那些常见的DeFi黑客攻击和漏洞利用类型
摘要: 高风险、高回报是对加密圈的投资收益最准确的概括,但风险除了行情变化外,资产的安全风险也需要注意。
高风险、高回报是对加密圈的投资收益最准确的概括,但风险除了行情变化外,资产的安全风险也需要注意。
尤其是在DeFi的领域内,相较投资回报风险,DeFi更容易遭到黑客的攻击,从而导致个人的财产收到损失。关于DeFi的风险点,最常被黑客攻击和漏洞有哪些?
1. Rug Pull
「Rug pull」已成为整个DeFi圈中的常用术语,现在多被用于指许多类型的黑客和漏洞利用,实际上指的是突然从流动性池子中移走大部分流动性的一种特定技术。
流动性的突然损失可能会造成代币的死亡螺旋,因为代币持有者会试图尽快出售手中的代币,从而避免造成更多的损失。
Rug pull通常是恶意团队进行攻击的最后一步,也是一种常见的「退出骗局(exit exam)」形式,即当团队试图带着资金逃跑时,协议会删除他们之前所有的社交媒体痕迹。
由于这类型攻击在技术上实施起来非常简单,它通常是低投入项目快速获取现金的首选技术,但并不意味按照这种方式所获取的利润很低,目前已经有几起主要的恶意攻击导致用户损失了数百万美元。
如Meerkat Finance,该项目在运营了一天之后,就获得了1300万BUSD和7.3万BNB的收益,当时的总收益约为3100万美元。
如果一个项目使用了一个大的流动资金池子,那么该项目团队就不应该具有检索这些资产的能力。若项目团队这样做了,那么相当于你把自己的信任完全交给了项目团队。
而Meerkat Finance一开始并没有这个能力,在攻击前不久,Meerkat Finance的部署者「升级」该团队的2个Vaults,并且给他们自己进入Vault留了后门。
怎样避免被Rug pull?
个人可以检查该项目的流动性如何锁定、是否有时间锁,以及有多重签名?
项目的背景调查、项目支持方,以及项目的规划(白皮书)之类的。
尤其是团队成员的熟悉度这方面,如果是熟悉的,是否能在网上获取到相关信息的。现在网上证明个人身份变得愈加困难,因此有不少团伙也会采用一些方式建立他人对项目的信任,从而获取投资者的资产。
从另一个角度来看,如果你找不到任何关于项目方相关人员的信息,团队信息匿名不一定是一件坏事,比如比特币的创始人至今仍是匿名的。
2. 闪电贷
近期发生的DeFi黑客事件,大部分都和闪电贷有关系,比如八月时Poly Network被盗取6.1亿美元的事件。
也因此,闪电贷给大部分人的印象是负面多于正面。
目前闪电贷交易适用于拥有大账户的鲸鱼用户,闪电贷本身并不是一种恶意工具,它们可在很短的时间内提供大量资金。这些资金可被用来利用代码的漏洞,或者操纵定价并从套利的过程中获利。
闪电贷是一种无抵押、无担保的贷款,它需在区块链交易结束前偿还;如果没有偿还,智能合约则会逆转交易,那么贷款就像从未发生过一样。
由于贷款的智能合约必须在其出借的同一交易中完成,因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。
大多数闪电贷攻击都涉及使用大量资金操纵代币价格。
以上面提到的Poly Network被盗取6.1亿的事情来讲,黑客通过在三条不同的链上发起攻击,34分钟损失了6.1亿刀,也是目前历史上被盗取最高的一次(虽然最后白帽已将全部盗取金额归还)。
另外,闪速贷还可用于其他攻击手段,如重入攻击、抢先交易或套利。
3. 套利
套利是指利用不同市场之间的价格差异来产生利润。套利的行为,在不成熟的市场是非常常见的,如DeFi和加密货币。随着流动性的增加和市场效率的提高,套利机会因此逐渐减少。
如果一个池子被操纵(比如通过闪电贷)来为套利提供空间,也因此被认为是一种利用,因为流动性提供者最终可能会失去他们的资金,如Saddle Finance一样。
尽管Saddle Finance项目方声称「已经解决了滑点的问题」,但在今年1月的运行过程中,至少有3个主要的套利行为在6分钟内从早期的流动性提供者手中拿走了7.9枚比特币(折合275735美元)。
尽管这只是套利行为,但用户仍因此出现了资金损失。因为项目方无法保护他们免受套利者的伤害,而这些套利者只是在代码的限制内进行买卖。
也因此引出了另外一个问题——DeFi中损失资金算是黑客攻击,还是利用项目方的漏洞?
DeFi的存在对于加密圈而言,仍算是较新的概念,在整个行业内也是一个尝试。这意味着漏洞经常出现在真实的代码中,当这些漏洞被用来提现资金而不需要强制操纵任何东西时,我们或许最好称之为「漏洞利用」。
这种方式适用于所有的黑客,因为他们只能使用已编写的代码进行操作。不管我们称他们为黑客还是漏洞利用,最终的结果都是一样的。如果存在漏洞,那么最终会有人利用它们,而我们是几乎无法阻止这种情况发生的。
关于DeFi资产的安全性问题,一直也是不少投资者关注和关心的,要说目前是否有可以避免的办法,只能回答暂时没有,一切都只能依靠小心驶得万年船来回答。但也不排除以后会有可用的方法来改善这个问题,毕竟区块链的发展和变化速度是平常想不到的迅速,说不定明天就有了!
作者:必查客;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请联系微信:chaindd123。
评论(0)
Oh! no
您是否确认要删除该条评论吗?