随着 DeFi 黑客攻击的飙升，这家初创公司想要 Rad……

在过去的几年里，数百个新的去中心化金融应用程序和协议涌入以太坊网络和其他区块链。 2021 年 290 月，锁定在所有 DeFi 应用程序中的总价值达到了惊人的 XNUMX 亿美元。 

从理论上讲，DeFi 旨在通过让来自世界各地、任何背景的人（无论他们是谁）参与进来，实现金融获取的民主化。 没有财务或地域限制或中心化中介——一切都是去中心化的、去信任的和点对点的。 

事实证明，这一愿景很受欢迎，DeFi 的增长速度超出了任何人的想象。 然而，它的崛起已经被许多关键的安全威胁所笼罩，这使得对于那些对加密货币如何运作不太了解的人来说，这似乎是一个非常冒险的冒险。 

虽然 2021 年对 DeFi 来说是重要的一年，但对于黑客来说，这可以说是更大的一年，Chainalaysis 最近的一份报告 寻找 他们在那一年偷走了价值 3.2 亿美元的加密货币。 今年对黑客来说可能同样有利可图。 根据 CertiK 的最新 报告、DeFi 和 Web3 在今年前六个月共给黑客造成了超过 2 亿美元的损失。 

Chainalysis 表示，加密领域的黑客已经远离钱包和其他目标，如今几乎完全针对 DeFi 协议。 在 2022 年的前三个月，几乎 97% 的被黑客窃取的资金来自 DeFi，高于 72 年的 2021% 和 30 年的 2020%。快速浏览一下今年最大的一些黑客行为可以解释为什么 DeFi成为攻击者的热门目标。 他们可以窃取的金额是巨大的。 今年迄今为止最昂贵的黑客攻击是 Ronin 验证器安全漏洞. 23 月 173,600 日，负责攻击的人能够破坏 Sky NMavis 的 Ronin 和 Axie DAO 验证器节点，破解私钥并进行非法提款。 他们仅通过两次交易就偷走了令人难以置信的 25.5 ETH 和 615.5 万美元，总计 XNUMX 亿美元。 

不幸的是，Ronin 黑客事件不仅仅是一个孤立的事件。 二月黑客 利用安全漏洞 在 Wormhole 的签名验证中，使他们能够在 Solana 上盗取 120,000 wETH，在攻击时价值 326 亿美元。 同样，在 XNUMX 月，Beanstalk 协议 沦为受害者 到 $BEAN 治理提案合同中的一天延迟以完成快速贷款。 攻击者能够窃取 70% 的种子，总共获得 181 亿美元。 

发现智能合约漏洞

绝大多数 DeFi 黑客攻击是由于支持协议的智能合约中的漏洞而发生的。 智能合约是自动执行的代码，在满足某些条件时会自动处理交易。 它们是 DeFi 的核心元素之一，因为它们使得对可信中介的要求变得多余。 

好消息是，社区意识到智能合约是 DeFi 安全性的一个明显弱点，并正在采取措施解决这些问题。 当今最可靠的 DeFi 协议肯定会进行全面的 智能合约审计 以确定是否存在任何漏洞。 审计由 CertiK 和 Hacken 等可靠的公司进行，并评估区块链分类账中记录的交易，以尝试发现任何错误。 

识别漏洞的其他方法包括 渗透测试 由安全专家团队组成，他们试图破解 DeFi 协议，以便他们可以告知开发人员他们是如何做到的，从而使他们能够关闭发现的任何漏洞。 此外，协议还可以提供“漏洞赏金”，本质上是众包安全。 数十名“白帽”黑客争夺金钱奖励，以识别协议中的漏洞。 错误赏金 可能特别有益，因为它们激励参与者像真正的网络犯罪分子一样行事，这意味着他们可能会尝试使用与真正的坏人类似的方法来破解协议。 这个想法是好人会在他们暴露在现实世界之前发现任何明显的漏洞。 

智能合约代码审计和漏洞赏金有助于保护 DeFi 协议免受围绕未处理异常和交易顺序依赖性的常见黑客攻击。 然而，不幸的是，审计并非万无一失——Chainalaysis 研究发现，今年 30% 的漏洞利用发生在过去 12 个月内接受过审计的平台上。 因此，尽管代码审计和漏洞赏金会有所帮助，但它们并不能提供任何保证。 因此，管理数十亿美元用户资金的 DeFi 协议应该采用更强大的安全方法。 

重塑智能合约

出现的最令人兴奋的解决方案之一是由 板蓝根，这是专为 DeFi 打造的 layer-1 区块链协议。 

加密语言 基于流行的 Rust 编程语言并保留了它的大部分功能。 但是，它显着增加了许多基于 Radix Engine 的特定功能。 它可以被认为是提供面向资产的特性的 Rust 库和扩展的集合，使 Rust 风格的逻辑能够作为原生的一等公民与资产进行交互。 

Scrypto 最重要的区别在于它有效地取消了智能合约。 它使用蓝图和组件来处理交易，而不是智能合约。 蓝图是存在于区块链上的编译源代码，任何人都可以使用它们。 它们的作用是为 DeFi 交易提供“构造函数”，具有其他人可以实例化的灵活参数。 它们通常在功能方面非常专业，尽管它们可以支持多种不同的用例，具体取决于它们的具体实例化方式。 蓝图有时可以与其他蓝图一起使用，作为“包”部署在一起。 

要激活蓝图，必须通过调用其构造函数之一对其进行实例化，以获取新创建的实例（称为“组件”）的地址。 组件用于管理状态，并且可以根据创建它的蓝图中关联的逻辑来收集、保存和分配资源。 换句话说，Scrypto 中的组件类似于智能合约，但是，它们源自产生它的蓝图中定义的逻辑。 

Scrypto 独特的架构使其能够以与用 Solidity 或其他语言编写的常规智能合约截然不同的方式进行交易。 Radix Engine 不是发送数字或对某些令牌的引用，而是将令牌的所有权从调用者转移到组件。 一旦该组件接收到一个资源桶或多个桶，它就可以获取这些资源并将它们存放到它持有的保险库或不同的桶中。 然后，Radix Engine 确保调用者不能再访问存储桶或保险库。 

最终结果是，基于 Radix 构建的 dApp 具有更简单、更安全的交易方式。 为了更好地理解它的工作原理，Radix 为我们提供了 口香糖机的例子 接受美元代币以换取其金库中持有的代币。 

在此示例中，用户将 0.25 美元的存储桶传递给 MyMachine 组件的 insertCoins 方法。 蓝图的逻辑看到已经支付了正确的价格，将这些代币添加到保险库中，然后从其口香糖保险库中取出 1 个口香糖并将其传回给调用者。 如果调用者传递了太多美元，它甚至可以发回一些更改。 

使用以太坊基于 Solidity 的智能合约，它变得更加复杂和危险。 在同一台机器上，用户会调用一个智能合约来授予机器代表他们从钱包中提款的权限。 他们会告诉机器他们希望输入 0.25 美元。 然后机器会调用美元合约进行提款，然后调用口香糖智能合约将口香糖发送给用户。 最后，它可能还会更新剩余口香糖球数量的内部缓存以检查 eros。 这些流程中的每一个都使用智能合约，因此每个流程都有因智能合约漏洞而被黑客入侵的风险。 

这只是一个简单的例子。 使用 DeFi，交易可能会复杂很多倍，这意味着它们面临数倍的风险。 攻击者只需在交易中涉及的众多智能合约中的任何一个中某个地方的一个漏洞，就可以发起攻击。 

结论 

随着 DeFi 的增长和其锁定的总价值的增加，被利用的风险只会增加。 如果我们可以从被 DeFi 黑客窃取的大量加密货币中收集到一个结论，那就是对智能合约安全性的需求从未如此强烈。 虽然代码审计和漏洞赏金可以帮助发现 DeFi 中最明显的漏洞，但很明显，该行业可以从基于旨在从一开始就最大限度地减少潜在漏洞利用数量的基础设施的彻底改革中受益匪浅。 

免责声明：本文仅供参考。 不提供或打算将其用作法律，税务，投资，财务或其他建议