DeFi——去中心化金融,不同于过去中心化的传统金融需要许多中介机构如银行、证券交易所的参与,DeFi利用了区块链的技术,逐渐发展出有别于传统金融的金融商品,疯狂受到追捧。根据DeFiPulse的数据,DeFi锁仓量已飙升了200%以上,从2021年1月份的$320亿到12月份的$980亿。DeFi作为去中心化世界的明星产物,凭其去中心化、不可篡改、无需信任、开放透明可组合等特性为用户打开了开放式金融的大门。
不过,DeFi真的足够「去中心化」吗?
从协议层面以及交互方式来看,DeFi的确足够去中心化。但从一些攻击事件上看,DeFi似乎显得不那么去中心化。
2021年7月14日,波卡数字收藏品市场平台BondlyFinance遭到攻击,导致373,088,023美元的BONDLY代币从BondlyStakingRewards合约中转出,据官方调查,攻击者通过精心策划获得了属于Bondly首席执行官BrandonSmith的密码帐户的访问权限。密码帐户包含Smith的硬件钱包的助记符恢复短语,复制后允许攻击者访问BONDLY智能合约,以及被泄露的公司钱包。
Terra链上DeFi锁仓量为137.3亿美元:金色财经报道,据DefiLlama数据显示,当前Terra链上DeFi锁仓量为137.3亿美元,在公链中仍排名第2位。目前,锁仓量排名前5的公链分别为以太坊(1105.8亿美元)、Terra(137.3亿美元)、BSC(112.6亿美元)、Fantom(113.2亿美元)、Avalanche(85.4亿美元)。[2022/1/29 9:20:20]
有趣的是,该黑客似乎在四个月后又以相似的方式攻击了另一个DeFi项目。
2021年11月5日,DeFi协议bZx发推称控制Polygon和BSC部署的私钥已被泄露,导致资金损失。据官方调查,黑客使用的钱包之一参与了BondlyFinance的攻击。同时,本次漏洞利用与BondlyFinance的非常相似:黑客获得了开发人员的密码,然后从协议中操纵了一个智能合约。不久,bZx在更新的事故报告表示:“我们聘请了一家名叫Kaspersky的安全公司,该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织Lazarus执行的。”据慢雾AML旗下反追踪系统MistTrack?分析,攻击者初始资金来自Tornado.Cash转入的0.9ETH,接着攻击者一番操作将被盗资金分散到多个地址。然后攻击者将多种代币换为ETH,最后通过Tornado.Cash转出10960ETH,以太坊部分的洗币基本完成。
Libra项目负责人David Marcus开始关注DeFi项目:11月3日,Libra项目负责人David Marcus开始关注DeFi项目。David Marcus在推特上询问网友称:“除了Uniswap、Maker和Compound之外,我还应该知道哪些最有意思的DeFi项目?”[2020/11/3 11:31:12]
以上两个事例都是无关合约问题,而是开发人员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾近期,私钥泄露似乎变得非常热门:Levyathan损失150万美元、8ightFinance损失175万美元、VulcanForged损失1.4亿美元……我们不禁想,这是不是表示着线下实体实际掌管着控制权呢?
DeFi流动性耕种项目BASED遭黑客攻击 将重新部署“Pool1”:DeFi流动性耕种匿名项目BASED官方宣布将重新部署质押池,官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。目前抵押资金和BASED代币都是安全的。此前,此前报道,BASED是一个匿名项目,背后团队代号为GHOUL,和YAM相似,也是一个采用弹性供应机制的DeFi流动性挖矿项目,没有内在价值,且受模因驱动。和YAM一样,BASED也宣称主打公平分发,没有预挖和销售,没有人创始团队预留,没有投资机构占股,利益分配机会均等。根据其官网描述,BASED每24小时进行一次代币供应调整,以维持1个BASED代币等于1美元的锚定。[2020/8/14]
除了钓鱼攻击,前端攻击也是引发DeFi安全问题的高危据点。
DeFi中锁定的比特币数量再创历史新高:金色财经报道,根据DeFiPulse的数据,尽管增长受限,但在DeFi中锁定的比特币达到了2026枚的历史高点。在DeFi中锁定的比特币在2月份开始积聚势头,从1500枚BTC上升到超过1700枚BTC,直至3月15日。值得注意的是,DeFi中的BTC在3月12日市场下跌期间没有下降趋势,而是横盘整理。另一方面,ETH和Dai并不那么幸运。“黑色星期四”导致MakerDao保险库中拍卖了抵押品不足的以太坊,此后,锁定在Defi中的ETH和Dai数量下跌。尽管ETH现货市场出现了突飞猛进的增长,但锁定在DeFi中的资产数量无法恢复。3月30日,DeFi中锁定的ETH在24小时内跃升了近14%,达到281万,但增长在4月8日再次被抹去。[2020/4/21]
2021年12月2日,据官方Discord消息,去中心化组织BadgerDAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。12月9日,Badger?发布了详细的事故报告,报告称此次事件是CloudflareWorkers上的恶意注入代码片段导致的。CloudflareWorkers是一个运行脚本的界面,这些脚本在流经Cloudflare代理时对Web流量进行操作和更改。攻击者在Badger工程师不知情或未授权的情况下获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。用户确认了那笔恶意交易,就会将代币授权给攻击者,然后攻击者就可以在用户不知情的情况下将代币转走。据慢雾AML旗下反追踪系统MistTrack分析,黑客将部分获利的加密货币换成renBTC,并通过renBTC将约2100BTC跨链转移到14个BTC地址,目前暂无异动。
在DeFi世界,合约一旦部署不可篡改不可撤回,理论上来说是不会受到人为的干预,这点确保了其去中心化的特点,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但是仍存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视,这些错误因素使得攻击者饱餐了一顿又一顿。
2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平台Miso的前端遭受攻击。承包商的一名匿名员工将恶意代码注入Miso前端,把拍卖钱包地址替换成了自己的钱包地址,导致864.8ETH被盗。
当前端问题开始影响资金的安全性,作为用户不得不深思如何才能做到安全地参与DeFi项目,简直如履薄冰。
总结
不管怎样,“DeFi是否完全去中心化”这个问题也许会一直存在。与其说去中心化是DeFi最大的特性,不如说是DeFi世界的终极目标。而不论是作为用户、审计机构还是作为项目方,我们经历过如此多的DeFi安全事件后,是否仍然只将注意力聚焦到智能合约上呢?答案不言而喻。
参与DeFi项目本质上是把手中的资产转移或授权给DeFi项目方,存在个人极大程度上不可控的安全风险。那我们普通用户能做什么?慢雾为您准备了一份“DeFi资产安全解决方案”,点击原文即可查阅。
注:原文作者为Tokemak创始人LiquidityWizard,以下为全文编译。互联网正在以巨大的速度变化.
1900/1/1 0:00:00元宇宙,其实特别好理解,只要你不去追逐资本和商业媒体为你营造的概念。对于人类的未来,世界最聪明的头脑,有两个共识:一个是移民火星;一个是元宇宙.
1900/1/1 0:00:00以太坊作为加密应用的主要承载平台,在2021年有不错的表现,但由于新应用层出不穷,以太坊不堪重负。如果以太坊的分片网络迟迟不能上线,以太坊的市场份额就会慢慢失去.
1900/1/1 0:00:00回顾2021年的文娱行业,虚拟偶像是当中的重要关键字。2021年年初Roblox上市当日市值突破400亿美元,较前一年上涨10倍,奠定了元宇宙“元年”的开端,其关联行业虚拟偶像也渐入佳境,相关产.
1900/1/1 0:00:00比推消息,投资公司?JumpCapital?合伙人PeterJohnson表示,2022年将是加密的又一个重要年份,总体主题是广泛采用,包括广泛采用稳定币、DAO、高速链、L2?和跨链应用.
1900/1/1 0:00:00UTXO联盟UTXO联盟是一项旨在启动与个人和组织合作的计划,旨在使UTXO模型更具可扩展性、安全性和互操作性.
1900/1/1 0:00:00