黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

据PeckShield 统计数据显示,截至 2022 年 5 月 1 日,仅今年前 4 个月,黑客就已从 DeFi 应用中盗取了 15.7 亿美元,已超过 2021 年全年黑客盗取的 15.5 亿美元。

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

其中 DeFi 协议占总数的 97%,几乎都是与之有关的攻击事件,在加密行业这个黑暗森林里,DeFi 基本上已经成为「黑客的提款机」。

 

01
包揽 DeFi 被盗榜前三甲的跨链赛道

而在其中,影响力最大、被盗金额最高的项目几乎都集中在跨链桥领域。

今年 3 月 29 日,NFT 游戏 Axie Infinity 侧链 Ronin Network 发现在23 日 Sky Mavis 的 Ronin 验证器节点和 Axie DAO 验证器节点遭到入侵,导致在两笔交易中被窃取了 17.36 万枚 ETH(价值逾 6 亿美元)和 2550 万 USDC。

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

与此同时,4 月 1 日就有消息爆料,抖客网,此前曾遭遇 3.26 亿美元被盗事件的 Wormhole 跨链桥项目,也正计划以每枚代币 0.25 美元的价格向机构投资者出售 7.5 亿枚 HOLE 代币(占总供应量的 7.5%),从而筹集近 2 亿美元。

Ronin 链的被盗,已经不是跨链赛道第一次出现如此大规模的的安全事故了,作为行业刚需的跨链赛道,其实在过去一年里正经历一轮又一轮的安全质疑,成为了黑客事件的重灾区:

2021 年 8 月 11 日,专攻跨链技术的 Poly Network 宣布主网被黑客攻击,其用户在币安智能链(现已更名为 BNB Chain)、以太坊、Polygon三条区块链上的资产总计被转移 6.1 亿美元;

2022 年 2 月 2 日,Solana、Terra 等多链生态的跨链桥 Wormhole 被黑客攻击,12 万个 ETH(约 3.26 亿美元)被盗;

再带上3 月最新 Ronin 的被盗事故所造成的 6.24 亿美元的损失,等于跨链桥项目包揽了 DeFi 世界黑客入侵的被盗前三甲,且从金额上遥遥领先其他被盗项目。

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

以上三个跨链桥攻击中,被盗逻辑除了自身的合约漏洞(Poly、Wormhole),甚至还有「社会工程攻击」(Ronin)这种匪夷所思的得逞方式。

5 月 21 日跨链桥 Wormhole 就再度发博客表示,2 月 24 日化名 satya0x 的白帽黑客披露了以太坊 Wormhole 核心桥接合约中的一个严重漏洞,这个错误是一个可升级的代理实现自毁错误,有助于防止潜在的用户资金锁定。

而整个区块链世界中,层生态在过去的 2021 年里可谓迎来了长足发展,BSC、Solana、Avalanche 等其它公链也吸引了数百亿美元的资金,发展至今已形成不容小觑的规模。

明眼可见的是,原本聚集在以太坊上的流量一步步被瓜分,形成了一个个被割裂的价值孤岛,而这意味着未来随着公链数量和 Layer2 数量的增多,跨链桥会继续成为一个刚需,跨链桥的安全事件恐怕会继续难以避免。

02
历史悠久的 DeFi 「闪电贷」攻击

不过在跨链桥这个被盗热门之外,DeFi 其实有个历史悠久的安全黑洞,它的术语也几乎被不少用户当作黑客工具的代名词——「闪电贷」。

自从 2020 年的 DeFi 盛夏之后,涵盖 DEX、借代、衍生品、固定收益、算法稳定币、资产合成、聚合器等各赛道的发展层次越发多元化。

而 DeFi 自身的无边界属性和可组合特性,在为这个「乐高世界」提供了足够的想象空间与可能性之余,也带来了诸多比传统金融更不可测的风险,「闪电贷」就是其中的典型代表之一。

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险

早在 2020 年《15 秒内通过「DeFi 乐高」获取数十万美元,「bZx 事件」会成为 DeFi 新阶段的起点么?》一文中,就对彼时「DeFi 盛夏」还未到来之际的闪电贷攻击苗头进行了关注,bZx(现已改名为 Ooki)也可谓是这方面最不幸的代表之一——仅 2020 年连续被攻击了至少三次:

2 月 15 日,攻击者在一个以太坊区块时间内充分利用「闪电贷」,在未曾动用自有资金的前提下,一环紧套一环,最终通过在漏洞间操纵价格,成功「套利」1271 枚 ETH;

三天之后,2 月 18 日,「闪电贷」攻击再次出现,获利 2388 个ETH;

bZx 的霉运并未就此结束,9 月 14 日,再次因合约漏洞失窃 4700 枚 ETH;

此后 DeFi 领域的「闪电贷」攻击便开始迎来井喷,屡屡见诸报端,直到今年遇到上亿美元的上榜事件——4 月 17 日,去中心化稳定币协议 Beanstalk Farms 遭遇「闪电贷」攻击,协议损失约为 1.82 亿美元,包括约 24830 枚以太坊以及 3600 万枚 BEAN 。

此次攻击得逞的一个关键原因是恶意的治理提案,借助「闪电贷」被推动通过,然后攻击者投票决定将所有资产转移给自己,这轮攻击的被盗金额也在 DeFi 被盗榜上排行第 4。

03
智能合约攻击的新路径

而 DeFi 被盗榜上排行第 5 的 Compound 被盗事件则是智能合约漏洞的典型代表:

2021 年 10 月,有消息称 Compound 有一个漏洞,即允许借款者索要超出其预期的 COMP 份额,这个漏洞涉及到 Compound 的两个金库 。

用户在 Reservoir 金库上调用一个特定的函数,触发了价值 8000 万美元的 COMP 被发送到另一个金库 Comptroller,该金库会自动将大量 COMP 代币分发到错误的地址中,而这个「漏水的水龙头」是由之前的一次协议更新中引入的错误造成的。

原标题:【黑客攻击解析:资产放在这些赛道和 DeFi 里可能最危险
内容摘要:据PeckShield 统计数据显示,截至 2022 年 5 月 1 日,仅今年前 4 个月, 黑客 就已从 DeFi 应用中盗取了 15.7 亿美元,已超过 2021 年全年黑客盗取的 15.5 亿美元。 其中 DeFi 协议占总数的 97%,几乎都 ...
文章网址:https://www.doukela.com/jc/89471.html;
免责声明:抖客网转载此文目的在于传递更多信息,不代表本网的观点和立场。文章内容仅供参考,不构成投资建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
上一篇:穿透 X-To-Earn 庞氏体系:在财务、团队控制和效用间寻找平衡
下一篇:一文解析以太坊合并,以太坊升级的关键之举