都说区块链“安全” 为什么 DeFi 黑客如此猖獗?_区块链:DEFI

作者:AndrewZola/Unchained

区块链使DeFi成为可能。事实上,区块链应该是安全的,那为什么如此多的DeFi平台和应用程序总是遭到黑客攻击?

加密情报公司CipherTrace在2022年年初发布的一份报告显示,去中心化金融(DeFi)占所有加密黑客攻击的75%以上。此外,在所有主要加密欺诈案件中,发生在DeFi领域的占比达到54%,高于2020年的3%。

首先,什么是区块链?

区块链是存储不同数据类型的分布式共享账本。例如,我们可以使用区块链来记录非同质代币(NFT)的所有权,当然还有加密货币交易。

尽管传统数据库可以轻松存储相同的信息,但区块链的独特之处在于没有集中的权限。它永远不会由中心化管理员在一个位置进行维护,例如Excel电子表格,一个人可以在没有监督的情况下进行更改。

相反,区块链数据库的多个相同副本存在于网络上的多台计算机或节点上。要在“链”中添加另一个“块”并将底层交易记录在分布式账本中,需要达成共识。

Bitget推出多地址充值与地址簿功能:4月24日消息,Bitget正式将单一地址充值升级为多地址充值,首期支持50个地址充值,无需切换账户,可有效避免女巫攻击,未来还将支持zkSync等网络的多地址充值。本次升级也推出地址簿功能,方便用户批量将地址导出到本地,离线管理地址。另Bitget同步上线BGB质押免手续费服务。作为Bitget平台的用户,质押BGB可享受包括以太坊主网、Arbitrum主网、Tron主网等多链加密资产免手续费提现服务。[2023/4/24 14:23:19]

大多数节点必须在将新数据块添加到分类帐之前验证新数据的合法性。因此,理论上,任何人都几乎不可能进行欺诈交易。这是因为威胁者必须侵入每个节点并更改分类帐的每个副本以避免被发现。

虽然这不一定是不可能的,但这对黑客来说是一个巨大的挑战。此外,当您将一层权益证明(PoS)或工作量证明(PoW)交易验证方法添加到组合中时,系统变得极其困难。

POS使用随机选择的矿工来验证交易。另一方面,POW使用竞争验证方法来确认交易。一旦交易被确认,一个新的区块将被添加到区块链中。

美国银行:不要用加密交易投机玷污区块链技术:金色财经报道,美国银行(Bank Of American)最新发布报告称,将投机性加密货币交易和 Token 价格与底层区块链技术分开非常重要。该机构分析师 Alkesh Shah 和 Andrew Moss 指出,尽管 FTX 和 Alameda Research 倒闭引发市场担忧,但依然应该继续推动“利用分布式账本和区块链技术的应用程序开发”。

据此前消息,纽约联储已经和美国银行、花旗集团 (C)、汇丰银行 (HSBC)、纽约梅隆银行 (BK) 和富国银行 (WFC) 以及支付巨头万事达卡 (MA) 开始测试“数字代币”的使用。(雅虎财经)[2022/11/19 13:23:15]

因此,去中心化的公共区块链可以高度安全,因为网络上的每个人都必须验证交易是否合法执行。那么,为什么加密黑客频频成为头条新闻?问题的答案在于跨链桥。

什么是跨链桥?

跨链桥连接两个不同的区块链,并允许用户在没有任何中介或中央授权的情况下从一个区块链发送、接收或交换加密货币,例如加密货币。

数据:持有至少1000枚ETH的地址数达近9个月高点:金色财经消息,链上数据显示,当前持有至少1000枚ETH的地址数为6368个,达到9个月高点。(Glassnode)[2022/8/21 12:37:47]

虽然这听起来很简单,但事实并非如此。跨链桥不像美元兑换欧元,一个易理解的类比是:试图将您银行账户中的航空里程兑换成美元。

区块链桥的存在是为了在高Gas费或交易费用、快速交易、改善隐私、优化实用程序以及通过互操作性增强用户体验时为用户提供选择。

饿了么在上海推出首个外卖奶茶数字藏品:金色财经报道,今年“五五购物节”期间,饿了么在上海推出首个外卖奶茶数字藏品,限量1万份。根据此前公布的规则,7月23日至8月7日期间,用户通过在饿了么APP打卡下午茶品类相关的5个菜品图鉴,包括咖啡、奶茶、果汁、甜品和炸鸡,即可获得数字藏品抢兑资格。据饿了么统计,活动期间共有超过30万用户通过打卡,参与赢取这杯“数字奶茶”。与其他数字藏品不同,饿了么美食数字藏品均由用户免费收藏,且不可交易。每份藏品具有唯一编号、可追溯的区块链证书。(上海普陀)[2022/8/17 12:30:23]

它还为用户提供选择自由并鼓励公平竞争。如果一个网络比另一个网络更快或更便宜,您可以以更低的成本简单地切换和移动数字资产。因此,跨链构成了PancakeSwap等平台的基础,用户可以在其中快速“交换”以太坊(ETH)等加密货币为Binance(BNB)。

然而,跨链桥有时可以颠覆DeFi的整个概念。大多数跨链桥依赖于各种外部验证器和中心化联盟来促成资产转移。

德勤调查:大多数美国商人优先考虑加密作为支付方式:金色财经报道,德勤与 PayPal 合作开展了一项名为“商家对数字货币的态度”的调查,结果显示,约 85% 的受访商家预计加密货币将在五年内无处不在。该调查重点关注年收入从 1000 万美元以下到 5 亿美元及以上的美国消费者企业,显示 64% 的消费者目前对数字货币感兴趣,85% 的组织认为数字货币支付将成为到 2027 年普及。值得注意的是,54% 的收入在 5 亿美元及以上的大型零售商已投资超过 100 万美元来尝试授权数字货币支付,6% 的收入低于 1000 万美元的小型零售商也这样做了。调查报告指出,加密货币和稳定币作为资产似乎是一个起点,它们在这一趋势发展为技术方面发挥着关键作用。然而,有报道称仍然存在阻碍采用的障碍和执行挑战。(coingape)[2022/6/10 4:15:31]

是什么让跨链桥易受攻击?

跨链网带来了重大的安全风险,由于连接了由不同实体开发的多个链,必须在更广泛的网络中有效地防范攻击。

从本质上讲,这使黑客通过简单地将代币从一条链移动到另一条链来窃取资金成为可能。此外,DeFi平台是犯罪攻击的理想目标,因为它提供了快速的回报、隐私和匿名性,而且执法方面相对较落后。

然而,我们不得不处理如此多的安全漏洞,原因归结为创始人没有认真对待安全性并且没有发现错误。例如,从ETH到BNB的交换需要以太坊、Binance和跨链桥中的交换代理,ETH和BNB可能是安全的,但如果桥接代理是薄弱环节,这也无济于事。

当托管人通过未经测试的安全实践和设计不良的系统来保护数百万甚至数十亿美元时,至少可以说,保护用户资金是一项挑战。

Wormhole桥攻击

Wormhole跨链桥攻击是有史以来第二大加密黑客攻击,导致损失超过3亿美元,怎么发生的?

Wormhole允许用户在Avalanche、BinanceSmartChain、Ethereum、Polygon、Solana和Terra等链上桥接资产。因此,用户可以在区块链之间转移资产,并且桥通过锁定交易并将包装版本铸造到最终链来实现转移。

Solana的软件功能不是最新的。一些黑客发现并利用了这种容易避免的技术疏忽。例如,威胁者能够通过在指令中注入恶意的“sysvar帐户”来规避“验证签名”过程。结果,他们能够破坏这个跨链协议,因为它未能验证所有“验证者帐户”,从而使攻击者能够验证者签名并凭空铸造多达120,000ETH。

在这种情况下,跨链违规的根本原因是“验证签名”过程,因为合约有一个过时的功能,无法验证sysvar帐户的合法性。这些漏洞提醒人们,DeFi仍处于起步阶段,这些项目本质上是实验。

在Wormhole桥攻击之后我们可以信任DeFi吗?虽然我们不能100%完全信任任何技术,但随着DeFi的发展和成熟,黑客节点或使其离线将变得更加困难。这是因为加密技术只有在每个问题的解决方案和每次迭代中都会变得更好。

加密用户如何保护自己?

随着加密货币成为主流,网络犯罪也变得越来越流行。为了提高区块链安全性并加强跨链环境,加密新手和老手都必须严格遵循最佳实践来降低风险。

进行尽职调查

进行研究至关重要。了解区块链开发团队是否拥有积极透明的业绩记录。如果过去的DeFi项目有过安全事件的历史,那么他们可能在内部发布过程中存在问题。

查找这些信息并不简单。您必须深入研究加密世界并研究参与项目的每个人以及可能影响预期结果的所有相关因素。

选择由白帽黑客“审计”的协议

确保他们与已建立的白帽黑客服务合作,以识别和纠正潜在的跨链漏洞。如果团队未能充分解决内部风险和潜在漏洞,您可以期待威胁行为者对其进行“磨练”。

您可以通过遵循协议的公告并与黑客追踪服务提供商保持联系来找到此信息。白帽黑客每天都在使web3变得更好、更安全。通过吸引白帽黑客,DeFi平台还可以鼓励网络内的共识和协议以提高安全性。

查看锁仓总价值

查看协议中锁定了多少加密货币。如果TVL加起来高达数十亿美元,并且协议已经活跃了很长时间,那么安全风险可能相对较低。但与往常一样,要格外小心。

随时了解最新消息

众所周知,加密世界会在一夜之间发生变化。因此,跟上包括区块链安全事件在内的最新发展至关重要。跟踪创始人正在做什么,以及他们是否仍在积极为项目做出贡献。如果团队已经“跑路”,您必须根据您的发现重新制定策略。

区块链安全每天都在变好,DeFi将继续存在

区块链本身是高度安全的,但在多个区块链之间的互操作中可能会出现漏洞。虽然跨链桥肯定会带来许多安全挑战,但它们对于互操作性、可扩展性和增强用户体验至关重要。

由于DeFi领域仍处于起步阶段,随着每次安全事件的发生,整个生态系统都在变得越来越好。我们可以从每起加密黑客事件中学习,让DeFi空间更加安全和隐私。

尽管安全事件过去发生过,而且将来肯定会发生,但DeFi团队都应该化被动为主动,永远将智能合约的安全性放在第一位,让自己远离头条新闻。唯有不断进步的安全性,才能稳固DeFi在行业中的强大地位。

编译及整理:比推MaryLiu

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:31ms0-1:100ms