DeFi 世界的安全問題頻發，黑客賞金獵人平臺 Immunefi 能夠解決嗎？_EFI

作者：老雅痞

三年前，鎖定在DeFi的加密貨幣總價值僅有8億美元。到2021年2月，這個數字已經增長到400億美元；2021年4月，它達到了800億美元的里程碑；而現在，它已經超過2460億美元。這個新興賽道捕捉了資本流動性的價值得到快速增長。

從黑客的角度來看，對defi生態系統的攻擊是一種理想并且快速的致富手段，這里顯然成為了各種黑客和欺詐者的游樂園。CipherTrace在最新的《加密資產犯罪和反洗錢報告》中指出，截至7月底，與DeFi相關的黑客事件已經讓用戶們損失了3.61億美元。他們的主要手法是什么？而我們又該如何應對。

DeFi協議的資金是如何被盜的？

REENTRANCYATTACK(重入攻擊）

一個鮮明的例子是發生在2020年4月19日的DForce黑客事件。

在defi協議上，首先智能合約有以下四個提款步驟：

加拿大DeFi公司WonderFi宣布完成對Bitbuy的收購:金色財經消息，加拿大DeFi公司WonderFi Technologies完成了對Bitbuy Technologies母公司First Ledger Corp的收購。

在加拿大Neo Exchange交易的WonderFi已同意以現金加股票的形式支付1.618億美元。據悉，該協議于2022年1月首次宣布，4個月后完成。（Blockworks）[2022/3/25 14:18:20]

用戶調用合約，準備從合約中提現所有資金。

合約檢查用戶在合約中是否有資金。

合約將用戶在合約中的資金發送給用戶。

合約自行更新，用戶在合約中沒有資金。

重入漏洞允許黑客在合約完全執行之前再次調用合約。在上面的例子中，攻擊者可以在第三步和第四步之間重新進入合約，并在用戶余額更新之前再次退出。通過重復這個過程，他們可以從合約中提取所有現有的資金，在一個循環中反復提取資金從而盜取了2500萬美元。

跨鏈智能合約平臺Clover Finance與DeFi項目HyperJump達成合作:2月10日消息，跨鏈智能合約平臺Clover Finance宣布與DeFi項目HyperJump達成合作。HyperJump已經在其一站式DApp界面中集成Clover多鏈錢包。[2022/2/10 9:43:37]

FLASHLOANATTACK

最近，閃電攻擊已經成為最流行的黑客攻擊方法。閃電貸款是一種只在一次區塊鏈交易內有效的貸款，沒有違約風險。它意味著貸款人同意向借款人提供任何金額的貸款，前提是在給定的時間內將該金額歸還貸款人，否則貸款人可以回滾整個交易。黑客規避了貸款機制，這帶來了各種漏洞，如資產價格操縱。?

閃電貸款攻擊是對某一平臺的智能合約安全性的濫用，攻擊者通常會借入大量不需要抵押的資金。然后他們在一個交易平臺操縱加密貨幣資產的價格，并迅速在另一個交易平臺轉賣

智能合約的漏洞

Synthetix創始人：DeFi和監管一樣支持公平、開放和高效的市場:合成資產協議Synthetix的創始人KainWarwick發推表達對當下DeFi監管的看法，認為DeFi的全球監管不可避免，我們必須明確傳達我們也支持公平、開放和高效的市場，這和監管機構的目標有著令人難以置信的一致性，當下需要讓DeFi中的每個人圍繞統一的敘述進行協調，目前似乎有一個松散的DeFi創始人聯盟開始意識到這個問題，但尚未正式成立。[2021/8/5 1:35:58]

編碼錯誤產生于不小心執行的智能合約安全審計或未檢查的智能合約漏洞和脆弱性。令人遺憾的是，許多區塊鏈項目的創始人決定在測試覆蓋率不足的情況下運行他們的項目，并忽視了安全審計的相關性，這種疏忽導致被攻擊的可能性增加，給投資者帶來損失。?

價格預言機的操縱：代表例子MakerDao

智能合約的執行依賴于價格oracle所提供的準確數據。然而，獲得這些價格數據并不像人們希望的那樣安全和可靠。如果oracle提供不準確的數據，智能合約將導致交易錯誤的執行。這一事實有利于那些試圖操縱價格對自己有利的黑客。操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊，其本質是對預言機進行操控，造成內外價格差并利用閃電貸等新型金融工具從中套利。

AOFEX商務副總裁Vivian：DeFi走向大眾的最重要的一步是AMM自動做市商機制和流動性挖礦的玩法:據官方消息，AOFEX商務副總裁Vivian在《佟掌柜的朋友們·海外項目專場》圓桌會議上主題為“新格局競爭下 區塊鏈生態中各類角色如何搶灘市場”表示，DeFi走向大眾的最重要的一步，始終是AMM自動做市商機制和流動性挖礦的玩法，這兩者都是傳統金融無法實現的新東西。自動做市商機制讓新的資產從發行到流通的過程變得非常短，也真實地反應出用戶對資產的實際價格預期。流動性挖礦則讓每一個普通用戶都可以參與其中獲取收益，直接促成了DEFI項目的火熱。AOFEX為了也開設了專門的DEFI挖礦參與通道，用戶將幣抵押在平臺，平臺再去選擇安全優質的項目參與，并且把收益給到用戶。

AOFEX數字貨幣金融衍生品交易所，旨在為用戶提供優質服務和資產安全保障。[2021/4/26 21:00:20]

應運而生的Defi漏洞賞金平臺

傳統的網站和應用程序Bug賞金平臺，如HackerOne和BugCrowd，在這種舊世界的模式中取得了成功。但現有的"Web2.0"bug賞金和與區塊鏈和加密貨幣相關的"Web3.0"bug新時代之間存在巨大差異。在去中心化金融時代，Web3.0漏洞懸賞的關鍵性質是與實際貨幣價值相關，而不僅僅是軟件漏洞。

BKEX Global將于9月14日16:00開啟DeFi挖礦寶第六期搶購:據BKEX Global公告，BKEX Global將于2020年9月14日16:00~2020年9月15日16:00（UTC+8）開啟DeFi挖礦寶第六期搶購，最小搶購額度為0.01，收益周期為3天。

DeFi挖礦寶是BKEX結合當下火熱的DeFi流動性挖礦而推出的非保本浮動收益理財，本期用戶通過使用BTC、USDT、USDC、DAI參與搶購，即可獲得MOON、SWRV、SUSHI等代幣為獎勵的收益。[2020/9/14]

什么是Immunefi?

Immunefi于2020年12月推出，通過Bug賞金提供智能合約安全。更重要的是，他們已經宣稱是世界上首屈一指的bug賞金平臺!Immunefi有遏制DeFi黑客攻擊問題的野心。為了實現這一目標，它為區塊鏈項目提供咨詢服務、漏洞檢測、項目管理，以及最重要的是，提供一支白帽黑客的軍隊。Immunefi尋求將DeFi協議與黑客聯系起來，以保護平臺和用戶的資產。

什么是漏洞（Bug)賞金？

漏洞賞金計劃為發現智能合約和應用程序的潛在漏洞的安全研究人員提供獎勵。此外，賞金激勵白帽黑客發現并向項目報告漏洞，而項目則根據漏洞的嚴重程度向他們支付報酬。

傳統bug賞金面臨的困境

經濟激勵

雖然世界上把黑客分為白帽黑客和傳統黑客，但大多數人都在灰色地帶活動。舉個例子：有一個發現了可以快速賺取500萬美元的漏洞的黑客，他自身在巨大的利益面前會陷入道德的困境，他是做正確的事與有bug的平臺談判，以此獲得5千美元的bug賞金？還是他自己對這個bug采取行動？如果沒有一個一致的、公平的白帽子獎勵系統，人性黑暗面的誘惑將永遠存在。

報告

Defi項目通常沒有人負責處理bug賞金事件。因此，如果一個白帽試圖報告一個漏洞，試圖找到決策人。另外，如果CTO收到了來自外部的風險提示，說他們的代碼有缺陷，他們的自尊心很容易占據上風，賞金獵人并不討好。即使發現bug全部過程都被通過適當的渠道報告給公司負責人，也不能保證公司會獎賞。財務部門可能還會與開發團隊對漏洞賞金的價值產生分歧，整個過程可能會陷入一系列的死胡同。

Immunefi的賞金計劃

Immunefi平臺代表他們的白帽子和項目團隊處理/溝通和談判，這大大提高了效率壓縮了雙方的時間成本，Immunefi讓黑客保持匿名，并且不要求提供KYC文件。

Immunefi平臺已經發布一些有利可圖的賞金，其客戶Astroport提供高達300萬美元的獎勵。其他引人注目的賞金來自Celer，價值高達20萬美元，xDAI高達200萬美元，Sushi發布的125萬美元賞金。

Immunefi目前有7100萬美元的懸賞金，它想把獵取bug的工作從一種愛好變成一種可行的職業。到目前為止，該平臺已經支付了1000多萬美元，為客戶避免了200億美元的資金受到損失。

如何啟動賞金計劃？

在客戶填寫了Immunefibug賞金登記表后，他們會收到一份調查問卷

Immunefi開始根據這些問題的答案起草一份bug賞金計劃，該草案之后會被發送給客戶進行審查，修改完成后，該程序將被移交給Immunefi的運營專家。運營專家與項目團隊合作，確定賞金活動的啟動時間和賞金的公關/營銷細節以及費用和支付如何進行。

在Immunefi上發布一個bug賞金不需要預付費用。當黑客發現真正的漏洞時，客戶只需在bug賞金的基礎上向Immunefi支付10%的績效費用。

由于defi領域的快速發展，隨之而來的安全問題使大多數平臺和用戶資金受到損失，這也許可以解釋為什么Immunefi，DeFi的新興bug賞金和安全服務平臺之一能夠迅速捕捉價值，目前已經融資了550萬美元的資金，由ElectricCapital領投，參與的還有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他個人投資者。

Amador在接受TechCrunch采訪時補充說："現實情況是，Web3是一個對抗性更強的環境，這意味著漏洞賞金過程的每個部分都與以前不同，從報告的提交和處理，到報告的驗證，再到支付的談判都是如此。傳統的Web2bug賞金是一種方便的錯誤修復工具，而我們的Web3bug賞金則是DeFi項目的一個更為關鍵的應急系統。

隨著DeFi生態積木不斷豐富壯大，安全問題一直是高懸在頭頂上的達摩克里斯之劍，DeFi被黑客攻擊的事件仍然不會停止，未來還會繼續發生，這一點無需贅述。

Tags：EFIDEFIDEFIMMDeFi Coin BonusDefiskeletonsDeFi.chimm幣為啥不值錢

火幣APP下載