区块链十大攻击方式系列二:DeFi 黑客攻击 真是防不胜防

欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享区块链十大攻击方式系列(1)——51%攻击大家看的还过瘾吗?

闲话少说,今天,我们开启系列文章第二篇——DeFi 黑客攻击,继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。

01 - 什么是DeFi?黑客为何偏爱攻击DeFi项目?

区块链技术的诞生,为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融(DeFi)」便是这两年最为火热的应用之一。

DeFi 是去中心化金融Decentralized Finance的缩写,它指的是基于区块链的金融服务体系。

和现在的金融体系不同,用户的资金不会存放在第三方的金融机构中,而是通过各种智能合约去实现协议和信任,如此可以最大程度地减少风险。它是一个完整的开源生态系统,提供贷款、交易、资产管理和支付等金融服务。

DeFi攻击事件频发,最主要的原因还是其累计了巨额的资产。面对巨大的诱惑,黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约,还有链下的代码,无论哪一部分出现了问题,都会被黑客所利用。

02 - DeFi涉及到的安全问题都有哪些?

2022 年第一季度,区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元,与去年同期相比增长了823%。

数据显示,DeFi项目仍为黑客攻击的重点领域,其中主要涉及到的安全问题包括:闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。

闪电贷攻击

闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得攻击者可以在借款和还款间加入其它链上操作,以极低的成本撬动巨额资金,结合其他漏洞进行套利、价格操纵等攻击。

比如2022年4月17日,算法稳定币项目Beanstalk Farms遭黑客攻击,黑客获利近8000万美元,黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备,再利用恶意提案,导致本次攻击的发生。

详细分析可点击此处阅读黑客获利近8000万美元,恶意提案如何防范?Beanstalk Farms被攻击事件分析

私钥泄露:

项目方由于遭受社会工程学或传统网络安全攻击,导致私钥泄露,从而项目方地址权限被盗取,从而攻击者可进行转账、提取等任意操作。

比如在2022年2月10日,DeFi应用Dego Finance遭到黑客攻击成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露,黑客利用私钥提取了多个链上的资产

详细分析可点击此处阅读被盗约1700万美元,DeFi 世界的乐高Dego Finance就这样“塌了”吗?

智能合约重入攻击:

在存在外部合约调用的项目中,如果外部合约调用发生在账本更新之前,且外部合约调用可以被用户控制,那么该项目可能存在重入风险。在项目未做重入防范的情况下,恶意的攻击者可以通过重入攻击威胁项目资金安全。

比如在2022年3月31日,Ola Finance遭遇智能合约重入攻击,损失约为467万美元。

详细分析可点击此处阅读约467万美元的损失!Ola Finance被攻击事件简析

Rug pull:

“Rug Pull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目,毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出骗局。

从黑客的角度来看,对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的,而且行业暂时缺乏技术监管,这使得网络犯罪分子可以通过攻击安全性较低的 DeFi 项目或实施Rug Pull来获取金钱收益。

03 - 如何避免被黑客攻击?

经成都链安安全团队梳理和总结,2022年第一季度的安全事件中,尽管70%的被攻击项目经过了第三方安全公司的审计,但是30%未审计的项目,其被攻击之后的损失金额也达到了7.2亿美元,占第一季度总损失金额的60%。

可见 DeFi 项目上线之前的审计依旧重要。在我们研究之后,发现在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。

DeFi 为许多机会打开了大门,特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起,该领域也自然成为了黑客“大展拳脚”的重点对象。

安全性仍然是 DeFi 生态系统面临的重大挑战,因此DeFi项目方应做好前置预防工作,引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案,完善安全防护机制。作为用户,在选择项目时,应留意该项目是否经过安全审计,切不可掉以轻心。

24小时热点

ibox数藏平台暴雷!彻底的凉凉了!

因为NFT的爆火,连着NFT相关平台也是热度高涨,可是越是爆 ... 置顶

129971

现在是投资加密货币的好时机吗?

最近加密市场不断下行,市场情绪低靡,大多数山寨币已显颓势,尽 ...

334

布洛克

Web3在遥远的未来?不 它已经来了

FaceBook更名MeTa,让元宇宙一词火爆出圈,一时风头 ...

4884

大币网

数藏平台的合规与利润博弈:藏品滞销、用户流失VS炒作不断、平台稳赚

在众多二级市场平台的围剿中,幻核、鲸探等大厂的用户正在流失。 ...

21455

汤姆猫元宇宙

X2earn: 最容易理解的Web3范式之一

目录: 1.    X2earn: 最容易理解的 ...

13266

Lootcakes免费游戏网络

区块链信息服务备案管理系统备案

区块链信息服务备案仅对备案主体所从事的区块链信息服务进行登记 ...

236983

NFTs代售

如何解决DAO内冲突?

本文深入探讨了正视 DAO 内冲突的重要性,并提供了解决 D ...

11030

阿瓦隆矿机

Web3 有7大颠覆性概念

要想在未来取得成功,你现在必须要学习 web3 了。 ...

6672

一棵树的声音

7 个板块的Web3 社交赛道蓬勃发展

Web3 社交赛道蓬勃发展,50 个入选项目来自社交通讯、社 ...

2890

宙核

Web3 领域开拓组织创意生产的新方式(之二)

受访者一致认为「人们现在最容易获得报酬的方式是通过资助」,这 ...

2167

大币网

Vitalik 上海峰会演讲全文:以太坊合并或将在 8 月开始

Vitalik Buterin 分享了以太坊合并等最新进展, ...

12563

CryptoRank

热点专题

以游戏带动引擎发展实现功能迭代与技术演进

游戏引擎作为游戏创作工具与游戏运行的底层控制器,着力于在虚拟 ... 置顶

14157

2021年打假总结:存活近3年 疯狂的“传销币”GEC是怎么苟延残喘至今?

币圈从来不缺乏资金盘或是传销币,但多数都不长久,一夜之间项目 ...

2744532

加密兔

2021年打假总结:Pi Network项目的传销性质Pi币

曾经,号称“走路就能赚钱”拥有大量用户和广泛影响的国内APP ...

1760770

加密兔

柴犬币SHIB来了

受狗狗币启发,柴犬币(SHIB)近两天被创造出来。

1181279

Luart

非常硬核的LP流动性挖矿的核算

2021年1月19日20:00MDX正式上线交易挖矿和流动性 ...

1044005

RMRK

什么是去中心化交易所(DEX)?

去中心化交易所是一个基于区块链的交易所,它不将用户资金和个人 ...

1033883

bitFlyer交易所

骗走了中国人5000亿MBI集团的“易物币”长什么样的

人性终究还是舍弃不掉自己贪婪的一面! 今年10月 ...

788961

a16z

在Mdex上挖矿教程

Mdex是火币生态链上的去中心化交易所,Mdex挖矿于1月1 ...

736117

大都会资本

国内460种传销币套路和骗子币名单大曝光

全员警惕!!!国内460种传销币套路和骗子币名单大曝光(附全 ...

657074

Coin Metrics

国家区块链相关政策汇总

据零壹智库不完全统计,截至2019年12月,国家层面共计出台 ...

625471

利得链

最近央行提出的DC/EP是什么?

2019年8月10日,央行结算司副司长穆长春发表演讲,介绍了 ...

617791

网络资源