EFI:被盗3亿多美金 除了黑客攻击DeFi还存在哪些安全风险与挑战?

虎年才刚刚开始,黑客就已蠢蠢欲动,开始对一些DeFi项目“动手”。

2022年2月3日,成都链安链必应-区块链安全态势感知平台舆情监测显示,跨链协议Wormhole遭到黑客攻击,损失达12万枚wETH(约合3.2亿美元),这也成为DeFi史上第二大的黑客事件。而仅仅过去三天,2月6日,Meter.io 跨链桥遭遇黑客攻击,损失达到 430 万美元!三天两起安全事件的发生,金额数大,我们不禁要问,DeFi为何又成为了黑客的提款机?

随着去中心化金融(DeFi) 市场的发展,“风险”成为焦点。首先,我们需要知道的是,去中心化金融(DeFi)是指建立在区块链网络之上的一系列金融产品和服务,它是一个开源、无需许可、去中心化的金融系统,但 DeFi 产品的不同风险维度在很大程度上仍未得到充分研究。除了黑客攻击,DeFi还存在哪些风险与挑战?

慢雾MistTrack:去中心化协议BXH被盗超1.3 亿美元,部分资金已跨链到以太坊和BTC:10月30日消息,去中心化交易协议 BXH于今日在BSC链遭到攻击,目前,初始黑客获利地址(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)已将 4000 ETH 从 BSC 链转移到 ETH 链,接着将 300 BTCB 兑换为 renBTC 跨链到地址 (1Jw...9oU 和 1Fr...Vow)。BXH 团队表示在?币?态链( Heco)、OEC 以及以太坊上的资产处于安全状态,但出于安全考虑,官方暂时暂停了存取款服务。慢雾AML将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2021/10/30 6:21:39]

今天,我们从另外一个维度,借由这几天的黑客事件简单讲述一下DeFi所遇到的一些风险向量。

10057枚Bitfinex被盗比特币发生转移:金色财经报道,Whale Alert在过去一个小时内报告了63笔共10057枚Bitfinex于2016年被盗的比特币发生转移。这些比特币目前价值约6.27亿美元,交易规模从50枚BTC到1241.37枚BTC不等。首笔共300枚的比特币转移发生在北京时间4月15日1:06。据悉,黑客于2016年8月从Bitfinex窃取了高达120,000枚BTC。[2021/4/15 20:20:48]

1. 内在协议风险

DeFi 平台以智能合约的形式存在,这些协议的动态是 DeFi 应用程序中最重要的风险维度之一。内在协议风险是指默认嵌入在协议设计中的风险机制。

动态 | 唯链基金会公开回购地址被盗事件进展情况:7.27亿VET已被冻结:唯链基金披露回购地址11亿枚VET代币被盗事件的进展情况。公告显示,目前回购地址被盗事件已得到有效控制。具体事件进展整理如下:

1.被盗事件发生后,对基金会其他钱包进行检查,排除异常,确保安全;

2.通知主要交易所,采取一切必要措施;

3.唯链社区项目VeChainStats主动提出部署一个黑名单以便实时追踪被盗数字资产;

4.Hacken团队与2000余名白帽黑客共同合作,追踪被盗数字资产;

5.12月18日,开发团队发布了唯链雷神区块链 v1.1.5版本,所有超级权益节点可以选择完成版本升级以对黑名单中的窃贼地址进行暂时性的拦截。目前,所有超级权益节点已经同意进行版本更新。在此情况下,被盗数字资产将无法进行转移;

6.目前,超级权益节点已对黑名单中469个与窃贼相关的地址进行了拦截,从而冻结共计约7.27亿VET;

7.基金会将根据最新生效的治理模型,针对此次特殊事件发起所有相关权益者的投票。此次投票有关是否同意将黑名单永久写入唯链雷神区块链中。投票通过后,469个在黑名单中的地址将被永久锁定(相当于地址上的7.27亿个VET将被销毁,并从总供应量和流通量中永远减去)。具体投票规则不日将正式公布;

8.对窃贼的调查工作,目前正在与专业的网络安全服务公司合作,同时,正在进行严密交叉取证,一旦获得确凿证据将会上报。

内部管理及调整方面,唯链基金会运营委员会负责人张杰作为财务部门的负责人对此负有管理责任。张杰将卸任首席财务官的职位,并由财务总监暂代。同时,张杰先生已放弃第二届唯链基金会战略决策委员会的被选举资格以及2020年50%的全年薪酬。作为最终负责人的唯链首席执行官陆扬也将承担相应责任,并同样自愿放弃2020年50%的全年薪酬。[2019/12/23]

DeFi 中的内在协议风险有各种形式。在 Compound 或 Aave 等 DeFi 借贷协议中,清算是一种将借贷市场的抵押品维持在适用范围内的机制,清算允许参与者在无抵押头寸中参与本金。滑点是曲线等自动做市 (AMM) 协议中存在的另一种情况,曲线池中的高滑点条件可能会迫使投资者支付极高的费用以消除提供给协议的流动性。

动态 | 区块链分析公司:币安被盗比特币再次移动:据coindesk报道,区块链分析公司Coinfirm表示,黑客现在正在访问包含币安5月被盗比特币的钱包。根据Coinfirm的说法,黑客在几次转账中移动了1,060.64474480 BTC(超过610万美元)。此后黑客将资金再次拆分转移。最终,黑客向bc1qcg开头钱包转移了约1021枚比特币,并且此后一直没有移动。[2019/6/14]

比如清算风险,因为DeFi协议中的加密抵押品容易受到市场波动影响,并存在债务头寸在市场波动中出现抵押不足的风险,继而诱发清算机制,造成用户遭受进一步损失。

2. 外生协议风险

除了内在协议风险, DeFi 交易通常会受到改变协议预期行为的外生因素的影响。这些风险包括利用 DeFi 协议底层机制的攻击,例如预言机操作、闪贷攻击或利用智能合约逻辑中的漏洞来进行攻击。最近在Cream Finance和Badger DAO等协议中的漏洞被黑客利用凸显了外生协议风险会影响 DeFi 的发展。

3. 治理风险

DeFi 的一个独特方面是,去中心化治理提案控制着 DeFi 协议的行为,并且通常是其流动性构成变化影响投资者的原因。例如,改变 AMM 池中的权重或贷款协议中的抵押比率的治理建议通常有助于流动性流入或流出协议。从风险的角度来看,DeFi 治理的一个更令人担忧的方面是许多 DeFi 协议的治理结构日益集中化。

尽管 DeFi 治理模型在架构上是去中心化的,但其中许多项目是由少数各方控制的,这些各方可以影响任何提案的结果。这方面并不像看起来那样令人担忧,因为许多能够影响 DeFi 治理投票结果的治理者之所以处于该位置,仅仅是因为他们积极参与并与 DeFi 生态系统保持一致——这是利益一致的明显标志。

4. 潜在的区块链底层风险

DeFi 协议对其底层区块链有一定程度的基础设施依赖。特定区块链上的共识机制等可能会成为该平台上运行的 DeFi 协议的漏洞。一个典型的例子是权益证明(PoS)网络中所谓的验证者卡特尔,其中许多验证者串通起来影响网络中的奖励分配,并可以有效地阻止 DeFi 协议的运行。

5. 市场风险

有时倾向于痴迷于协议和基础设施方面,反而忽略了该领域的市场风险。例如,如果资产价格在向矿池提供流动性时发生巨大差异,则对非稳定币 AMM 矿池也有着很大影响。另一个例子是资产价格的突然崩盘,这可能会引发资金池中大量流动性的流失,从而导致严重的滑点风险。

DeFi 协议的可编程性意味着它们可以对传统市场风险因素(例如波动性和价格)做出本能反应,从而产生影响投资者头寸的级联效应。

结尾

DeFi 中的风险管理之所以如此具有挑战性,是因为它与金融工具中的传统风险管理理论不太相符。几十年来,资本市场一直围绕着波动性等市场因素的风险管理模型而发展,现在,通过用自动化金融技术(智能合约)取代这些中介机构, DeFi 实现了前所未有的金融自动化水平,但也引入了我们以前从未见过的新风险向量,可见,DeFi如何控制风险,未来还有很长的一段路要走。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:618ms