被盗3亿多美金 除了黑客攻击DeFi还存在哪些安全风险与挑战?_DEF:DEFI

虎年才刚刚开始,黑客就已蠢蠢欲动,开始对一些DeFi项目“动手”。

2022年2月3日,成都链安链必应-区块链安全态势感知平台舆情监测显示,跨链协议Wormhole遭到黑客攻击,损失达12万枚wETH(约合3.2亿美元),这也成为DeFi史上第二大的黑客事件。而仅仅过去三天,2月6日,Meter.io 跨链桥遭遇黑客攻击,损失达到 430 万美元!三天两起安全事件的发生,金额数大,我们不禁要问,DeFi为何又成为了黑客的提款机?

随着去中心化金融(DeFi) 市场的发展,“风险”成为焦点。首先,我们需要知道的是,去中心化金融(DeFi)是指建立在区块链网络之上的一系列金融产品和服务,它是一个开源、无需许可、去中心化的金融系统,但 DeFi 产品的不同风险维度在很大程度上仍未得到充分研究。除了黑客攻击,DeFi还存在哪些风险与挑战?

DigiDaigaku超级碗活动期间出现钓鱼链接,用户需警惕资产被盗:2月13日消息,推特用户Tedtheeast表示,DigiDaigaku上了超级碗,吸引了一批流量到NFT圈,同时也导致很多人被钓鱼链接盗NFT。如果被盗可以采取下列措施:

1. 首先确保是因为签名(signature)而不是授权(approval)导致的被盗,区别在于是否支付Gas费。可以在区块链浏览器检查。也可以在http://revoke.cash上取消任何看起来可疑的授权,同时http://revoke.cash也有针对浏览器的钱包插件,可以提示恶意网站。

2. 确保助记词没有泄露,如果是助记词泄露,那除了换钱包没有任何其他办法。

3. 因签名导致的NFT和ETH被盗,是一次性的。毕竟对于很多人来说,钱包不是随便说换就换的,通常除了NFT以外还有其他的DeF代币在stake或者还没unlock,还有其他链上的资产。

4. 对于已经被盗的资产,it is what it is,最重要的还是提高自身的安全意识,点任何链接/授权/签名之前,一定要仔细查看。

慢雾科技创始人余弦评论称,“听说DigiDaigaku超级碗活动这两天很火,好些人因为其中夹带的钓鱼信息给盗走了不少资产。一定要冷静,尤其是热闹的活动。简单分析了下,这波和之前怀疑‘朝鲜黑客’的那波没直接关系。但签名钓鱼手法上,各组织越来越卷,该有的手法都逐步会有,总有一款适合你……”

据此前报道,NFT项目DigiDaigaku母公司Limit Break称,将铸造限量Dragons NFT,并斥资650万美元在2月12日超级碗LVII上播放30秒的互动广告,届时将向限量观众发放免费的NFT。[2023/2/13 12:03:53]

今天,我们从另外一个维度,借由这几天的黑客事件简单讲述一下DeFi所遇到的一些风险向量。

Crypto.com 发布被盗事件调查报告:损失超3300万美元,483名用户受影响:1月20日消息,加密货币交易所Crypto.com发布被盗事件调查报告,称1月17日上午该交易所的风险监控系统检测到少数用户账户上的未经授权的活动,在这些账户中,未经用户输入2FA身份验证控制的交易正在获得批准,随后平台暂停了所有用户的提款功能。

Crypto.com表示,在大多数情况下,该交易所阻止了未经授权的提款,但仍有483 名用户账户资金被盗,实际上损失超过3300万美元,其中包括 4,836.26 ETH、443.93 BTC 和约 6.6 万美元的其他货币,目前所有受损失用户都得到了全额报销。

针对该事故,Crypto.com引入了额外的安全层,在用户注册新的白名单提款地址和首次提款之间增加了 24 小时的强制性延迟时间。用户将收到已添加提款地址的通知,以便他们有足够的时间做出反应和响应。[2022/1/20 9:02:27]

DefiPrime:Zabu Finance遭攻击导致320万美元加密资产被盗:9月13日消息,DeFi门户网站DefiPrime在推特上表示,Avalanche链上Zabu Finance遭攻击,导致价值320万美元的加密资产被盗,包括:

WETH:402.9

WAVAX:23,157

PNG:21,501

AVE:106,848

USDT:361,267

JOE:23,958.93

DefiPrime称,这可能是Avalanche链上最大的一次攻击事件。早些时候报道,Avalanche上Zabu Finance项目发生盗币案,ZABU币价暴跌。[2021/9/13 23:21:07]

1. 内在协议风险

佳能节点分析:EOS被盗或因用户复制粘贴私钥时被监听:百万EOS是因用户操作不当被盗,并不是交易所EOS被盗,各大节点正努力协同找回。目前根据佳能节点CTObean的分析,可能是因为在用户复制粘贴私钥的时候,被某些恶意程序监听了。建议大家不要复制私钥。[2018/6/14]

DeFi 平台以智能合约的形式存在,这些协议的动态是 DeFi 应用程序中最重要的风险维度之一。内在协议风险是指默认嵌入在协议设计中的风险机制。

DeFi 中的内在协议风险有各种形式。在 Compound 或 Aave 等 DeFi 借贷协议中,清算是一种将借贷市场的抵押品维持在适用范围内的机制,清算允许参与者在无抵押头寸中参与本金。滑点是曲线等自动做市 (AMM) 协议中存在的另一种情况,曲线池中的高滑点条件可能会迫使投资者支付极高的费用以消除提供给协议的流动性。

比如清算风险,因为DeFi协议中的加密抵押品容易受到市场波动影响,并存在债务头寸在市场波动中出现抵押不足的风险,继而诱发清算机制,造成用户遭受进一步损失。

2. 外生协议风险

除了内在协议风险, DeFi 交易通常会受到改变协议预期行为的外生因素的影响。这些风险包括利用 DeFi 协议底层机制的攻击,例如预言机操作、闪贷攻击或利用智能合约逻辑中的漏洞来进行攻击。最近在Cream Finance和Badger DAO等协议中的漏洞被黑客利用凸显了外生协议风险会影响 DeFi 的发展。

3. 治理风险

DeFi 的一个独特方面是,去中心化治理提案控制着 DeFi 协议的行为,并且通常是其流动性构成变化影响投资者的原因。例如,改变 AMM 池中的权重或贷款协议中的抵押比率的治理建议通常有助于流动性流入或流出协议。从风险的角度来看,DeFi 治理的一个更令人担忧的方面是许多 DeFi 协议的治理结构日益集中化。

尽管 DeFi 治理模型在架构上是去中心化的,但其中许多项目是由少数各方控制的,这些各方可以影响任何提案的结果。这方面并不像看起来那样令人担忧,因为许多能够影响 DeFi 治理投票结果的治理者之所以处于该位置,仅仅是因为他们积极参与并与 DeFi 生态系统保持一致——这是利益一致的明显标志。

4. 潜在的区块链底层风险

DeFi 协议对其底层区块链有一定程度的基础设施依赖。特定区块链上的共识机制等可能会成为该平台上运行的 DeFi 协议的漏洞。一个典型的例子是权益证明(PoS)网络中所谓的验证者卡特尔,其中许多验证者串通起来影响网络中的奖励分配,并可以有效地阻止 DeFi 协议的运行。

5. 市场风险

有时倾向于痴迷于协议和基础设施方面,反而忽略了该领域的市场风险。例如,如果资产价格在向矿池提供流动性时发生巨大差异,则对非稳定币 AMM 矿池也有着很大影响。另一个例子是资产价格的突然崩盘,这可能会引发资金池中大量流动性的流失,从而导致严重的滑点风险。

DeFi 协议的可编程性意味着它们可以对传统市场风险因素(例如波动性和价格)做出本能反应,从而产生影响投资者头寸的级联效应。

结尾

DeFi 中的风险管理之所以如此具有挑战性,是因为它与金融工具中的传统风险管理理论不太相符。几十年来,资本市场一直围绕着波动性等市场因素的风险管理模型而发展,现在,通过用自动化金融技术(智能合约)取代这些中介机构, DeFi 实现了前所未有的金融自动化水平,但也引入了我们以前从未见过的新风险向量,可见,DeFi如何控制风险,未来还有很长的一段路要走。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-0:950ms