区块链行业的发展以及如何防御对 DeFi 的攻击

如今，区块链市场整体处于起步阶段， 分散式金融（DeFi） 市场是其最有前途的部分。 根据 DefiLlama 的数据，2021 年，DeFi 市场有大约 200 亿美元的流动性锁定在智能合约中。 如果我们将这笔资金视为一项初始投资，那么这个市场看起来像是一个非常有前途的企业。 没有太多的全球公司可以吹嘘这样的资本。 但任何年轻的市场都有其初期的问题。 对于 DeFi，主要问题是缺乏合格的区块链开发人员。

这个行业非常年轻，用户群相对较小。 大多数人充其量只是听说过 DeFi，但并不知道它是什么。 但正如每一个有前途的新企业都会发生的那样，它很快就会引起很多投机兴趣。 不幸的是，准备人员需要更长的时间，尤其是在区块链和智能合约开发等知识密集型领域。 这意味着一些项目团队将不得不妥协并雇用经验不足的人员。

这个问题不可避免 造成越来越大的安全漏洞风险 在这些项目的代码中。 然后我们必须处理其在用户资本损失方面的后果。 简单了解一下这个问题有多大，我可以说，DeFi 锁定的总流动性中约有 10% 被黑客窃取了。 主流公众宁愿远离对他们的资金构成如此危险的金融体系，任何人都不应该感到惊讶。

相关新闻： DeFi 协议如何被黑客入侵？

DeFi 漏洞利用最近发生了怎样的变化？

长期以来，对 DeFi 的攻击一直围绕着重入攻击。 我们可以回忆起著名的 2016 年的 DAO 黑客事件导致投资者损失了 150 亿美元，并导致了以太坊的硬分叉。 从那时起，这个漏洞在不同的智能合约中被多次利用。

借贷协议积极利用回调函数：它允许智能合约在发放贷款之前检查用户的抵押品余额。 所有这些过程都发生在一次交易中，这为黑客提供了一种从此类智能合约中窃取资金的变通方法。 当您发送借入资金的请求时，回调函数首先检查抵押品余额，如果抵押品充足则发放贷款，然后更改智能合约中用户的抵押品余额。

为了愚弄智能合约，黑客将调用返回到回调函数以从一开始就启动此过程。 由于交易尚未在区块链上完成，该功能会为相同的抵押品余额提供另一笔贷款。 尽管这个问题的解决方案已经出现了足够长的时间，但许多项目仍然成为它的受害者。

有时，不擅长编写智能合约的项目团队决定借用另一个开源 DeFi 项目的代码库来部署自己的智能合约。 他们通常对经过审计、拥有大量用户群并证明是安全构建的信誉良好的项目这样做。 但他们可能会决定对借用的代码进行微小的修改，以添加他们希望在智能合约中拥有的功能，甚至无需更改原始代码。 这可能会破坏智能合约的逻辑，而开发人员通常没有意识到这一点。

这是什么 允许黑客窃取约 19 万美元 2021 年 XNUMX 月来自 Cream Finance。Cream Finance 团队从不同的 DeFi 协议中借用了代码，并在他们的智能合约中添加了回调令牌。 即使您可以通过实施“检查、影响、交互”模式来防止重入攻击，该模式优先考虑平衡的变化而不是资金的发行，但一些团队仍然无法保护他们的平台免受这些攻击。

闪电贷攻击允许黑客以不同的方式窃取资金，并且自 2020 年 DeFi 繁荣以来变得越来越流行。闪电贷攻击的主要思想是，您不需要抵押品即可从协议中借入资金，因为仍然可以保证财务平价由于贷款是在一次交易中获得并归还的。 如果您未能在一笔交易中归还贷款并附有利息，则不会发生这种情况。 但是攻击者已经能够对许多协议进行成功的闪贷攻击。

相关新闻： 需要：打击黑客和诈骗的大规模教育项目

在这样做的过程中，他们使用多种协议来借入和拖累流动性，直到最后的行动，他们通过预言机或流动性池放大代币的价格，并用它来骗取暴涨暴跌并在一系列流动性中消失一些主要的不同加密货币，例如以太币（ETH)、包裹比特币 (wBTC) 等。 一些著名的闪电贷攻击包括 煎饼兔攻击，协议损失了 200 亿美元，以及 另一个奶油金融攻击，其中超过 100 亿美元被盗。

如何防御 DeFi 攻击？

理想情况下，要构建安全的 DeFi 协议，您应该只信任经验丰富的区块链开发人员。 他们应该有一个专业的团队领导，具有构建去中心化应用程序的技能。 记住使用安全代码库进行开发也是明智之举。 有时，与具有最新代码库的库相比，较不最新的库可能是最安全的选择。

测试是 另一个关键的事情 所有严肃的 DeFi 项目都必须这样做。 作为一家智能合约审计公司的 CEO，我总是试图覆盖 100% 的客户代码，并强调去中心化保护用于调用受限访问智能合约功能的私钥的重要性。 最好通过多重签名使用公钥的去中心化，防止一个实体完全控制合同。

最后，教育是使基于区块链的金融系统变得更加安全和可靠的关键之一。 教育应该是那些在 DeFi 中寻找工作的人的主要关注点之一，因为它可以为所有能够做出切实贡献的人提供令人垂涎的奖励。