DEFI:巴比特专访丨蒋旭宪：DeFi 攻击者5个月获利 5.3 亿美元，与黑客较量是争分夺秒的“攻防战”

DeFi行业自诞生起，便饱受黑客攻击困扰。刚刚过去的5月份，DeFi领域发生的安全事件更是达到了一个小高峰。

虽然安全事件层出不穷，蒋旭宪却认为“这是DeFi行业发展必须经历的一个阶段”。

蒋旭宪是区块链安全公司PeckShield创始人兼CEO，他曾专注于安全领域十余年，如今扎根区块链安全行业。他是如何看待BSC上黑客横行，如何理解DeFi行业发展？在DeFi行业不断走向成熟的过程中，PeckShield又将充当什么角色？

为此，巴比特记者对蒋旭宪进行了一次专访。

01BSC安全事件频发，黑客逐利而来

5月，加密货币市场被一层阴霾笼罩，价格暴跌的同时，DeFi领域的黑客攻击越发猖獗。

“DeFi安全事件的发生在5月份达到了一个小高点。”PeckShield创始人蒋旭宪在接受巴比特专访时感慨道。

截止?6月?7日，今年发生的DeFi安全事件损失金额已经超过2020年全年的损失。

PeckShield统计，2020年发生在以太坊链上的DeFi安全事件为60余起，其中闪电贷攻击事件为11起，损失金额逾2.55亿美元。而截至今年?6月初，DeFi协议损失金额已高达5.33亿美元，安全事件超出50起，其中11起为闪电贷攻击事件。区别在于，相比去年攻击事件频发于以太坊，今年币安智能链却成了黑客们肆意掠夺的主要战场。

Benji Bananas：约3000万枚PRIMATE流通代币被盗，将推出新代币BENJI:7月17日消息，Animoca Brands旗下手游Benji Bananas发文称，几个月前其做市商钱包被攻击，约3000万枚（20%）PRIMATE流通代币被盗。对此，团队将推出新代币BENJI以取代PRIMATE，PRIMATE将以1:1比例兑换为BENJI。Benj iBananas团队将于今日起对PRIMATE持有者钱包进行快照，以确定兑换BENJI的资格。如果用户持有PRIMATE，请勿移动资金，避免与快照金额不一致。如果用户在SushiSwap或ApeSwap上质押或持有PRIMATE，需解除质押，并将累积奖励提取到同一钱包中。[2023/7/17 10:59:00]

PeckShield数据显示，2021年BSC链上DeFi安全事件为20余起，闪电贷为8起，DeFi协议损失金额高达3.39亿美元，占今年DeFi协议总损失金额的63.6%。

随着PancakeBunny、BurgerSwap等闪电贷攻击不断在BSC链上发生，我们不禁疑惑，为何黑客的手开始伸向BSC？

“攻击者一般不会针对某个特定链，他们是跟着资金走的，哪里有钱，哪里就有他们的身影。”蒋旭宪直言到，“安全事件数量上升，其实侧面印证BSC的用户或资产规模达到了一定程度。”

鉴于以太坊较为高昂的Gas费用，很多DeFi正在慢慢迁移到相对便宜或用户体验比较友好的生态链上。

“币安智能链给大家提供了一个相对便宜的费用，让一些不能在以太坊上参与某些DeFi项目的用户参与进来。随着BSC上用户活跃度、资产规模提升以后，相关问题也爆发出来了。”蒋旭宪提到。

CZ：没有人知道市场上涨/下跌的真正原因，投资者应理性看待:6月10日消息，Binance 创始人 CZ 表示，没有人真正知道市场上涨和下跌的真正原因，很多人声称自己知道，而且往往把它归咎于一个单一的（通常是错误的）原因。事实上，市场上有很多卖家和买家，每个人都可能有自己的原因。类似 Binance 抛售加密货币、Robinhood 平台抛售山寨币，或者各地的禁令，贪婪和恐惧，这两种是投资者在任何市场都需要管理的情绪。[2023/6/10 21:28:20]

在DeFi领域，最常见的攻击手段包括有闪电贷攻击、重入攻击、私钥被盗等。

目前，DeFi协议安全事件频发，主要是因为许多项目存在代码复刻。不少协议本身代码与以太坊上的项目有着一定的相关性，它们Fork了代码，但并没有完全理解这些协议背后的逻辑。这体现在运维、管理、与其他协议互动等方面，以及在参数设置、风险控制点，甚至包括在一些预言机价格的使用方案上，他们可能不如原创团队做的到位，这也就为之后的安全事件埋下了“祸根”。

5月20日消息，DeFi收益聚合器PancakeBunny遭到闪电贷攻击，损失超过4500万美元。5月24日，DeFi协议AutoSharkFinance遭受相同漏洞攻击损失了74.5万美元；5月26日，DeFi收益聚合器MerlinLabs也损失68万美元。这类安全事件对于投资者而言，似乎已屡见不鲜。

蒋旭宪坦言道：“这类攻击都基于相同的漏洞，我们称之为‘同源漏洞’或‘同源攻击’，这在BSC上相对容易会发生。”

他指出，很多项目方在Fork代码之后，认为之前的代码做过审计并且长时间没有出现问题，于是在审计自己的项目时，认为只需要对修改的部分内容进行审计即可。这显然形成了一个误区，他们低估了DeFi乐高和组合性带来的安全风险和潜在问题，以往在以太坊出现的各种DeFi漏洞，都有可能在BSC上复现。

数据：12月以太坊验证人收入环比跌逾9%至8032万美元，比特币矿工收入无较大变化:金色财经报道，The Block数据显示，12月份比特币矿工收入较11月增长0.85%至4.77亿美元，该数据历史高点在2021年3月，为17.5亿美元。以太坊在9月中旬Merge合并后验证人收入随手续费降低而大幅消减，12月较11月再次下跌近9.58%至8032万美元。该数据历史高点在2021年5月，为24.9亿美元。[2023/1/3 22:23:15]

另一方面，黑客在进行攻击时也会玩点“小花招”。蒋旭宪提到，黑客通常会选择在大家都比较松懈的时间点进行攻击。据PeckShield统计，攻击更多发生在周六凌晨2点到6点之间。

尽管此类攻击层出不穷，蒋旭宪却认为这是DeFi行业发展必须经历的一个阶段。

“如果我们回顾下去年以太坊DeFi安全事件，以及2018年EOS上的安全事件，就会发现在BSC上发生的DeFi事件与它们有许多非常相似的地方。”蒋旭宪说。

02与黑客的较量是一场争分夺秒的“攻防战”

对于PeckShield等安全公司而言，与黑客之间的较量是一场争分夺秒的“攻防战”。

当黑客攻击发生时，PeckShield首先会尽快发出预警。

“我们内部有一个风控的检测机制，任何一个闪电贷攻击发生的时候，就会自动发出预警。”蒋旭宪说，“发出预警之后，我们就会开始找到受到闪电贷攻击影响的协议。”

他提到了一个例子。5月8日晚间，RariCapitalETH池因与AlphaFinance集成存在漏洞遭到了攻击，损失约1500万美元。

AAC上线生态架构板块:据官方消息，AAC（Double-A Chain）今日上线其生态架构板块。该板块展示了目前AAC生态已有的应用，用户可以快速体验。据悉未来更多项目方或开发者基于AAC链开发的应用可以申请加入该生态架构。[2022/11/8 12:33:17]

据悉，Rari是一个投资组合平台，用户将ETH存入Rari，然后Rari决定将募集到的ETH投资到不同的项目。Rari投资获得的利息将按照用户不同的投资份额按比例分给用户。

当攻击者开始实施攻击，PeckShield首先发现高危地址发生了异动，疑似DeFi协议AlphaFinance合约存在漏洞。随即，它将情况通报了AlphaFinance开发团队，在迅速准确地定位到攻击的对象实际为RariCapital的ETH资金池后，PeckShield再将漏洞根源同步给AlphaFinance开发团队。

随后，AlphaFinance及时暂停服务，攻击者再次发起攻击的那笔交易回滚，RariCapital团队则从ibETH中提取所有资产避免更多资金受损。最终，PeckShield协助RariCapital避免了600万美元的损失。

这整个过程的时间极短。事后，攻击者们在眼看着就快得手的600万虚拟资产被拦截后，在区块上留下：“Rari=REKTalpha=oksavedrari6m”。

欧洲央行行长：加密质押借贷业务必须与比特币一同受到监管:金色财经报道，据《财富》杂志社报道，欧洲中央银行行长 Christine Lagarde 在向欧洲议会作证时明确表示，加密质押、借贷业务必须与比特币一同受到监管。谈到将于2024年在整个欧盟生效的加密资产市场 (MiCA) 法规，Lagarde 认为，由于加密行业当前发展的速度，已经需要一个潜在的第二个后续框架。她说：“MiCA II 应该规范加密资产抵押和借贷的活动，这些活动肯定会增加。在这些未开发和未知领域的创新将消费者置于风险之中，缺乏监管通常引起欺诈、完全不合法的估值主张，以及投机和犯罪交易。MiCA I 不会涵盖比特币，但对于 MiCA II，我们希望考虑到这一点”。[2022/6/22 4:43:56]

对此，蒋旭宪将项目如何抵御黑客攻击大致总结为三个步骤：事前专业的智能合约安全审计，排查已知的各类漏洞；过程中，第一时间响应安全风险，及时排查封堵安全攻击；最后，则是查漏补缺。

尽管黑客与安全公司之间经常会发生“战斗”，但黑客挑衅的对象往往不是后者，而可能是一些项目方。

2020年11月15日，ValueDeFi协议遭受了闪电贷攻击。事后，黑客在区块上留下一句话“doyoureallyknowflashloan？”有趣的是，攻击者在利用740万美元DAI后，向ValueDeFi退还了200万美元。

除了与黑客斗智斗勇，PeckShield似乎对一些计划跑路的项目方的“小动作”也颇有了解。

“当一些项目方打算‘跑路’时，我们也会及时预警，既是给社区预警，也是给项目方直接提示。”蒋旭宪说。

他笑道，当他们发出预警后，就有一些项目方直接把“跑路”的行动给取消了。

据他表示，目前通过DeFi出来的新协议，可能会藏着一些所谓的“后门”，存在一些特殊账号或需要开启的某些功能。例如，某些打算跑路的协议可能把资产从有“后门”的流动池里面直接转走，但是进行这个操作的时候，实际上可能会需要激活“后门”，比如时间锁等。

“项目方可能会把时间锁关了，但这个行为可能会被我们监控到。”蒋旭宪提到。在监控到之后，PeckShield会实时跟项目方联系，或者对社区发出一些预警。

另外，对于一些攻击者的相关地址，PeckShield也会对其打上黑色标签，一旦有着“黑标签”的地址开始进行转账，系统就会自动将相关的交易地址做好标记。当信息多到一定程度，就能串联起来形成线索，以此做到资金流向“去匿名化”。

通过这种方式，PeckShield曾协助调查了不少区块链犯罪。蒋旭宪指出，协助的工作一般分为三个步骤：追踪和监控资金流向，监控目标地址交易；追踪主体信息，锁定犯罪分子；出具司法鉴定报告。

然而，随着DeFi领域的技术创新衍生出新型?式，对反工作的进行提出新的挑战。

例如，币安智能链上，当黑客攻击成功后，他们会把资产从BSC上跨桥到以太坊上，然后利用以太坊的某些隐私保护协议，使得资产追踪就变得非常困难。

5月30日，PeckShield在推特上表示，“黑客利用去中心化跨链交易协议Anyswap作为将收益转移到以太坊的桥梁。现在有两个待处理的跨桥请求，总共2171.8991个anyETH。”对此，Anyswap回应称，“Anyswap是一种去中心化的跨链协议，我们无能为力。”

“现在资金很多通过跨桥方式转移，这使追踪难度大幅提升。”蒋旭宪有些无奈道。

03DeFi生态壮大、维稳、健全将经历三个阶段

“对于行业发展而言，黑客存在有其必要性。”蒋旭宪客观地说。

他指出，DeFi生态壮大、维稳、健全将经历三个阶段。第一是无知阶段，此时行业忽视安全，各类项目野蛮生长；第二是唤醒阶段，随着安全事件和安全漏洞频现，项目方、平台开始重视起来；第三是警觉阶段，社区主动探寻安全解决方案。

虽然攻击者必然会对项目方和投资者造成安全威胁和财产损失，但其存在却也让行业参与者开始反思现存安全漏洞问题，在一定程度上也会促使生态做得更好。

当然，黑客存在或许有其必要性，但是也并不意味着项目方和安全公司应该放任其作恶。长久以来，怎样防范黑客攻击和保护投资者资产一直是行业难题。

以近期最常见的闪电贷攻击为例。顾名思义，闪电贷讲究一个字“快”。了解DeFi的用户都知道，闪电贷是在单笔交易内能把钱借出去，但必须在单笔交易结束之前把钱还回来，即整个过程必须在一笔交易内完成。

作为无抵押、无担保的贷款方式，蒋旭宪认为闪电贷是一项技术创新。

“有时候我们会建议项目方在做资产进出的时候，不要设置在单笔交易内完成。借贷方需要到下一个区块才能取钱。这么做的一个好处是杜绝了闪电贷。”蒋旭宪说，“缺点是用户在体验上可能会不方便。因为本来一笔能完成的交易，现在必须要发两笔交易。”

另外，他指出，黑客往往会操纵链上的价格来攻击获利。对于项目方而言，可以集成链下价格，通过将链上价格和链下价格互相参考验证，确保价格在一定允许范围之内维持稳定。如果价格明显超出了允许范围，可以得知目前的协议是被操纵的，这时应该“回滚当前用户交易”。

“不过想要凭借某一种技术或一种解决方案以求完美解决所有问题，这并不现实的。”蒋旭宪坦言道。

他表示，新上线的合约应该通过多家全面、专业的智能合约安全审计，排查已知的各类漏洞。在同源攻击发生后，项目应仔细自查自己的代码，减小潜在的安全风险。

“目前。BSC链上被攻击项目出现的漏洞其实都算不上新颖。尽管审计不可能排除所有漏洞，但对已知漏洞却能做到精准定位和修补。在很大程度上能够避免一些攻击。”蒋旭宪说。

项目需要在各方面进行审计排查，而作为行业的重要组成者，投资者应该如何选择项目？

“切勿盲目跟风，只看短期利益。对于投资用户而言，理性思考尤为重要。”蒋旭宪直言道。

他认为，除了知晓项目是否通过多家平台的审计排查，用户也需要擦亮眼睛，去关注项目的原创性。是否复刻了其他项目的代码，是否具备独特的创新，这些都是衡量一个项目安全性和有价值的重要指标。

而随着DeFi行业黑客攻击越发频繁，PeckShield的工作也随之变得更加忙碌。

“目前，一些项目的审计单子已经预定到了2-3个月后。”蒋旭宪说，“大部分是DeFi项目，也有公链项目，不过后者审计时间相对比较长，一般需要3个月左右。”

据其表示，在接单过程中，PeckShield会推掉一些急于在短期内取得审计报告的DeFi项目。在该公司看来，这些客户显然不是认真在做DeFi协议。

“相对来说，我们希望扎根区块链的核心安全，跟着行业趋势，将核心安全问题都理解通透。在稳固资深业务的基础上，也能参与到行业生态发展中。”蒋旭宪告诉巴比特。

在提及DeFi行业发展时，他的眼中露出一丝光芒，纵然黑客横行，似乎也并没有改变他对行业未来的信心。

“总体来说，参与用户量还是变多了，DeFi市场规模正在往上走。虽然接下来会有一段时间的回调，但我认为这是行业自身在调整，是一个必不可少的环节。”蒋旭宪说道。

标签：DEFIDEFEFISHIdefi communityTower Defense TitansDeFi FireflySHIB币最新消息价格

比特币最新价格热门资讯