區塊鏈行業的發展以及如何防禦對 DeFi 的攻擊

如今，區塊鏈市場整體處於起步階段， 分散式金融（DeFi） 市場是其最有前途的部分。 根據 DefiLlama 的數據，2021 年，DeFi 市場有大約 200 億美元的流動性鎖定在智能合約中。 如果我們將這筆資金視為一項初始投資，那麼這個市場看起來像是一個非常有前途的企業。 沒有太多的全球公司可以吹噓這樣的資本。 但任何年輕的市場都有其初期的問題。 對於 DeFi，主要問題是缺乏合格的區塊鏈開發人員。

這個行業非常年輕，用戶群相對較小。 大多數人充其量只是聽說過 DeFi，但並不知道它是什麼。 但正如每一個有前途的新企業都會發生的那樣，它很快就會引起很多投機興趣。 不幸的是，準備人員需要更長的時間，尤其是在區塊鍊和智能合約開發等知識密集型領域。 這意味著一些項目團隊將不得不妥協並僱用經驗不足的人員。

這個問題不可避免 造成越來越大的安全漏洞風險 在這些項目的代碼中。 然後我們必須處理其在用戶資本損失方面的後果。 簡單了解一下這個問題有多大，我可以說，DeFi 鎖定的總流動性中約有 10% 被黑客竊取了。 主流公眾寧願遠離對他們的資金構成如此危險的金融體系，任何人都不應該感到驚訝。

相關新聞： DeFi 協議如何被黑客入侵？

DeFi 漏洞利用最近發生了怎樣的變化？

長期以來，對 DeFi 的攻擊一直圍繞著重入攻擊。 我們可以回憶起著名的 2016 年的 DAO 黑客事件導致投資者損失 150 億美元，並導致以太坊硬分叉。 從那時起，這個漏洞在不同的智能合約中被多次利用。

借貸協議積極利用回調函數：它允許智能合約在發放貸款之前檢查用戶的抵押品餘額。 所有這些過程都發生在一次交易中，這為黑客提供了一種從此類智能合約中竊取資金的變通方法。 當您發送借入資金請求時，回調函數首先檢查抵押品餘額，然後在抵押品充足時發放貸款，然後更改智能合約中用戶的抵押品餘額。

為了愚弄智能合約，黑客將調用返回到回調函數以從一開始就啟動此過程。 由於交易尚未在區塊鏈上完成，該功能會為相同的抵押品餘額提供另一筆貸款。 儘管這個問題的解決方案已經出現了足夠長的時間，但許多項目仍然成為它的受害者。

有時，不擅長編寫智能合約的項目團隊決定借用另一個開源 DeFi 項目的代碼庫來部署自己的智能合約。 他們通常對經過審計、擁有龐大用戶群並證明是安全構建的信譽良好的項目這樣做。 但他們可能決定對借用的代碼進行微小的修改，以添加他們希望在智能合約中擁有的功能，甚至無需更改原始代碼。 這可能會破壞智能合約的邏輯，而開發人員通常沒有意識到這一點。

這是什麼 允許黑客竊取約 19 萬美元 2021 年 XNUMX 月來自 Cream Finance。Cream Finance 團隊從不同的 DeFi 協議中藉用了代碼，並在他們的智能合約中添加了回調令牌。 即使您可以通過實施“檢查、影響、交互”模式來防止重入攻擊，該模式優先考慮平衡的變化而不是資金的發行，但一些團隊仍然無法保護他們的平台免受這些攻擊。

閃電貸攻擊允許黑客以不同的方式竊取資金，並且自 2020 年 DeFi 繁榮以來變得越來越流行。閃電貸攻擊的主要思想是，您不需要抵押品即可從協議中藉入資金，因為仍然可以保證財務平價由於貸款是在一次交易中獲得併歸還的。 如果您未能在一筆交易中歸還貸款並附有利息，則不會發生這種情況。 但是攻擊者已經能夠對許多協議進行成功的閃貸攻擊。

相關新聞： 需要：打擊黑客和詐騙的大規模教育項目

在這樣做的過程中，他們使用多種協議來借入和拖拽流動性，直到最後的行為，他們通過預言機或流動性池放大代幣的價格，並用它來騙取暴漲暴跌，並在一系列流動性中消失一些主要的不同加密貨幣，例如以太幣（ETH)、包裹比特幣 (wBTC) 等。 一些著名的閃電貸攻擊包括 煎餅兔攻擊，協議損失了 200 億美元，以及 另一個奶油金融攻擊，其中超過 100 億美元被盜。

如何防禦 DeFi 攻擊？

理想情況下，要構建安全的 DeFi 協議，您應該只信任經驗豐富的區塊鏈開發人員。 他們應該有一個專業的團隊領導，具有構建去中心化應用程序的技能。 記住使用安全代碼庫進行開發也是明智之舉。 有時，與具有最新代碼庫的庫相比，較不最新的庫可能是最安全的選擇。

測試是 另一個關鍵的事情 所有嚴肅的 DeFi 項目都必須這樣做。 作為一家智能合約審計公司的 CEO，我總是試圖覆蓋 100% 的客戶代碼，並強調去中心化保護用於調用受限訪問智能合約功能的私鑰的重要性。 最好通過多重簽名使用公鑰的去中心化，防止一個實體完全控制合同。

最後，教育是使基於區塊鏈的金融系統變得更加安全和可靠的關鍵之一。 教育應該是那些在 DeFi 中尋找工作的人的主要關注點之一，因為它可以為所有能夠做出切實貢獻的人提供令人垂涎的獎勵。