過去幾個月,去中心化金融(DeFi)行業因黑客而損失了超過 XNUMX 億美元,而且情況似乎正在失控。
據最新統計,約1.6億美元 加密貨幣從 DeFi 平台被盜 2022 年第一季度。此外,超過 90% 的被盜加密貨幣來自被黑客入侵的 DeFi 協議。
這些數字突顯了一種可怕的情況,如果忽視的話,這種情況可能會長期持續下去。
為什麼黑客更喜歡 DeFi 平台
近年來,黑客加大了針對 DeFi 系統的攻擊力度。 這些群體被吸引到該行業的一個主要原因是去中心化金融平台持有的巨額資金。 頂級 DeFi 平台每月處理數十億美元的交易。 因此,對於能夠成功實施攻擊的黑客來說,獎勵是很高的。
大多數 DeFi 協議代碼都是開源的,這一事實也使得它們更容易受到網絡安全威脅。
這是因為開源程序可供公眾審查,並且任何有互聯網連接的人都可以對其進行審核。 因此,他們很容易被搜尋到漏洞。 這種固有的屬性使黑客能夠分析 DeFi 應用程序的完整性問題並提前計劃搶劫。
一些 DeFi 開發者故意無視經過認證的網絡安全公司發布的平台安全審計報告,也加劇了這種情況。 一些開發團隊還啟動了 DeFi 項目,但沒有對其進行廣泛的安全分析。 這增加了編碼缺陷的可能性。
DeFi 安全性的另一個弱點是生態系統的互連性。 DeFi 平台通常使用跨橋互連,這增強了便利性和多功能性。
雖然跨橋提供了增強的用戶體驗,但這些關鍵的代碼片段連接了具有不同安全級別的龐大分佈式賬本網絡。 這種多重配置使得 DeFi 黑客能夠利用多個平台的能力來放大對某些平台的攻擊。 它還允許他們在多個去中心化網絡之間快速無縫轉移非法資金。
除了上述風險外,DeFi 平台還容易受到內部人破壞。
安全漏洞
黑客正在使用各種技術來滲透易受攻擊的 DeFi 外圍系統。
安全漏洞在 DeFi 領域屢見不鮮。 據 2022 年鏈分析 報告顯示,過去兩年中,大約 35% 的加密貨幣被盜是由於安全漏洞造成的。
其中許多是由於錯誤的代碼而發生的。 黑客通常會投入大量資源來查找系統編碼錯誤,從而使他們能夠執行此類攻擊,並且通常會利用高級錯誤跟踪工具來幫助他們實現這一目標。
威脅行為者尋找易受攻擊平台的另一種常見策略是追踪具有未修補的安全問題的網絡,這些問題已經暴露但尚未實施。
最近 Wormhole DeFi 黑客攻擊背後的黑客導致了 損失約325億美元 據報導,數字代幣中的一些公司已經使用了這種策略。 對代碼提交的分析顯示,上傳到平台 GitHub 存儲庫的漏洞補丁在部署補丁之前就已被利用。
這個錯誤使入侵者能夠偽造系統簽名,從而允許鑄造 120,000 枚 Wrapped Ether (wETH) 硬幣,價值 325 億美元。 隨後,黑客以約 250 億美元的以太幣價格出售了 wETH(ETH)。 兌換的以太幣來源於平台的結算準備金,從而導致損失。
Wormhole 服務充當鏈之間的橋樑。 它允許用戶跨鏈使用打包代幣中存入的加密貨幣。 這是通過鑄造蟲洞包裹的代幣來實現的,這減少了直接交換或轉換存入硬幣的需要。
閃貸攻擊
閃電貸是無擔保的 DeFi 貸款,不需要信用檢查。 它們使投資者和交易者能夠立即藉入資金。
由於其便利性,閃電貸通常被用來利用互聯 DeFi 生態系統中的套利機會。
在閃電貸攻擊中,貸款協議會被利用價格操縱技術來攻擊和破壞,從而造成人為的價格差異。 這使得不良行為者能夠以大幅折扣的價格購買資產。 大多數閃電貸攻擊需要幾分鐘甚至幾秒鐘的時間來執行,並且涉及多個相互關聯的 DeFi 協議。
攻擊者操縱資產價格的一種方法是針對可攻擊的價格預言機。 例如,DeFi 價格預言機從外部來源(例如信譽良好的交易所和交易網站)獲取利率。 例如,黑客可以操縱源站點來欺騙預言機暫時降低目標資產利率的價值,以便與更廣泛的市場相比以更低的價格進行交易。
然後,攻擊者以平價購買資產,並迅速以浮動匯率出售。 使用通過閃電貸獲得的槓桿代幣可以讓他們放大利潤。
除了操縱價格之外,一些攻擊者還可以通過劫持 DeFi 投票流程來實施閃電貸攻擊。 最近, Beanstalk DeFi 損失 182 億美元 在攻擊者利用其治理系統中的缺陷之後。
Beanstalk 開發團隊包含了一個治理機制,允許參與者投票支持平台變更作為核心功能。 這種設置在 DeFi 行業很受歡迎,因為它維護民主。 平台上的投票權與所持有的原生代幣的價值成正比。
對此次洩露的分析顯示,攻擊者從 Aave DeFi 協議獲得了一筆閃電貸,從而獲得了近 1 億美元的資產。 這使得他們在投票治理系統中獲得了 67% 的多數,並允許他們單方面批准將資產轉移到他們的地址。 犯罪者在償還閃電貸款和相關附加費後,盜走了約 80 萬美元的數字貨幣。
據 Chainalysis 稱,360 年,價值約 2021 億美元的加密貨幣通過閃電貸從 DeFi 平台被盜。
被盜的加密貨幣去了哪裡?
長期以來,黑客一直利用中心化交易所來洗錢被盜資金,但網絡犯罪分子開始將其轉向 DeFi 平台。 2021 年,網絡犯罪分子 發送 約 17% 的非法加密貨幣流向 DeFi 網絡,較 2 年的 2020% 大幅增長。
市場專家認為,向 DeFi 協議的轉變是因為更嚴格的了解你的客戶 (KYC) 和反洗錢 (AML) 流程的更廣泛實施。 這些程序損害了網絡犯罪分子所追求的匿名性。 大多數 DeFi 平台都會放棄這些關鍵流程。
與當局合作
中心化交易所現在也比以往任何時候都更多地與當局合作打擊網絡犯罪。 XNUMX月份,幣安交易所在其中發揮了重要作用 追回 5.8 萬美元被盜加密貨幣 這是 Axie Infinity 被盜的價值 625 億美元的藏品的一部分。 這筆錢最初被匯給了 Tornado Cash。
Tornado Cash 是一種代幣匿名服務,通過分割用於追踪交易地址的鏈上鍊接來混淆資金來源。
然而,部分被盜資金被區塊鏈分析公司追踪到了幣安。 贓物存放在交易所的 86 個地址中。
事件發生後,美國財政部發言人強調,處理黑名單加密貨幣資金的加密貨幣交易所面臨制裁風險。
Tornado Cash 似乎也在與當局合作,阻止被盜資金轉移到其網絡。 該公司表示將實施一種監控工具來幫助識別和阻止禁運錢包。
似乎在這方面取得了一些進展 當局扣押有缺口的資產。 今年早些時候,美國司法部宣布扣押了 3.6 億美元的加密貨幣,並逮捕了兩名參與洗錢的人。 這筆錢是 4.5 年從 Bitfinex 加密貨幣交易所被盜的 2016 億美元的一部分。
此次加密貨幣查獲是有史以來規模最大的一次。
DeFi CEO談現狀
Injective Labs 是一個針對去中心化金融應用程序進行優化的可互操作智能合約平台,其首席執行官兼聯合創始人 Eric Chen 本週早些時候在接受 Cointelegraph 獨家採訪時表示,問題有望得到緩解。
“隨著更強大的安全標準的實施,我們看到這種趨勢正在繼續消退。 通過適當的測試和進一步的安全基礎設施到位,DeFi 項目將能夠防止未來常見的漏洞利用風險。”
關於他的網絡為避免黑客攻擊而採取的措施,陳提供了概述:
“與傳統的基於以太坊虛擬機的 DeFi 應用程序相比,Injective 確保了更嚴格定義的以應用程序為中心的安全模型。 區塊鏈的設計和核心模塊的邏輯可以保護 Injective 免受重入、最大可提取價值和閃貸等常見漏洞的影響。 基於 Injective 構建的應用程序能夠受益於區塊鏈中共識級別實施的安全措施。”
Cointelegraph 還有機會與非託管託管和質押平台 Allnodes 的首席執行官兼創始人 Konstantin Boyko-Romanovsky 就黑客事件的增加進行了交談。 關於這一趨勢背後的主要催化劑,他說:
“毫無疑問,降低 DeFi 黑客風險還需要一些時間。 然而,這不太可能在一夜之間發生。 DeFi 裡有一種揮之不去的競賽感。 每個人似乎都很匆忙,包括項目創始人。 市場的發展速度快於程序員編寫代碼的速度。 採取一切預防措施的優秀球員只是少數。”
他還提供了一些有助於解決該問題的程序的見解:
“代碼必須變得更好,智能合約必須經過徹底審核,這是肯定的。 此外,應不斷提醒用戶謹慎上網禮儀。 發現任何缺陷都可以得到有吸引力的激勵。 反過來,這可能會促進特定協議中更健康的行為。”
DeFi 行業很難阻止黑客攻擊。 然而,當局加強監管和交易所之間加強合作有望有助於遏制這一禍害。
資料來源:https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide