在过去的几个月里,去中心化金融(DeFi)行业已经为黑客损失了超过 XNUMX 亿美元,而且情况似乎正在失控。
根据最新统计,约 1.6 亿美元 加密货币从 DeFi 平台被盗 2022 年第一季度。此外,超过 90% 的被盗加密货币来自被黑客入侵的 DeFi 协议。
这些数字突显了一个如果被忽视可能会长期持续的可怕情况。
为什么黑客更喜欢 DeFi 平台
近年来,黑客增加了针对 DeFi 系统的操作。 这些群体被吸引到该行业的一个主要原因是去中心化金融平台持有的大量资金。 顶级 DeFi 平台每月处理数十亿美元的交易。 因此,对于能够进行成功攻击的黑客来说,回报很高。
大多数 DeFi 协议代码都是开源的这一事实也使它们更容易受到网络安全威胁。
这是因为开源程序可供公众审查,任何有互联网连接的人都可以对其进行审计。 因此,它们很容易被利用。 这种固有属性允许黑客分析 DeFi 应用程序的完整性问题并提前计划抢劫。
一些 DeFi 开发人员还故意无视认证网络安全公司发布的平台安全审计报告,从而助长了这种情况。 一些开发团队还启动了 DeFi 项目,但并未对其进行广泛的安全分析。 这增加了编码缺陷的可能性。
谈到 DeFi 安全性时,盔甲的另一个缺陷是生态系统的互连性。 DeFi 平台通常使用跨桥互连,这增强了便利性和多功能性。
虽然跨网桥提供了增强的用户体验,但这些关键的代码片段连接了具有不同安全级别的巨大分布式账本网络。 这种多重配置允许 DeFi 黑客利用多个平台的功能来放大对某些平台的攻击。 它还允许他们在多个去中心化网络中无缝地快速转移不义之财。
除了上述风险外,DeFi 平台还容易受到内部破坏。
安全漏洞
黑客正在使用各种技术来渗透易受攻击的 DeFi 外围系统。
安全漏洞在 DeFi 领域很常见。 根据 到 2022 年的链分析 报告显示,在过去两年中,大约 35% 的被盗加密货币归因于安全漏洞。
其中许多是由于代码错误而发生的。 黑客通常会投入大量资源来查找允许他们执行此类攻击的系统性编码错误,并且通常会利用高级错误跟踪工具来帮助他们。
威胁行为者用来寻找易受攻击平台的另一种常用策略是追踪存在已暴露但尚未实施的未修补安全问题的网络。
最近的 Wormhole DeFi 黑客攻击背后的黑客导致了 损失约325亿美元 据报道,在数字代币中使用了这种策略。 对代码提交的分析显示,在部署补丁之前,上传到平台 GitHub 存储库的漏洞补丁已被利用。
这个错误使入侵者能够伪造一个系统签名,允许铸造 120,000 个价值 325 亿美元的 Wrapped Ether (wETH) 代币。 黑客随后以约 250 亿美元的以太币出售了 wETH(ETH)。 交换的以太币来自平台的结算储备,从而导致损失。
虫洞服务充当链之间的桥梁。 它允许用户在跨链的打包代币中使用存放的加密货币。 这是通过铸造虫洞包裹的代币来实现的,这减少了直接交换或转换所存硬币的需要。
闪贷攻击
闪电贷款是无担保的 DeFi 贷款,不需要信用检查。 它们使投资者和交易者能够立即借入资金。
由于其便利性,闪电贷通常用于利用连接的 DeFi 生态系统中的套利机会。
在闪贷攻击中,借贷协议是有针对性的,并使用价格操纵技术造成人为的价格差异。 这使得不良行为者能够以极低的折扣率购买资产。 大多数闪贷攻击需要几分钟甚至几秒钟才能执行,并且涉及多个相互关联的 DeFi 协议。
攻击者操纵资产价格的一种方法是瞄准可攻击的价格预言机。 例如,DeFi 价格预言机从外部来源(如信誉良好的交易所和交易网站)获取价格。 例如,黑客可以操纵源站点以诱使预言机暂时降低目标资产利率的价值,以便与更广泛的市场相比以更低的价格进行交易。
然后攻击者以降价购买资产,并以浮动汇率迅速出售。 使用通过闪电贷获得的杠杆代币可以让他们放大利润。
除了操纵价格之外,一些攻击者还能够通过劫持 DeFi 投票过程来进行闪电贷攻击。 最近, Beanstalk DeFi 亏损 182 亿美元 在攻击者利用其治理系统的缺陷之后。
Beanstalk 开发团队包含一个治理机制,允许参与者投票支持平台更改作为核心功能。 这种设置在 DeFi 行业很受欢迎,因为它支持民主。 平台上的投票权设置为与持有的原生代币的价值成正比。
对违规行为的分析显示,攻击者从 Aave DeFi 协议获得了一笔闪电贷,从而获得了近 1 亿美元的资产。 这使他们能够在投票治理系统中获得 67% 的多数席位,并允许他们单方面批准将资产转移到他们的地址。 肇事者在偿还了闪电贷款和相关附加费后,用大约 80 万美元的数字货币逃走了。
根据 Chainalysis 的数据,360 年,使用闪电贷款从 DeFi 平台窃取了价值约 2021 亿美元的加密货币。
被盗的加密货币去哪儿了?
很长一段时间以来,黑客一直在使用中心化交易所洗钱被盗资金,但网络犯罪分子开始将其转移到 DeFi 平台。 2021 年,网络犯罪分子 发送 大约 17% 的非法加密流向了 DeFi 网络,比 2 年的 2020% 有了显着增长。
市场专家推测,转向 DeFi 协议是因为更严格的了解你的客户 (KYC) 和反洗钱 (AML) 流程的更广泛实施。 这些程序损害了网络犯罪分子所追求的匿名性。 大多数 DeFi 平台都放弃了这些关键过程。
与当局合作
中心化交易所现在也比以往任何时候都更多地与当局合作打击网络犯罪。 XNUMX 月,币安交易所在 追回 5.8 万美元的被盗加密货币 这是从 Axie Infinity 盗窃的 625 亿美元藏匿处的一部分。 这笔钱最初被发送到 Tornado Cash。
Tornado Cash 是一种代币匿名化服务,它通过分割用于追踪交易地址的链上链接来混淆资金的来源。
然而,被盗资金的一部分被区块链分析公司追踪到了币安。 战利品存放在交易所的 86 个地址中。
事件发生后,美国财政部发言人强调,处理来自列入黑名单的加密货币的加密货币交易所解决了风险制裁问题。
Tornado Cash 似乎也在与当局合作,以阻止将被盗资金转移到其网络。 该公司表示将实施一种监控工具,以帮助识别和阻止被禁运的钱包。
好像有一些进展 当局没收被盗的资产. 今年早些时候,美国司法部宣布没收 3.6 亿美元的加密货币,并逮捕了两名参与洗钱的人。 这笔钱是 4.5 年从 Bitfinex 加密货币交易所窃取的 2016 亿美元的一部分。
加密货币缉获是有记录以来最大的一次。
DeFi CEO 谈现状
本周早些时候,Injective Labs(一个针对去中心化金融应用程序优化的可互操作智能合约平台)的首席执行官兼联合创始人 Eric Chen 专门向 Cointelegraph 表示,这些问题有望消退。
“随着更强大的安全标准的实施,我们看到潮流继续消退。 通过适当的测试和进一步的安全基础设施,DeFi 项目将能够防止未来常见的漏洞利用风险,”他说。
关于他的网络为避免黑客攻击而采取的措施,陈提供了一个大纲:
“与传统的基于以太坊虚拟机的 DeFi 应用程序相比,Injective 确保了更严格定义的以应用程序为中心的安全模型。 区块链的设计和核心模块的逻辑保护 Injective 免受重入、最大可提取价值和闪贷等常见漏洞的影响。 建立在 Injective 之上的应用程序能够受益于在共识级别上在区块链中实施的安全措施。”
Cointelegraph 也有机会与 Allnodes(一个非托管托管和质押平台)的首席执行官兼创始人 Konstantin Boyko-Romanovsky 就黑客事件的增加进行了交谈。 关于趋势背后的主要催化剂,他说:
“毫无疑问,降低 DeFi 黑客攻击的风险需要一些时间。 然而,它不太可能在一夜之间发生。 DeFi 中存在一种挥之不去的竞赛感。 每个人似乎都很着急,包括项目创始人。 市场的发展速度超过了程序员编写代码的速度。 采取一切预防措施的优秀球员是少数。”
他还提供了一些有助于解决问题的程序的见解:
“代码必须变得更好,智能合约必须经过彻底审计,这是肯定的。 此外,应不断提醒用户注意谨慎的在线礼仪。 识别任何缺陷都可以得到有吸引力的激励。 反过来,这可能会促进特定协议中更健康的行为。”
DeFi 行业很难阻止黑客攻击。 但是,希望当局加强监督和加强交易所之间的合作将有助于遏制这一祸害。
资料来源:https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide