文/TRMLabs,译/金色财经xiaozou
根据TRM?Labs对黑客事件的回顾,针对DeFi项目和跨链桥的黑客攻击让加密货币生态系统今年成为黑客攻击创纪录的一年。截至2022年11月,被盗资金已超过36亿美元。
DeFi和非DeFi黑客攻击窃取的总金额
几个数字
3.5:1——这是针对DeFi的黑客攻击与非DeFi攻击的比例。?
80——这是今年由于DeFi攻击导致的加密货币被盗总额的百分比,数额高达30亿美元。
金色沙龙 | EXUP联合创始人:对于交易所来讲安全是重中之重:今日举行的金色沙龙圆桌讨论中,针对“交易所如何设计合理的风控机制、设计原则是什么”的问题,EXUP联合创始人段海龙表示,任何交易中都是把安全放在首位,对于交易所来讲,安全是重中之重。如果出现过一次安全事故,想要再次挽回用户的信任是极其困难的。我们在提到安全时,可能很多人都会先想到资金安全,虽然很重要但是并不全面,客户放在交易所的资金是要保护好肯定没错的,但是客户总会进行操作交易,那么保护用户在交易时候的安全顺畅进行也是交易所的重要任务,并且交易所在交易风控上也得严格把控,防止用户恶意利用平台的漏洞或者疏忽进行获利,造成交易所的损失。[2020/2/26]
11x——跨链桥黑客攻击平均规模大约是非跨链桥攻击的11倍。针对DeFi支持的跨链桥黑客攻击虽不如针对其他目标的黑客攻击那么常见,但平均规模要大得多。
金色午报 | 12月10日午间重要动态一览:7:00-12:00关键词:李礼辉、以太坊升级、OKEx、马绍尔群岛、SOV
1. 李礼辉:更看好法定数字货币或者金融机构数字货币。
2. 伊斯坦布尔升级后,以太坊交易笔数跌至近一年来最低水平。
3. 马绍尔群岛国家数字货币SOV正积极开发,受到Block.One启发。
4. 以太坊2.0开发团队正式发布Lighthouse公共测试网。
5. OKEx发布OKB 11月报:市场流通总量3亿枚?,OKChain公链完成最后测试。
6. MATIC暴跌,项目方一月内从基金会合约转出1.6亿枚代币。
7.社科院何海峰:货币在转型升级时可能会形成新标准,需要监管相应跟进。
8.汉语盘点2019年度候选字词出炉,区块链入围。
9.青岛日报:虚拟货币不等于区块链,投资谨防被套路。[2019/12/10]
13——这是截至2022年11月,TRM?Labs检测到的跨链桥黑客攻击数量,失窃金额近20亿美元。
金色快评 | 央行 外管局等部委或将联手加强对数字货币交易“出海”监管:近日,中国人民银行副行长潘功胜表示,目前部分ICO、数字货币交易等涉及非法集资和非法发行证券的机构,在中国国内受到打击之后,跑到国外,未经中国政府许可,仍然对中国的居民开展业务,这是明确为非法并禁止的。他着重强调了要遏制增量风险。对一些新的互联网金融产品和业态的出现,在现有法律和政策框架中,如果不符合,那么“露头”就打。
同时,国家外汇管理局副局长陆磊7月8日在第五届金融科技外滩峰会上表示,应用区块链技术,可以轻松绕开银行,实现资金跨境流转。用各种tocken、虚拟币作为中介,先将汇款人所在地的法币转为代币,再在收款端将代币转为收款人所在地的法定货币,在事实上完成跨境支付。从监管角度,外管局目前正在推进“数字外管”建设,以此形成大数据实时监测和管理平台。
2017年9月,央行联合七部委明确将ICO界定为非法集资行为,部分机构通过将注册服务器移至国外等方式绕道监管。2018年是金融风险防范化解的攻坚之年,从年初以来对传统金融机构的罚单数和监管力度来看都是空前的。随着资管新规的出台,去除通道业务、降低杠杆率的力度进一步加大。但ICO和数字货币交易活动为机构提供了传统金融业务以外的融资途径,也为资金出境提供了便利,已成为监管的重点。从两部门领导讲话也可以看出其加强监管和打击违法违规开展ICO等业务的决心。有理由相信,为防控风险,央行、外管局等部委或将联手进一步加强对数字货币交易“出海”的监管。[2018/7/11]
9/10——截至当前,2022年10个最大的黑客攻击中有9个是针对DeFi的,其中有5个是针对跨链桥的。如能预防最大的9次DeFi攻击,将使65%的资金免于被盗。
金色财经讯:香港特区政府欢迎监管机构公布有关金融科技监管的沙盒措施。[2017/10/17]
金额巨大和安全漏洞使DeFi成为极具吸引力的目标
据Defilama数据,DeFi的总锁定价值在过去两年里呈爆炸式增长,从2020年10月的约100亿美元增长到2022年11月的420亿美元。Defilama数据同样显示,在11月底的7天里,桥交易量约为13亿美元。
除了规模庞大外,DeFi项目和跨链桥的其他两个关键特征使它们成为潜在黑客的理想目标,也更容易遭受攻击:
复杂性:DeFi生态系统复杂且相互关联,这让黑客以开发人员无法预料或测试的方式利用漏洞。例如,在闪电贷款攻击中,黑客可以使用与目标无关的服务来操纵资产价格或放大攻击对主要目标的影响。
透明度:DeFi项目自然非常重视透明度,通常构建在开源代码之上。这使得任何人,无论是安全研究人员还是黑客,都可以查看代码并搜寻可利用的漏洞。
一些黑客还声称,可以在不违反法律的情况下操纵和攻击DeFi项目。这可能导致潜在攻击者将DeFi项目视为比CeFi目标风险更低的项目。
2022年10月,基于Solana的平台MangoMarkets损失了约1.15亿美元,原因是有个团队操纵了其价格预言机。自称为黑客领袖的AvrahamEisenberg后来透露了自己的身份,并将其团队活动描述为“利润丰厚的交易策略”,而非黑客行为。Eisenberg是否会被起诉,目前尚不清楚。
MangoMarkets黑客发布推文称其行为是合法的
DeFi黑客攻击包括基础设施攻击、代码漏洞攻击和协议攻击
到目前为止,基础设施攻击、代码漏洞攻击和协议攻击占今年黑客窃取资金总量的大部分。一些黑客还组合使用这些攻击类型来窃取资金。
基础设施攻击让黑客侵入目标的安全控件,进行未经授权的交易,例如将资金从受害者地址发送到黑客所控地址。这种攻击类型的常见方法有窃取私钥、助记词,及前端攻击。
针对智能合约的代码漏洞攻击使攻击者能够在未经授权的情况下从DeFi协议中移除资金。在智能合约代码漏洞攻击中,黑客可能会使用已发现的漏洞对协议展开攻击。今年早些时候,Solana的wormhole桥成为黑客攻击的目标,导致该DeFi协议中超过3亿美元被盗取。
协议攻击是一种业务逻辑攻击,主要结果是攻击者可以操纵代币的价格,并创造套利机会,在一个市场低买,在另一个市场高卖。闪电贷款和治理操纵是其中最常见的协议攻击类型。
CeFi的失败可能助长DeFi攻击
最近FTX和其他备受瞩目的中心化加密公司的失败,可能会使人们对DeFi解决方案越来越感兴趣。如果投资者因此大批涌向DeFi,可能会进一步助长黑客的攻击动机。
为了降低这种风险,DeFi项目应该求助于传统的bug赏金计划、智能合约安全审计和商业安全解决方案。
传统的bug赏金计划给黑客和安全研究人员发放奖励,激励他们发现漏洞并将漏洞报告给DeFi项目。然后就可以在攻击利用该漏洞之前修补该漏洞。相比之下,加密赏金计划在攻击后向黑客支付资金鼓励其归还一定比例的被盗资金,这实际上会激励黑客的攻击行为。
安全审计可以发现DeFi项目顶梁柱——智能合约——中的漏洞,允许项目在黑客得以利用这些漏洞之前将其修复。但是,审计并不是万无一失的,应该与其他安全控件和策略合并使用。
新的商业解决方案正在开发,以提高整个DeFi生态系统的安全性。特别是当与现有的控件相结合时,创新的安全产品可能会提供更好的DeFi安全性,尽管现在判断其效力还为时过早。
当结合使用时,这些控件和技术可以缩小DeFi协议的攻击面。随着DeFi的不断增长,黑客将寻求更大胆的方法来利用其弱点和漏洞——因此,保持持续的警惕性必不可少。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。