比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 瑞波幣 > Info

EFI:50起黑客事件 逾50億美元損失:DeFi風險入門實用指南_DEFI

Author:

Time:1900/1/1 0:00:00

加密黑客、Rug Pull、經濟事件 … ?DeFi 中 50 起最大攻擊已造成了逾 50 億美元的損失,本文將介紹加密風險的實用指南。

加密的快速擴張吸引了數千億美元的資本,不幸的是,漏洞利用和詐騙也隨之變得普遍。這些風險在協議和個人層面仍然被廣泛誤解。通過這篇文章,我們希望闡明與 DeFi 協議最相關的技術和經濟風險,分析一些最突出的漏洞利用和用戶應該考慮的因素,以幫助人們管理對這些風險的敞口。

DeFi 協議中的風險分類

DeFi 協議面臨各種風險——從 Rug Pull 到黑客攻擊再到經濟攻擊,這些術語經常互換使用……但它們的真正含義是什么?

在區分這些攻擊之前,首先了解所涉及的風險類型會有所幫助,大致分為以下幾類:

技術風險——利用編程技術進行對抗攻擊,進而從協議中提取資金

經濟風險——以無法預測的方式使用協議關鍵的杠桿來制造不平衡,從而導致儲戶損失(攻擊者獲得收益)

DeFi 風險的Meme化

在這種情況下,我們會將黑客行為歸類為純技術性的外部攻擊,將 Rug Pull 歸類為內部攻擊,故意濫用技術因素,將經濟利用歸類為利用經濟協議不平衡的行為。

Hal Press:下周在SVB聽證會上儲戶將獲得至少50%的存款:金色財經報道,對沖基金North Rock Digital CEO Hal Press發推稱,關于SVB的聽證會,有許多不同的渠道正在進行,包括將銀行完全出售給另一家銀行或政府的支持,如果需要的話。更重要的是,下周聽證會上儲戶(甚至是大儲戶)將獲得至少50%的存款(SVB的大部分資產已經被出售),甚至可能更多。長期來看,他們可能會得到90%以上的回報,而且很可能沒有儲戶損失一分錢。[2023/3/12 12:58:02]

在本文的下一部分,我們將通過 DeFi 中 50 起最大攻擊事件來研究這些風險背后的潛在因素。

最大風險的細分

為了了解 DeFi 協議對每種風險的敏感程度,我們深入研究了迄今為止發生的 50 起最大黑客事件。這包括跨鏈橋的數億美元黑客攻擊、算法穩定幣的崩潰以及用戶資金的徹底蒸發。

在這 50 起事件中,我們估計用戶在 DeFi 應用程序中損失了超過 50 億美元。正如我們將在整篇文章中介紹的那樣,最大的攻擊來自跨鏈橋黑客,以及算法穩定幣摧枯拉朽般的崩潰。

以下是 50 次最大 DeFi 攻擊背后的主要風險因素分布:

“猿猴”全系NFT過去24小時交易額接近5000萬美元:金色財經報道,據最新數據顯示,“無聊猿”BAYC過去24小時交易額突破2000萬美元,本文撰寫時為20,099,189.15美元,漲幅高達393.76%。同時,“猿猴”全系列NFT交易量均出現大幅上漲,目前已接近5000萬美元,其中Mutant Ape Yacht Club NFT交易額達到19,468,783.99美元,24小時漲幅為442.65%;Bored Ape Kennel Club NFT交易額達到8,304,390.00美元,24小時漲幅為597.81%。[2022/3/17 14:02:30]

大約三分之二的最大事故源于技術風險。與此同時,不到四分之一是由于經濟失衡導致的脆弱性,10% 是兩種風險的混合。

技術風險

我們進一步根據程序攻擊是由于智能合約錯誤、私鑰管理、前端漏洞還是Rug Pull對它們進行分類。

上圖,我們可以觀察到絕大多數技術攻擊是由于協議智能合約中存在的意外錯誤造成的。事實上,在所考慮的 50 次攻擊中,有 46% 源自此類風險。其中,一些最常見的漏洞是復刻攻擊(Re-Entrancy Bug),例如臭名昭著的 The DAO 黑客攻擊中利用的漏洞。

A股收盤:深證區塊鏈50指數下跌2.04%:金色財經消息,A股收盤,上證指數報3381.18點,收盤下跌2.49%,深證成指報14093.64點,收盤下跌3.67%,深證區塊鏈50指數報3499.66點,收盤下跌2.04%。區塊鏈板塊收盤下跌1.6%,數字貨幣板塊收盤下跌0.31%。[2021/7/27 1:18:02]

此外,很大一部分攻擊是由于私鑰管理造成的,正如最近在 Axie Infinity 背后的 6.24 億美元的 Ronin 網絡黑客攻擊中所看到的那樣。這些事件是由于黑客能夠訪問控制協議智能合約的私鑰。在 Ronin 的案例中,有一個多重簽名錢包,需要 9 個地址中的 5 個來批準交易,其中 4 個屬于網絡背后的公司 SKy Mavis。 Ronin 指出此次入侵是社會工程攻擊,暗示冒充者向 Sky Mavis 的團隊發送了一個鏈接,該鏈接在打開后被授予訪問其私鑰的權限。被攻破的第五個地址屬于 Axie DAO,似乎他們的一名成員也遭到了同樣的攻擊。

雖然 Ronin 橋確實使用了多重簽名錢包,但該子類別中的許多其他攻擊都是由于單個地址控制對協議資金的訪問。這種不當的私鑰管理可能導致黑客攻擊和Rug pull,同時也使開發人員能夠故意提取用戶資金。

保護自己的資金免受這些風險似乎很難,但這并非不可能。在這篇文章的最后,我們將提供用戶可以采取的可操作的步驟來減輕技術風險,但在此之前,讓我們深入探討經濟風險,這會導致更大的損失。

調查:約42.6%的受訪者預計2021年底比特幣價格將低于55000美元:7月4日消息,針對S2F模型預測2021年底比特幣價格將達到55000美元的消息,由分析師PlanB在Twitter發起了一份民意調查,結果顯示,26639名受訪者中,約有42.5%的受訪者不相信比特幣價格將達到55000美元。(Zycrypto)[2020/7/5]

經濟風險

盡管 DeFi 中大多數攻擊背后都有技術因素,但由于經濟風險,實際上損失更大。

經濟風險可以進一步分為四個子類別:供給側、需求側、穩定機制和資產健康。這些因素在一定程度上是相互依賴的,盡管通常損失可以追溯到每個事件的這些子類別中的一個或兩個。

供給側風險主要涉及流動性的流入和流出及其集中度。 與在技術攻擊中觀察到的模式相比,這個模式非常不同。

例如,讓我們看一下最近的經濟事件,該事件導致 Curve 池的儲戶損失至少 8000 萬美元。在 2022 年 1 月 26 日之前,MIM 穩定幣是 DeFi 挖礦者獲得高回報的首選資產之一。那天,有消息稱該項目創始人 Daniel Sesta 一直在與另一個項目 Wonderland 合作,并與一位匿名合作者合作。創始人,前罪犯份子,通過加拿大 Quadriga 中心化交易所擁有數百萬資金。此外,支持 MIM 的部分抵押品是 Wonderland 的 TIME 代幣。隨著聯合創始人身份的曝光,整個 DeFi 都遭受了巨大的經濟沖擊。

BTC再度跌破9500美元關口:火幣全球站數據顯示,BTC短線下跌,再度跌破9500美元關口,現報9465.67美元,日內漲幅縮窄至0.53%,行情波動較大,請做好風險控制。[2020/5/21]

Michael Patryn,化名 Sifu,是 Wonderland 首席財務官,Abracadabra 創始人承認知道他的真實身份。這導致與 Daniele Sesta 相關的項目遭受重大損失。在 Curve MIM 池的情況下,儲戶爭先恐后的提取流動性。

數小時內從池中提取了大約 20 億美元的流動性。由于該池由 MIM 和 3Crv(另一個擁有 33.3% 的 USDT、USDC、DAI 的池)組成,儲戶選擇在 3Crv 中提取資金以避免與 MIM 相關的風險,這導致池中資產的構成變得不平衡。

隨著資金池轉向主要是 MIM,如果存款人選擇在 3Crv(或其任何組件)中提取資金,他們開始被收取更高的提款費。隨著資金池中的流動性越來越少,MIM 不再與美元掛鉤,提款費增長到一個地址因提款而損失 8000 萬美元的程度。由于這一事件,所有儲戶的總損失數額是巨大的。

雖然這本身并不是一個漏洞利用,但 Curve MIM 事件凸顯了經濟風險如何給 DeFi 用戶帶來可怕的損失。當談到經濟攻擊時,最常見的變量是價格操縱,通常是相對較低的市值或非流動資產。這些利用了協議穩定性機制中的漏洞,尤其是它們使用的預言機。

借貸協議 Cream Finance 和 Compound 已成為此事件的受害者,攻擊者使用閃電貸來操縱資產價格,使他們能夠人為地抬高抵押品的價格并將借貸能力提高到不可持續的程度。由于當時 Cream 和 Compound 使用的是鏈上預言機,因此攻擊者能夠通過閃電貸在一個區塊內完成所有這些操作。

盡管閃貸助長了許多此類攻擊,但它們并不是背后的主要原因。這些跡象表明協議容易受到人為操控的影響,有時甚至可以在沒有閃電貸款的情況下手動完成,例如在 BSC 中利用 Venus 協議的 2 億美元。我們將進一步討論用戶如何減輕涉及預言機、清算方和套利者的穩定性風險。

總體而言,這些經濟風險可能非常復雜,但可以通過查看這些協議的流動性變化以及它們使用的預言機等因素來監控。用戶可以采取更多措施來保護自己免受這些風險以及技術風險的影響。

減輕 DeFi 中的風險敞口

如前所述,DeFi 中最大的 50 起事件中有 66% 是由于技術風險,主要是智能合約錯誤。由于絕大多數人在智能合約代碼方面并不精通,這就引出了一個問題:我們能做些什么來預防這些風險?

第一步也是最簡單的步驟是檢查協議是否已經過審核。在發生率方面,我們所分析的大量漏洞利用未經審計。

值得注意的是,不止一名審計員可以審查這些協議并且仍然被利用。例如,Certik 和 NCC Group 對遭受 6.11 億美元黑客攻擊的 Poly Network 進行了審計。鑒于這些審計的跟蹤記錄,用戶可以評估他們可提供的價值,并可能根據歷史事件為協議被利用的可能性分配權重。然而,在這里,不僅需要看審計團隊經手的哪些項目遭受了攻擊,還需要查看已被他們安全審計的協議數量以及它們包含的鎖倉價值。

除了智能合約漏洞,我們還指出了私鑰管理可能帶來的風險。建議用戶對誰可以訪問協議背后的私鑰進行盡職調查。理想情況下,這些協議不僅具有具有多個(10 多個)地址的多重簽名,而且還包括其組織之外的知名人士。這相當于 DeFi 協議的導向器,除了比傳統意義上的漏洞暴露更大。通過遵守該標準,協議不太可能訪問其私鑰并Rug Pull用戶,因為他們無法以編程方式這樣做。

從經濟角度來看,值得用戶監控的是可能影響其存款安全的關鍵指標。對于 AMM 中的存款,尤其是像 Curve 這樣的穩定互換協議,值得關注流動性及其跨資產的構成。此外,如果這些地址提取資金,鯨魚地址中流動性的集中度也有助于評估頭寸在滑點或提款費用方面的脆弱性。

在借貸協議方面,最重要的是他們使用預言機跟蹤鏈下數據或使用資產的時間加權平均價格。這些有助于防止可能導致儲戶損失的價格操縱。同樣,如果共享流動性池中列出了非流動性的小盤資產,這些資產也可能被尋求提取資金的攻擊者人為夸大。

這些涵蓋了協議方面的風險,但用戶也可以采取其他措施來避免進一步的不利影響。其中最常見的包括使用硬件錢包、通過“burner”錢包使用小額資金,以及避免點擊可疑鏈接或與網絡釣魚詐騙互動。

結論

整個加密領域的風險比比皆是,DeFi 也不例外。盡管 DeFi 協議確實提供了比傳統金融更高的收益機會,但它們容易受到更大風險的影響,而且模式非常不同。盡管跟蹤所有這些風險肯定很復雜,但牢記這些風險,尤其是在您存入大量資金的情況下。

隨著加密規模的不斷擴大,黑客事件的影響也變得越來越大,但該行業正在建立最佳實踐以更好地降低這些風險。盡管成本高昂,但現在更多的協議選擇了審計,不使用多重簽名來管理存款的情況也越來越少。隨著開發人員從以前的攻擊中吸取教訓,用于價格的預言機也更具彈性。作為開源,加密可以為這些攻擊提供透明的洞察力,從而強化整個行業。最終,風險可能會貫穿整個加密領域,但越來越多的開發人員和用戶都可以采取措施來減輕風險。

作者:Into The Block 研究主管 Lucas Outumuro

編譯及整理:比推 Mary Liu

Tags:EFIDEFDEFIMIMPEET DeFiDefiDollar DAOWDEFI價格MIM價格

瑞波幣
SWAP:如果牛市還在 DeFi代幣價格何時回升就看這3大指標_RenaSwap

本文來自Messari,作者Mira Christanto雖然DeFi在過去一年才剛剛繁榮起來,但基本面投資者已經越來越多地從單純的MEME驅動轉向對鏈上數據進行分析.

1900/1/1 0:00:00
EAT:Swerve 簡介+挖礦流程_USD

swerve是curve的山寨版,發布以來受到有個大V的點評: 在當下風雨飄搖的行情下,穩定幣挖礦或許是個不錯的選擇,直接看操作過程:訪問swUSD的穩定幣兌換池.

1900/1/1 0:00:00
區塊鏈:巴林央行發布新加密貨幣監管法規_BIT

當地英文媒體TradeArabia于2月25日報道,巴林中央銀行發布了新的加密貨幣監管規定。巴林央行:將貸款利率下調至1.70%:巴林央行宣布將貸款利率下調至1.70%,此前為2.45%.

1900/1/1 0:00:00
USD:Alpha Finance被盜3750萬美元事件回顧 黑客掌握了內部信息_ALPH

DeFi的黑暗藝術仍然是最有利可圖的。下面是我們至今遇到過最具戲劇性的故事之一。一個虛假魔術,混亂及指控的故事,導致了迄今為止最大的DeFi黑客事件.

1900/1/1 0:00:00
SHI:可轉讓的Token都是證券?SEC怎么搞起了一刀切的“懶政”_SUSHI

北京時間4月3日晚,美國證券交易委員會(SEC)發布了期待已久Token監管指南,內容涉及ICO、Howey測試以及關于Token的其他方面.

1900/1/1 0:00:00
EFI:參與DeFi項目的風險分析_DEFI

我投資數字貨幣的風格是長線投資,但是偶爾也會關注一下一些談短線操作的文章。這些文章基本上總會在某個幣的價格走到一定高度時提示投資者止盈.

1900/1/1 0:00:00
ads