?譯者 | 朱先忠
審校 | 孫淑娟
引言
2021年,由于DeFi產品的欺詐和盜竊,導致價值超過100億美元的用戶資金被盜。這比去年增長了7倍。2022年,英國稅務局展開了20起涉及數字資產的刑事調查。這一行動是由洗錢和欺詐行為激增引發的。根據另一份報告,基于加密貨幣的犯罪在2021年創下歷史新高,經非法地址收到的貨幣價值高居140億美元之多。
去中心化金融的平靜存在似乎只是一種幻覺。盡管這些數字與加密世界的烏托邦背道而馳;但是,它們仍然沒有反映出整個DeFi應用領域的安全性和合法性的全貌。
話雖如此,接下來,讓我們深入探討一下去中心化金融的安全問題和目前已知的常見網絡騙局。
DeFi歷史回顧
如果這是你第一次閱讀有關去中心化金融的內容,我將根據我們以前發布的一篇??博客文章??,帶你了解一下DeFi世界。
去中心化金融或DeFi是一組基于區塊鏈技術的專業應用程序和金融服務。此外,它還經常被宣傳為一場旨在使金融去中心化并向所有人開放的運動。
也就是說,DeFi交易不需要銀行等中介機構或任何其他類型的集中處理。在這方面,DeFi依靠智能合約、加密和區塊鏈的使用實現流程和協議的自動化處理,使其比傳統銀行結構更高效、更安全。從形式上講,您甚至可以成為自己的銀行,因為您可以在貸款、借入資金、保險和其他方面提供金融服務,而且無需文檔類操作帶來的麻煩。
歸納來看,截止目前DeFi產品包括但不限于以下方面:
- 去中心化交易所(DEX)
- 對等(peer-to-peer)借貸平臺
- 穩定幣(Stablecoins)
- 預測市場,等等
大多數DeFi產品都構建在以太坊上,因為該區塊鏈平臺支持有助于創建高級智能合約的Solidity編程語言。
在撰寫本文時,去中心化金融持有的加密貨幣數量已攀升至8000多萬美元,這無疑使其成為一種具有堅實用戶基礎的可行金融現象。然而,DeFi基礎設施及其監管技術仍在發展中,這使其極容易受到攻擊、龐氏騙局(指騙人向虛設的企業投資,以后來投資者的錢作為快速盈利付給最初投資者以誘使更多人上當)和其他安全威脅。
因此,在最佳情況下,智能合約可以提供無與倫比的非定制金融服務。然而,它們和它們的代碼一樣安全。因此,智能合約經常會受到漏洞的困擾,這些漏洞允許黑客耗盡錢包。讓我們不要忘記開源和可組合性的力量,這可能是好事,也可能是壞事。
頂級DeFi黑客風格
在過去兩年中,加密貨幣社區受到了網絡釣魚計劃的襲擊,許多人對其基礎提出了質疑。因此,由于加密貨幣犯罪的增長,DeFi應用程序正越來越多地與加密貨幣的“拓荒時代”聯系在一起。
接下來讓我們了解一下當前廣泛存在的一些攻擊類型。
閃電貸款攻擊
閃電貸款是許多流行的DeFi協議中的一項功能,允許您在沒有抵押品的情況下借入加密貨幣資產,前提是貸款將在相同的交易塊中償還。
在這種情況下,一個網絡竊賊能夠通過從DeFi協議中獲得一筆快速貸款來操縱市場,然后通過過度滑移(excess slippage)將所借代幣的價值推到水下進行套利。之后,黑客迅速歸還貸款,并通過在其他市場上以真實價格出售代幣,將利潤留給自己。
不妨讓我們重溫一下區塊鏈項目Cream Finance及其對黑客的致命吸引力。2021年該公司利用閃電貸款獲得了價值1.3億美元的流動性提供商代幣。當年早些時候,黑客先后在2月份和8月份的其他閃電貸款漏洞中分別獲得了3750萬美元和1880萬美元。
地毯式騙局和龐氏騙局
地毯式騙局(Rug Pull,一種加密貨幣騙局的通俗術語)是一種DeFi騙局。區塊鏈開發商首先抽取項目的代幣,然后放棄項目,帶走投資者資金,留下一個毫無價值的代幣。這類騙局的主要類型包括流動性竊取、限制銷售訂單和傾銷。
根據區塊鏈分析公司ChainAnalysis的數據,2021年這種特殊類型的惡意操作導致受害者損失近30億美元。OneCoin是加密市場有史以來最大的地毯式騙局之一。因此,開發商從毫無戒心的投資者那里獲得了40多億美元。魷魚游戲代幣是另一個龐氏騙局。《token》是一部受Netflix電視連續劇啟發的賺取代幣的電視劇,吸引了43000多名投資者做空。
重入攻擊
上述這類網絡攻擊是Solidity智能合約中最具破壞性的攻擊之一,因為它會完全耗盡您的智能合約資金。在這種情況下,攻擊合約調用受害者合約的方式可以更好地控制代碼執行,從而破壞受害者合約并獲得未經授權的訪問。當受害者的合約無法更新其狀態時,攻擊者調用提款功能來輕松賺錢。
然而,困難在于,由于智能合約的實施方式不同,可能的場景也不同,因此很難發現重入漏洞。此外,由于智能合約中沒有特定的模式,因此無法準確識別此漏洞。使用簡單而直接的模式進行分析可能會產生誤報,而嚴格的模式可能無法檢測到是否存在重入漏洞。
重入攻擊最著名的例子是DAO Hack,價值7000萬美元的以太幣被黑客吸掉。
51%攻擊
如果惡意參與者控制了加密貨幣網絡一半以上的處理能力,則可能會發生51%的攻擊可能性。通過擁有對網絡的大多數控制權限,此參與者可以進行以雙倍方式消費代幣、審查交易,甚至完全接管網絡。
51%的攻擊風險是真實存在的,并且在過去針對較小的加密貨幣網絡時代已經發生過。此外,這種攻擊還允許攻擊某些特定網絡節點以阻止新交易被確認,就像它是合法網絡一樣。
這意味著,合法區塊鏈的增長速度慢于惡意區塊鏈的增長速度,從而允許攻擊者重寫分布式賬本的內容。目前,51%的攻擊還沒有被廣泛使用,因為它們代價高昂。
2020年,DeFi平臺PegNet遭受了51%的攻擊,頂級礦工曾經以欺詐手段在穩定幣(Stablecoins)中創造了670萬美元。
然而,這些只是困擾DeFi平臺和應用程序的一小部分安全問題。
DeFi有那么脆弱嗎?
對此問題的簡短回答是:非也。
現在,讓我們更深入地了解一下有關細節。密碼學可謂安全貨幣交易領域的老生常談。DeFi真正顛覆性的概念是完全和徹底的去中心化;其中,受損節點再次出現。
而DeFi的大部分脆弱性也源于其分散和開放的基礎。伴隨著無限的可能性,作為用戶我們能夠得到完全透明的智能合約;但另一方面,漏洞也成為公眾熟知的知識。此外,考慮到極其復雜的DeFi結構,相關應用程序可能涉及跨多個協議連接的多個智能合約;因此,一個漏洞可能會拖累無數協議。
但這并不全是厄運和悲觀。就像其他新降世的孩子一樣,DeFi需要長大,展翅飛翔。任何新技術都有可能存在缺陷,這取決于你的全面權衡——是否值得利用有關技術。在去中心化財經領域,安全性依賴于您所使用的開發技術。
2P2金融服務是一條安全選擇之路。
雖然專家和政府正在就DeFi監管進行辯論,但我們都應該遵循買方謹慎的做法——在進入該領域之前進行盡職調查。話雖如此,還是讓我們來了解一下一些目前公認的安全實踐,以便降低DeFi應用程序的漏洞率。
如何保護您的DeFi資產?
雖然目前市場上已經存在不少針對每種黑客風格的特定保護措施,但我特意策劃了當下最流行的安全實踐,以確保您的DeFi資產安全可靠。
利用完整的單元測試覆蓋率
單元測試是任何高質量項目所必需的重要測試技術,包括去中心化的財務應用等方面。這種類型的測試功能在智能合約的各個部分都存在問題。為什么要為“無聊”的測試而煩惱呢?一旦部署,智能合約即成為不可變的;這意味著,您的代碼在進入DeFi平臺之前必須沒有錯誤。最重要的是,合約要求全面測試覆蓋;這意味著,不應該存在任何“灰色”區域。
智能合約安全審核
完整的單元測試覆蓋率很高,但它無法預測意外的漏洞或所有可能的交互路徑。相反,安全審計允許開發人員分析可能被威脅因素操縱的區域。除了明顯的安全好處外,審計還可以幫助團隊提高整個DeFi應用程序的效率。然而,審計可能會占用大量的財務和時間資源,這可能會“威嚇”到一些公司。然而,必須阻止重入攻擊和其他類型的攻擊。
禁止抄襲
部署智能合約不應是手動復制/粘貼。由于網絡上每個合約的字節碼都是公共的,因此很容易將其用于另一個合約。除非您完成整個項目(這往往也不是最好的方案);否則,最終將得到可能與其余部分不兼容的單獨代碼段。此外,很難在代碼中更改或添加任何內容,即使是稍微有意義的內容。因此,簡單的復制和粘貼對安全性極為有害,并會導致您的DeFi應用程序受到潛在的攻擊。
結論
目前,DeFi協議還是相對年輕但復雜的系統,區塊鏈也是如此。不成熟和進步的雙重身份使兩者都容易受到攻擊。因此,在實施DeFi項目的安全保護之前,您需要對可能的威脅和安全策略有一個全面而準確的了解。反過來,要獲得這種準確的計劃需要進行全面的安全審計。如果操作得當,DeFi項目有望從脆弱的系統轉變為獨特、透明和直接的交易應用程序,且不必依賴第三方機構的監督。
譯者介紹
朱先忠,51CTO社區編輯,51CTO專家博客、講師,濰坊一所高校計算機教師,自由編程界老兵一枚。早期專注各種微軟技術(編著成ASP.NET AJX、Cocos 2d-X相關三本技術圖書),近十多年投身于開源世界(熟悉流行全棧Web開發技術),了解基于OneNet/AliOS+Arduino/ESP32/樹莓派等物聯網開發技術與Scala+Hadoop+Spark+Flink等大數據開發技術。
原文標題:??The Dark Side of DeFi: The Wild West of Decentralization???,作者:Pavel Tantsiura?
