2021年以來DeFi屢屢被攻擊，應如何防止？_EFI

智能合約給了我們去中心化，無需信任，去信任等眾多特點，但去除人為操作之后，一旦智能合約開了天窗，那么資產有可能被黑客予取予求。DeFi普及率和采用率升高，項目方魚龍混雜，如何才能火眼金睛的保護資產變得愈來愈重要。本片比較淺嘗輒止的分析了2021年以來DeFi被攻擊的例子，并且提出了預防的方式。偏簡單易懂。

目前，DeFi細分市場有兩個特點：一是它正飆升至前所未有的高度：它監管不力，幾乎沒有任何擁有資源或技術技能的人能夠經營智能合約并吸引用戶。這兩個因素使得該領域對攻擊者來說十分誘人。這些攻擊究竟是如何發生的？如何保護自己？我們將研究其機制，并提供DeFi中最大攻擊的例子，以便了解哪些協議需要特別謹慎。最短的DeFi概述

DeFi提供基于區塊鏈的金融服務，如借貸和生息。關鍵的一點是，DeFi是具有包容性且無需許可的——任何人，無論他們的公民身份、社會地位和信用歷史如何，每個人都可以利用它。DeFi是去信任的，因為它運行在智能合約上——所有的條款和條件都是事先描述過的，用代碼編寫，現在無需人工干預就可以執行。在這里，用戶唯一可以信任的是協議團隊編寫良好代碼的能力。反過來，由于大多數項目都是開源的，審計和社區通常會檢查這一點。然而，這怎么能給操縱留下空間呢？

數據：2022年WBTC數量減少超10萬枚，LUNA事件至今降逾35%:1月17日消息，Glassnode數據顯示，自LUNA/UST崩潰以來，以太坊上的總WBTC余額下降了35%以上。以太坊網絡在峰值時有28.5萬枚封裝比特幣，2022年期間減少了約10.1萬枚WBTC。[2023/1/17 11:15:59]

攻擊者如何利用DeFi中的不安全性？對DeFi的黑客攻擊是指某人利用協議的漏洞來獲取鎖定在協議中的資金。以下是實現這一目標的三個主要“策略”：DeFi項目制作得非常快，團隊并不總是有時間徹底檢查他們的代碼。黑客利用了這些漏洞。DeFi的每個協議都有自己的機制，用戶如何鎖定他們的資金，以及他們如何獲得回報。有時候，協議的創始人并不知道這些機制是如何被濫用的，并成為大賺一筆的漏洞。一些團隊故意制造問題——他們通過出售他們的股份和傾銷代幣來濫用他們在項目中的巨大影響力。DeFi中最常用的兩種攻擊方案

Bitwise公布2022年8月月末加密指數重組結果:金色財經報道，Bitwise Index Services宣布了Bitwise Crypto Indexes的每月重組結果，該結果于 2022年8月31日美國東部時間下午4點進行。

由于2022年8月31日的重組，Cosmos (ATOM) 重新進入Bitwise10大盤加密指數，取代了Uniswap (UNI)。Convex Finance (CVX) 進入Bitwise Decentralized Finance Crypto Index指數，取代了 SushiSwap (SUSHI)。Cosmos (ATOM) 重新進入Bitwise 10 ex Bitcoin Large Cap Crypto Index指數，取代 Uniswap (UNI)。ApeCoin (APE) 進入Ball Multicoin Bitwise Metaverse Index指數，取代了 Somnium Space Cubes (CUBE)。

Bitwise Blue-Chip NFT Collections Index 每季度重組一次，因此截至 2022 年 8 月 31 日沒有變化。[2022/9/2 13:03:26]

讓我們看一下DeFi中最廣泛使用的兩種機制——拉地毯和閃存貸款攻擊。

2021年風險投資對區塊鏈初創公司的投資近150億美元:8月27日消息，據GlobalData的數據顯示，尤其是在2021年，風險資本家對區塊鏈技術的投資從2020年的21億美元飆升至148億美元，增幅超過600%。

風險投資活動主要集中在北美，為68億美元，其次是拉丁美洲，為34億美元，而歐洲排名第三，為30億美元。在其他地方，亞太風險資本家向該行業投資了16億美元，而中東則為4.4億美元。

支付分析師Chris Dinga表示，銀行和支付領域正在大力投資區塊鏈技術行業，區塊鏈正在幫助支付行業管理匯款、中央銀行數字貨幣和資產代幣化，但是，它仍然是一項新技術，需要在支付基礎設施中完全采用之前進行全面測試。

目前，超過90家中央銀行已經在研究推出將由區塊鏈技術提供支持的中央銀行數字貨幣（CBDC）。（Finbold）[2022/8/27 12:52:49]

拉地毯——在沒人預料到的時候撤回流動性在“拉地毯”中，業主或開發商突然從池中撤出流動性，引發恐慌，迫使所有人都賣掉資產。基本上，這是一個退出騙局。創始人在一個項目中所占的股份越高，這個項目就越可疑:“拉地毯”正是DeFi討論的集中化風險之一。它是這樣開始的：創始人宣布了一個帶有原生代幣的新平臺，提供了一些很酷的獎勵。然后，該團隊在去中心化的交易所(如Uniswap)上創建一個流動性池，代幣與ETH、DAI或其他主要貨幣配對。用戶被鼓勵帶來更多的流動性，因為這將給他們帶來高收益。一旦代幣價格上漲，創始人就會收回他們的流動性并消失。開發者擁有大量股份并不是件好事，但即使有，也有一種保護項目的方法：開發者可以設置一種不允許他們在未來某一天之前退出的程序。這大大增加了對該項目的信任。閃電貸款攻擊——抽取和消除流動性

國際證監會組織發布2023年加密監管路線圖:7月11日消息，國際證監會組織（IOSCO）發布了其未來幾年通過解決加密貨幣法規缺乏問題來管理該行業的框架。

7月7日發布的指南顯示，IOSCO董事會級金融科技工作組（FTF）的框架將專注于兩個工作流程，重點是Crypto和Digital Assets（CDA）和DeFi。每個工作組計劃在2023年底前發布一份包含政策建議的報告。

今年年初成立的特別工作組表示，今年出現投資者的損失是由于缺乏市場監管。因此，FTF指出，有必要保護投資者，并應對市場的完整性。考慮到加密貨幣的跨境性質，該組織還與金融穩定委員會（FSB）就金融穩定可能面臨的風險等問題進行合作。這種合作還需要在全球和區域兩級交換信息。（Finbold）[2022/7/11 2:05:24]

什么是“閃貸”？它允許用戶在很短的時間內，在沒有抵押品的情況下，借到無限量的錢——用戶必須在下一個區塊被開采之前償還貸款和利息而開采只需幾秒鐘。如果用戶不償還貸款，交易將不會結束，借入的資金將從用戶那里被拿走。閃貸的關鍵用途之一是套利：從不同平臺上的資產價差中獲利。比如，以太坊在交易所A的成本為2000美元，在交易所B的成本為2100美元。用戶可以獲得價值2000美元的閃電貸款，在交易所A購買ETH，在交易所B出售，用戶的利潤將是100美元減去gas費和貸款費用。

2020年以太坊鏈上ETH及穩定幣結算量超過1.6萬億美元:1月30日消息，Consensys團隊發布報告指出，2020年以太坊鏈上ETH及其穩定幣結算量已超過1.6萬億美元。報告稱，推動以太坊鏈上交易量增長的三大穩定幣分別是Tether (USDT)、USDC和DAI。其中，Tether（USDT）在以太坊上結算量為5,800億美元，Circle旗下USDC在以太坊上結算量為2,390億美元，而MakerDAO的DAI在以太坊上結算量為980億美元。（Ethereum World News）[2021/1/30 18:28:00]

閃電貸的無限性質為漏洞利用鋪平了道路。以下是快速貸款攻擊的一般方案：一個攻擊者借200個代幣A，價值10萬美元(一個代幣A價值500美元)。然后，他在A/B流動性池中大舉買入代幣B。這推高了代幣B的價格，而代幣A下跌，現在只值100美元。當代幣B暴漲時，攻擊者以100美元的價格將其賣回代幣A。現在，相比最初的200代幣，其可以買得起1000代幣A(在價格下降5倍后)。然而，攻擊者只是在這個智能合約中降低了代幣A的價格。閃貸的貸款人仍然以500美元的價格購買代幣A。因此，攻擊者用他的200代幣A償還貸款，并拿走剩下的800枚。正如所看到的，閃電貸款利用了去中心化交易所的本質，而沒有實際的黑客行為。他們只是簡單地拋出拋售代幣A，并移除池中相當一部分的流動性，這基本上是在竊取流動性提供者的資金。2021年的主要DeFi攻擊

1.MeerkatFinance黑客這是一個典型的拉地毯，然而，表現時異常的玩世不恭。MeerkatFinance是一種流動性挖礦協議，所有者甚至無法使用匯集的資金。在攻擊發生前不久(也就是項目啟動后的一天!)，他們升級了協議，獲得了訪問權限，刪除了所有MeerkatFinance的社交媒體賬戶和他們的網站，帶著價值1300萬美元的穩定幣和價值1700萬美元的73000BNB的逃跑了。2.AlphaHomora閃電貸款攻擊

風險正在上升！今年2月在AlphaHomora攻擊中，3700萬美元被盜。該借貸平臺于2020年10月啟動，最近升級為V2版本。在一個AlphaHomoraV2池中，攻擊者借入和出借了數百萬個穩定幣，使其價值膨脹，使攻擊者獲得巨額利潤。3.EasyFi私鑰失竊

今年4月，基于Polygon的借貸協議EasyFi遭遇了最嚴重的一次DeFi黑客攻擊。在一次黑客攻擊中，一名網絡管理員的私鑰被竊取，這讓攻擊者得以獲得該公司的資金。價值7500萬美元的三百萬EASY代幣被盜。除此之外，EasyFi的保險庫里還有價值600萬美元的穩定幣被盜。4.SaddleFinance套利利用

這是另一個閃電貸款攻擊，尤其是這次。SaddleFinance是一種類似Curve的協議，用于交易包裝資產和穩定幣，在其發布一天后，于2021年1月21日遭到攻擊。通過進行一系列的套利攻擊，攻擊者在短短6分鐘內成功獲取了近8個比特幣的流動性。這可能是由于池的智能合約中的一個漏洞——攻擊者將穩定幣的價格拉得太高，以至于價值0.09BTC的一個代幣被換成了另一個價值3.2BTC的代幣。如何避免選擇易受攻擊的協議？

“閃貸”總是出人意料地發生，人們也不可能總是提前看到“拉地毯”的可能性。然而，遵循這些建議將幫助用戶更多地注意可疑跡象，并可能幫助用戶避免金錢損失。特別注意:團隊和它的聲譽。創始人和開發者是誰？團隊是公開的嗎？它曾經參與過任何值得信賴的加密項目嗎？如果沒有，這也不一定是壞事，但應該引起關注。訪問金庫。這個團隊有嗎？到什么程度？如果創始人的持股比例過高，這并不是一個危險信號。多重簽名訪問公司資金。如果開發人員啟用了多簽名訪問庫，并且團隊之外的人擁有一些簽名，這可能有助于防止“拉地毯”。壽命及其流動性。如果開發人員將他們的資金鎖定在一年左右的時間內，用戶可以放心，團隊至少在這段時間結束前不會退出。有什么措施可以保護DeFi不受攻擊？

隨著DeFi的成熟，池中有相當數量的流動性，池中的大量流動性可能是降低閃電貸攻擊風險的主要因素。閃電貸最高限額不允許攻擊。對智能合約的安全審計將為易受攻擊和配置錯誤的合約騰出空間。更好的監管將有助于避免故意發布易受攻擊的協議。一些項目已經實施了社區漏洞獎勵，幫助用戶在協議中發現漏洞和后門獲得獎勵。總結

DeFi使用無需許可和去信任的工具在短時間內提高可觀的收入，從而徹底改變了金融。然而，它的眾多漏洞經常被攻擊者和惡意開發人員使用。每次攻擊都要求協議提高安全性，這就是DeFi黑客幫助該行業發展的方式。Source：https://medium.com/the-capital/defi-attacks-and-ways-to-avoid-them-4b827ef456be

Tags：EFIDEFDEFI以太坊Endless Battlefielddefiner幣幣幣情DeFi Coin BonusVSYS幣會成為第二個以太坊嗎

以太坊交易