻擊負責人能夠破壞 Sky NMavis 的 Ronin 和 Axie DAO 驗證器節點，破解私鑰並進行非法提款。 他們僅通過兩次交易就偷走了令人難以置信的 25.5 ETH 和 615.5 萬美元，總計 XNUMX 億美元。 

不幸的是，Ronin 黑客事件不僅僅是一個孤立的事件。 二月黑客 利用安全漏洞 在 Wormhole 的簽名驗證中，使他們能夠在 Solana 上盜取 120,000 wETH，在攻擊時價值 326 億美元。 同樣，在 XNUMX 月，Beanstalk 協議 淪為受害者 到 $BEAN 治理提案合同中的一天延遲以完成快速貸款。 攻擊者能夠竊取 70% 的種子，總共獲得 181 億美元。 

發現智能合約漏洞

絕大多數 DeFi 黑客攻擊是由於支持協議的智能合約中的漏洞而發生的。 智能合約是自動執行的代碼，在滿足某些條件時會自動處理交易。 它們是 DeFi 的核心元素之一，因為它們使得對可信中介的要求變得多餘。 

好消息是，社區意識到智能合約是 DeFi 安全性的一個明顯弱點，並正在採取措施解決這些問題。 當今最可靠的 DeFi 協議肯定會進行全面的 智能合約審計 以確定是否存在任何漏洞。 審計由 CertiK 和 Hacken 等可靠公司進行，並評估區塊鏈分類賬中記錄的交易，以嘗試發現任何錯誤。 

識別漏洞的其他方法包括 滲透測試 由安全專家團隊組成，他們試圖破解 DeFi 協議，以便他們可以告知開發人員他們是如何做到的，從而使他們能夠關閉發現的任何漏洞。 此外，協議還可以提供“漏洞賞金”，本質上是眾包安全。 數十名“白帽”黑客爭奪金錢獎勵，以識別協議中的漏洞。 錯誤賞金 可能特別有益，因為它們會激勵參與者像真正的網絡犯罪分子一樣行事，這意味著他們可能會嘗試使用與真正的壞人類似的方法來破解協議。 這個想法是好人會在他們暴露在現實世界之前發現任何明顯的漏洞。 

智能合約代碼審計和漏洞賞金有助於保護 DeFi 協議免受圍繞未處理異常和交易順序依賴性的常見黑客攻擊。 然而，不幸的是，審計並非萬無一失——Chainalaysis 研究發現，今年 30% 的漏洞利用發生在過去 12 個月內接受過審計的平台上。 因此，雖然代碼審計和漏洞賞金會有所幫助，但它們並不能提供任何保證。 因此，管理數十億美元用戶資金的 DeFi 協議應該採用更強大的安全方法。 

重塑智能合約

出現的最令人興奮的解決方案之一是由 板藍根，這是專為 DeFi 打造的 layer-1 區塊鏈協議。 

加密語言 基於流行的 Rust 編程語言並保留了它的大部分功能。 但是，它顯著增加了許多基於 Radix Engine 的特定功能。 它可以被認為是提供面向資產的特性的 Rust 庫和擴展的集合，使 Rust 風格的邏輯能夠作為原生的一等公民與資產進行交互。 

Scrypto 最重要的區別在於它有效地取消了智能合約。 它使用藍圖和組件來處理交易，而不是智能合約。 藍圖是存在於區塊鏈上的編譯源代碼，任何人都可以使用它們。 它們的作用是為 DeFi 交易提供“構造函數”，具有其他人可以實例化的靈活參數。 它們通常在功能方面非常專業，儘管它們可以支持多種不同的用例，具體取決於它們的實例化方式。 藍圖有時可以與其他藍圖一起使用，作為“包”部署在一起。 

要激活藍圖，必須通過調用其構造函數之一對其進行實例化，以獲取新創建的實例（稱為“組件”）的地址。 組件用於管理狀態，並且可以根據創建它的藍圖中關聯的邏輯來收集、保存和分配資源。 換句話說，Scrypto 中的組件類似於智能合約，但是，它們源自產生它的藍圖中定義的邏輯。 

Scrypto 獨特的架構使其能夠以與用 Solidity 或其他語言編寫的常規智能合約截然不同的方式進行交易。 Radix Engine 不是發送數字或對某些令牌的引用，而是將令牌的所有權從調用者轉移到組件。 一旦該組件接收到一個資源桶或多個桶，它就可以獲取這些資源並將它們存放到它持有的保險庫或不同的桶中。 然後，Radix Engine 確保調用者不能再訪問存儲桶或保險庫。 

最終結果是，基於 Radix 構建的 dApp 具有更簡單、更安全的交易方式。 為了更好地理解它的工作原理，Radix 為我們提供了 口香糖機的例子 接受美元代幣以換取其金庫中持有的代幣。 

在此示例中，用戶將 0.25 美元的存儲桶傳遞給 MyMachine 組件的 insertCoins 方法。 藍圖的邏輯看到已經支付了正確的價格，將這些代幣添加到保險庫中，然後從其口香糖保險庫中取出 1 個口香糖並將其傳回給調用者。 如果調用者傳遞了太多美元，它甚至可以發回一些更改。 

使用以太坊基於 Solidity 的智能合約，它變得更加複雜和危險。 在同一台機器上，用戶會調用一個智能合約來授予機器代表他們從錢包中提款的權限。 他們會告訴機器他們希望輸入 0.25 美元。 然後機器會調用美元合約進行提款，然後調用口香糖智能合約將口香糖發送給用戶。 最後，它可能還會更新剩餘口香糖數量的內部緩存以檢查 eros。 這些流程中的每一個都使用智能合約，因此每個流程都有因智能合約漏洞而被黑客入侵的風險。 

這只是一個簡單的例子。 使用 DeFi，交易可能會復雜很多倍，這意味著它們面臨著數倍的風險。 攻擊者只需在交易中涉及的眾多智能合約中的任何一個中某個地方的一個漏洞，就可以發起攻擊。 

結論 

隨著 DeFi 的增長和其鎖定的總價值的增加，被利用的風險只會增加。 如果我們可以從被 DeFi 黑客竊取的驚人數量的加密貨幣中得出一個結論，那就是對智能合約安全性的需求從未如此強烈。 雖然代碼審計和漏洞賞金可以幫助發現 DeFi 中最明顯的漏洞，但很明顯，該行業可以從基於旨在從一開始就最大限度地減少潛在漏洞利用數量的基礎設施的徹底改革中受益匪淺。 

免責聲明：本文僅供參考。 不提供或打算將其用作法律，稅務，投資，財務或其他建議