作者:老雅痞
三年前,锁定在DeFi的加密货币总价值仅有8亿美元。到2021年2月,这个数字已经增长到400亿美元;2021年4月,它达到了800亿美元的里程碑;而现在,它已经超过2460亿美元。这个新兴赛道捕捉了资本流动性的价值得到快速增长。
从黑客的角度来看,对defi生态系统的攻击是一种理想并且快速的致富手段,这里显然成为了各种黑客和欺诈者的游乐园。CipherTrace在最新的《加密资产犯罪和反报告》中指出,截至7月底,与DeFi相关的黑客事件已经让用户们损失了3.61亿美元。他们的主要手法是什么?而我们又该如何应对。
DeFi协议的资金是如何被盗的?
REENTRANCYATTACK(重入攻击)
一个鲜明的例子是发生在2020年4月19日的DForce黑客事件。
在defi协议上,首先智能合约有以下四个提款步骤:
Aave主管:DeFi的受众是数百万甚至数十亿人:Aave的集成主管Marc Zeller表示,正计划与Arbitrum和其他尚未公布的平台进行整合。DeFi真正成为主流需要改进的基础设施、更好的用户体验和有效的通道。相信DeFi的目标市场和受众是数百万甚至数十亿人。(BeinCrypto)[2021/6/28 0:10:17]
用户调用合约,准备从合约中提现所有资金。
合约检查用户在合约中是否有资金。
合约将用户在合约中的资金发送给用户。
合约自行更新,用户在合约中没有资金。
重入漏洞允许黑客在合约完全执行之前再次调用合约。在上面的例子中,攻击者可以在第三步和第四步之间重新进入合约,并在用户余额更新之前再次退出。通过重复这个过程,他们可以从合约中提取所有现有的资金,在一个循环中反复提取资金从而盗取了2500万美元。
FLASHLOANATTACK
Saffron的创始人:当前DeFi领域存在大量的双重风险:4月23日,Saffron的创始人Psykeeper在金色财经掌柜调查署的线上活动中表示:当前DeFi应用,大多都有着独特的风险。大量的DeFi应用程序都存在智能合约风险和价格风险,这是因为DeFi这个领域太前沿了,才导致双重风险的发生。原因在于智能合约和协议配合的时候,因为一些不可预测的Bug导致用户资产损失。而Saffron 通过将稳定性、保险、固定利息和风险管理等传统金融概念添加到 DeFi ,改进了这些不确定性,为所有现有的应用程序增加价值。
当前Saffron的当前版本只是版本1。版本2的Saffron来自更多的流动性池,更高的gas效率,更低的成本,以及更多的DeFi集成。该模型将在SaffronV3中完全成熟,其中包括一个类似Uniswap的工厂模型以及一些用于调整风险的可定制参数。[2021/4/23 20:51:00]
最近,闪电攻击已经成为最流行的黑客攻击方法。闪电贷款是一种只在一次区块链交易内有效的贷款,没有违约风险。它意味着贷款人同意向借款人提供任何金额的贷款,前提是在给定的时间内将该金额归还贷款人,否则贷款人可以回滚整个交易。黑客规避了贷款机制,这带来了各种漏洞,如资产价格操纵。?
DeFi贷款平台周一共清算2500万美元资产:根据CoinDesk 20的数据,随着以太坊价格大跌15%至1655美元,DeFi贷款平台本周一清算了大约2500万美元的资产,这是自11月25日以来的最高水平,当时有9300万美元资产被清算。(coindesk)[2021/2/23 17:41:10]
闪电贷款攻击是对某一平台的智能合约安全性的滥用,攻击者通常会借入大量不需要抵押的资金。然后他们在一个交易平台操纵加密货币资产的价格,并迅速在另一个交易平台转卖
智能合约的漏洞
编码错误产生于不小心执行的智能合约安全审计或未检查的智能合约漏洞和脆弱性。令人遗憾的是,许多区块链项目的创始人决定在测试覆盖率不足的情况下运行他们的项目,并忽视了安全审计的相关性,这种疏忽导致被攻击的可能性增加,给投资者带来损失。?
价格预言机的操纵:代表例子MakerDao
智能合约的执行依赖于价格oracle所提供的准确数据。然而,获得这些价格数据并不像人们希望的那样安全和可靠。如果oracle提供不准确的数据,智能合约将导致交易错误的执行。这一事实有利于那些试图操纵价格对自己有利的黑客。操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击,其本质是对预言机进行操控,造成内外价格差并利用闪电贷等新型金融工具从中套利。
DeFi播报丨DeFi总市值122.1亿美元 YFI涨超12%:据OKEx统计,DeFi项目当前总市值为122.1亿美元,总锁仓量为97.2亿美元。行情方面,今日OKEx平台DeFi币种涨幅前三位分别是YFI、ZRX、SNX。截至12:30,OKEx平台热门DeFi币种表现如下:[2020/9/11]
应运而生的Defi漏洞赏金平台
传统的网站和应用程序Bug赏金平台,如HackerOne和BugCrowd,在这种旧世界的模式中取得了成功。但现有的"Web2.0"bug赏金和与区块链和加密货币相关的"Web3.0"bug新时代之间存在巨大差异。在去中心化金融时代,Web3.0漏洞悬赏的关键性质是与实际货币价值相关,而不仅仅是软件漏洞。
什么是Immunefi?
Immunefi于2020年12月推出,通过Bug赏金提供智能合约安全。更重要的是,他们已经宣称是世界上首屈一指的bug赏金平台!Immunefi有遏制DeFi黑客攻击问题的野心。为了实现这一目标,它为区块链项目提供咨询服务、漏洞检测、项目管理,以及最重要的是,提供一支白帽黑客的军队。Immunefi寻求将DeFi协议与黑客联系起来,以保护平台和用户的资产。
ConsenSys Diligence已于5月对DeFi稳定币协议Lien进行审查:ConsenSys Diligence宣布已于5月份对DeFi稳定币协议Lien进行审查,并提出了7项安全建议。Lien可将抵押资产ETH分割成两部分独立的衍生品,在系统中分别叫做 SBT (固态债券代币)和 LBT (液态债券代币),其中所有与抵押物ETH法币价值汇率相关的风险都由LBT吸收和承担,从而使另一部分SBT的价格维持稳定,并由SBT这部分资产抵押生成稳定币iDOL代币,与其他稳定币抵押系统不同,Lien无需超额抵押,也无需手动调整参数以维持目标汇率的锚定。[2020/7/4]
什么是漏洞(Bug)赏金?
漏洞赏金计划为发现智能合约和应用程序的潜在漏洞的安全研究人员提供奖励。此外,赏金激励白帽黑客发现并向项目报告漏洞,而项目则根据漏洞的严重程度向他们支付报酬。
传统bug赏金面临的困境
经济激励
虽然世界上把黑客分为白帽黑客和传统黑客,但大多数人都在灰色地带活动。举个例子:有一个发现了可以快速赚取500万美元的漏洞的黑客,他自身在巨大的利益面前会陷入道德的困境,他是做正确的事与有bug的平台谈判,以此获得5千美元的bug赏金?还是他自己对这个bug采取行动?如果没有一个一致的、公平的白帽子奖励系统,人性黑暗面的诱惑将永远存在。
报告
Defi项目通常没有人负责处理bug赏金事件。因此,如果一个白帽试图报告一个漏洞,试图找到决策人。另外,如果CTO收到了来自外部的风险提示,说他们的代码有缺陷,他们的自尊心很容易占据上风,赏金猎人并不讨好。即使发现bug全部过程都被通过适当的渠道报告给公司负责人,也不能保证公司会奖赏。财务部门可能还会与开发团队对漏洞赏金的价值产生分歧,整个过程可能会陷入一系列的死胡同。
Immunefi的赏金计划
Immunefi平台代表他们的白帽子和项目团队处理/沟通和谈判,这大大提高了效率压缩了双方的时间成本,Immunefi让黑客保持匿名,并且不要求提供KYC文件。
Immunefi平台已经发布一些有利可图的赏金,其客户Astroport提供高达300万美元的奖励。其他引人注目的赏金来自Celer,价值高达20万美元,xDAI高达200万美元,Sushi发布的125万美元赏金。
Immunefi目前有7100万美元的悬赏金,它想把猎取bug的工作从一种爱好变成一种可行的职业。到目前为止,该平台已经支付了1000多万美元,为客户避免了200亿美元的资金受到损失。
如何启动赏金计划?
在客户填写了Immunefibug赏金登记表后,他们会收到一份调查问卷
Immunefi开始根据这些问题的答案起草一份bug赏金计划,该草案之后会被发送给客户进行审查,修改完成后,该程序将被移交给Immunefi的运营专家。运营专家与项目团队合作,确定赏金活动的启动时间和赏金的公关/营销细节以及费用和支付如何进行。
在Immunefi上发布一个bug赏金不需要预付费用。当黑客发现真正的漏洞时,客户只需在bug赏金的基础上向Immunefi支付10%的绩效费用。
由于defi领域的快速发展,随之而来的安全问题使大多数平台和用户资金受到损失,这也许可以解释为什么Immunefi,DeFi的新兴bug赏金和安全服务平台之一能够迅速捕捉价值,目前已经融资了550万美元的资金,由ElectricCapital领投,参与的还有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他个人投资者。
Amador在接受TechCrunch采访时补充说:"现实情况是,Web3是一个对抗性更强的环境,这意味着漏洞赏金过程的每个部分都与以前不同,从报告的提交和处理,到报告的验证,再到支付的谈判都是如此。传统的Web2bug赏金是一种方便的错误修复工具,而我们的Web3bug赏金则是DeFi项目的一个更为关键的应急系统。
随着DeFi生态积木不断丰富壮大,安全问题一直是高悬在头顶上的达摩克里斯之剑,DeFi被黑客攻击的事件仍然不会停止,未来还会继续发生,这一点无需赘述。
原文标题:《花一百多万买了一个头像后,我终于开始理解它了》原文来源:EmpowerLabs原文作者:?cwweb3万圣夜前夜,纽约曼哈顿.
1900/1/1 0:00:00作者:RichardLee今年8月,当YieldGuildGames紧随头部链游AxieInfinity迎来市场热度时,大多数人都没有料到「链游公会」会成为一个专门的赛道,甚至可以说.
1900/1/1 0:00:00链捕手消息,基于Polkadot的跨链互操作性项目Interlay完成650万美元融资,DFG领投.
1900/1/1 0:00:00撰文:Threebodycapital编译:MIM,深潮我们最初是在书里了解到Stacks这个名字——具体而言.
1900/1/1 0:00:00链捕手消息,EOS网络基金会赞助成立了5个核心工作组,包括:API+:主要负责提供数据接口,帮助EOS生态以外的应用程序更好的集成EOS网络.
1900/1/1 0:00:00作者:谷昱,链捕手11月14日,比特币机构级解决方案提供商NYDIG宣布以70亿美元的估值完成了一笔10亿美元的股权融资,这使得该笔融资创造了加密行业历史上单笔融资金额记录.
1900/1/1 0:00:00