在過去的幾個月裡,去中心化金融(DeFi)行業已經為黑客損失了超過10 億美元,而且情況似乎正在失控。
根據最新統計,約16 億美元 加密貨幣從DeFi 平台被盜 2022 年第一季度。此外,超過90% 的被盜加密貨幣來自被黑客入侵的DeFi 協議。
這些數字突顯了一個如果被忽視可能會長期持續的可怕情況。
為什麼黑客更喜歡DeFi 平台
近年來,黑客增加了針對DeFi 系統的操作。這些群體被吸引到該行業的一個主要原因是去中心化金融平台持有的大量資金。頂級DeFi 平台每月處理數十億美元的交易。因此,對於能夠進行成功攻擊的黑客來說,回報很高。
大多數DeFi 協議代碼都是開源的這一事實也使它們更容易受到網絡安全威脅。
這是因為開源程序可供公眾審查,任何有互聯網連接的人都可以對其進行審計。因此,它們很容易被利用。這種固有屬性允許黑客分析DeFi 應用程序的完整性問題並提前計劃搶劫。
一些DeFi 開發人員還故意無視認證網絡安全公司發布的平台安全審計報告,從而助長了這種情況。一些開發團隊還啟動了DeFi 項目,但並未對其進行廣泛的安全分析。這增加了編碼缺陷的可能性。
談到DeFi 安全性時,盔甲的另一個缺陷是生態系統的互連性。 DeFi 平台通常使用跨橋互連,這增強了便利性和多功能性。
雖然跨網橋提供了增強的用戶體驗,但這些關鍵的代碼片段連接了具有不同安全級別的巨大分佈式賬本網絡。這種多重配置允許DeFi 黑客利用多個平台的功能來放大對某些平台的攻擊。它還允許他們在多個去中心化網絡中無縫地快速轉移不義之財。
除了上述風險外,DeFi 平台還容易受到內部破壞。
安全漏洞
黑客正在使用各種技術來滲透易受攻擊的DeFi 外圍系統。
安全漏洞在DeFi 領域很常見。 根據 到2022 年的鏈分析 報告顯示,在過去兩年中,大約35% 的被盜加密貨幣歸因於安全漏洞。
其中許多是由於代碼錯誤而發生的。黑客通常會投入大量資源來查找允許他們執行此類攻擊的系統性編碼錯誤,並且通常會利用高級錯誤跟踪工具來幫助他們。
威脅行為者用來尋找易受攻擊平台的另一種常用策略是追踪存在已暴露但尚未實施的未修補安全問題的網絡。
最近的Wormhole DeFi 黑客攻擊背後的黑客導致了 損失約3.25 億美元 據報導,在數字代幣中使用了這種策略。對代碼提交的分析顯示,在部署補丁之前,上傳到平台GitHub 存儲庫的漏洞補丁已被利用。
這個錯誤使入侵者能夠偽造一個系統簽名,允許鑄造120,000 個價值3.25 億美元的Wrapped Ether (wETH) 代幣。黑客隨後以約2.5 億美元的以太幣出售了wETH(以太坊)。交換的以太幣來自平台的結算儲備,從而導致損失。
蟲洞服務充當鏈之間的橋樑。它允許用戶在跨鏈的打包代幣中使用存放的加密貨幣。這是通過鑄造蟲洞包裹的代幣來實現的,這減少了直接交換或轉換所存硬幣的需要。
閃電貸攻擊
閃電貸款是無擔保的DeFi 貸款,不需要信用檢查。它們使投資者和交易者能夠立即藉入資金。
由於其便利性,閃電貸通常用於利用連接的DeFi 生態系統中的套利機會。
在閃貸攻擊中,借貸協議是有針對性的,並使用價格操縱技術造成人為的價格差異。這使得不良行為者能夠以極低的折扣率購買資產。大多數閃貸攻擊需要幾分鐘甚至幾秒鐘才能執行,並且涉及多個相互關聯的DeFi 協議。
攻擊者操縱資產價格的一種方法是瞄準可攻擊的價格預言機。例如,DeFi 價格預言機從外部來源(如信譽良好的交易所和交易網站)獲取價格。例如,黑客可以操縱源站點以誘使預言機暫時降低目標資產利率的價值,以便與更廣泛的市場相比以更低的價格進行交易。
然後攻擊者以降價購買資產,並以浮動匯率迅速出售。使用通過閃電貸獲得的槓桿代幣可以讓他們放大利潤。
除了操縱價格之外,一些攻擊者還能夠通過劫持DeFi 投票過程來進行閃電貸攻擊。最近, Beanstalk DeFi 虧損1.82 億美元 在攻擊者利用其治理系統的缺陷之後。
Beanstalk 開發團隊包含一個治理機制,允許參與者投票支持平台更改作為核心功能。這種設置在DeFi 行業很受歡迎,因為它支持民主。平台上的投票權設置為與持有的原生代幣的價值成正比。
對違規行為的分析顯示,攻擊者從Aave DeFi 協議獲得了一筆閃電貸,從而獲得了近10 億美元的資產。這使他們能夠在投票治理系統中獲得67% 的多數席位,並允許他們單方面批准將資產轉移到他們的地址。肇事者在償還了閃電貸款和相關附加費後,用大約8000 萬美元的數字貨幣逃走了。
根據Chainalysis 的數據,2021 年,使用閃電貸款從DeFi 平台竊取了價值約3.6 億美元的加密貨幣。
被盜的加密貨幣去哪兒了?
很長一段時間以來,黑客一直在使用中心化交易所洗錢被盜資金,但網絡犯罪分子開始將其轉移到DeFi 平台。 2021 年,網絡犯罪分子 發送 大約17% 的非法加密流向了DeFi 網絡,比2020 年的2% 有了顯著增長。
市場專家推測,轉向DeFi 協議是因為更嚴格的了解你的客戶(KYC) 和反洗錢(AML) 流程的更廣泛實施。這些程序損害了網絡犯罪分子所追求的匿名性。大多數DeFi 平台都放棄了這些關鍵過程。
與當局合作
中心化交易所現在也比以往任何時候都更多地與當局合作打擊網絡犯罪。 4 月,幣安交易所在 追回580 萬美元的被盜加密貨幣 這是從Axie Infinity 盜竊的6.25 億美元藏匿處的一部分。這筆錢最初被發送到Tornado Cash。
Tornado Cash 是一種代幣匿名化服務,它通過分割用於追踪交易地址的鏈上鍊接來混淆資金的來源。
然而,被盜資金的一部分被區塊鏈分析公司追踪到了幣安。戰利品存放在交易所的86 個地址中。
事件發生後,美國財政部發言人強調,處理來自列入黑名單的加密貨幣的加密貨幣交易所解決了風險制裁問題。
Tornado Cash 似乎也在與當局合作,以阻止將被盜資金轉移到其網絡。該公司表示將實施一種監控工具,以幫助識別和阻止被禁運的錢包。
好像有一些進展 當局沒收被盜的資產. 今年早些時候,美國司法部宣布沒收36 億美元的加密貨幣,並逮捕了兩名參與洗錢的人。這筆錢是2016 年從Bitfinex 加密貨幣交易所竊取的45 億美元的一部分。
加密貨幣緝獲是有記錄以來最大的一次。
DeFi CEO 談現狀
本週早些時候,Injective Labs(一個針對去中心化金融應用程序優化的可互操作智能合約平台)的首席執行官兼聯合創始人Eric Chen 專門向Cointelegraph 表示,這些問題有望消退。
“隨著更強大的安全標準的實施,我們看到潮流繼續消退。 通過適當的測試和進一步的安全基礎設施,DeFi 項目將能夠防止未來常見的漏洞利用風險,”他說。
關於他的網絡為避免黑客攻擊而採取的措施,陳提供了一個大綱:
“與傳統的基於以太坊虛擬機的DeFi 應用程序相比,Injective 確保了更嚴格定義的以應用程序為中心的安全模型。 區塊鏈的設計和核心模塊的邏輯保護Injective 免受重入、最大可提取價值和閃貸等常見漏洞的影響。 建立在Injective 之上的應用程序能夠受益於在共識級別上在區塊鏈中實施的安全措施。”
Cointelegraph 也有機會與Allnodes(一個非託管託管和質押平台)的首席執行官兼創始人Konstantin Boyko-Romanovsky 就黑客事件的增加進行了交談。關於趨勢背後的主要催化劑,他說:
“毫無疑問,降低DeFi 黑客攻擊的風險需要一些時間。 然而,它不太可能在一夜之間發生。 DeFi 中存在一種揮之不去的競賽感。 每個人似乎都很著急,包括項目創始人。 市場的發展速度超過了程序員編寫代碼的速度。 採取一切預防措施的優秀球員是少數。”
他還提供了一些有助於解決問題的程序的見解:
“代碼必須變得更好,智能合約必須經過徹底審計,這是肯定的。 此外,應不斷提醒用戶注意謹慎的在線禮儀。 識別任何缺陷都可以得到有吸引力的激勵。 反過來,這可能會促進特定協議中更健康的行為。”
DeFi 行業很難阻止黑客攻擊。但是,希望當局加強監督和加強交易所之間的合作將有助於遏制這一禍害。