作者:Andrew Zola / Unchained
區塊鏈使 DeFi 成為可能。事實上,區塊鏈應該是安全的,那為什么如此多的 DeFi 平臺和應用程序總是遭到黑客攻擊?
加密情報公司 CipherTrace 在 2022 年年初發布的一份報告顯示,去中心化金融 (DeFi) 占所有加密黑客攻擊的 75% 以上。此外,在所有主要加密欺詐案件中,發生在 DeFi 領域的占比達到 54%,高于 2020 年的 3%。
首先,什么是區塊鏈?
區塊鏈是存儲不同數據類型的分布式共享賬本。例如,我們可以使用區塊鏈來記錄非同質代幣 (NFT) 的所有權,當然還有加密貨幣交易。
盡管傳統數據庫可以輕松存儲相同的信息,但區塊鏈的獨特之處在于沒有集中的權限。它永遠不會由中心化管理員在一個位置進行維護,例如 Excel 電子表格,一個人可以在沒有監督的情況下進行更改。
相反,區塊鏈數據庫的多個相同副本存在于網絡上的多臺計算機或節點上。要在“鏈”中添加另一個“塊”并將底層交易記錄在分布式賬本中,需要達成共識。
Scopescan:CyberConnect已于鏈上部署CYBER合約:8月1日消息,據Scopescan監測顯示,Web3社交圖譜協議CyberConnect已于3小時前在鏈上部署CYBER合約,合約地址為0x14778860E937f509e651192a90589dE711Fb88a9,目前尚未進行轉賬。[2023/8/1 16:11:36]
大多數節點必須在將新數據塊添加到分類帳之前驗證新數據的合法性。因此,理論上,任何人都幾乎不可能進行欺詐交易。這是因為威脅者必須侵入每個節點并更改分類帳的每個副本以避免被發現。
雖然這不一定是不可能的,但這對黑客來說是一個巨大的挑戰。此外,當您將一層權益證明 (PoS) 或工作量證明 (PoW) 交易驗證方法添加到組合中時,欺騙系統變得極其困難。
POS(在 Algorand、EOS 和 Tezos 中很流行)使用隨機選擇的礦工來驗證交易。另一方面,POW 使用競爭驗證方法來確認交易。一旦交易被確認,一個新的區塊將被添加到區塊鏈中。
SKALE即將發布去中心化零知識證明解決方案Levitation Protocol:6月2日消息,以太坊側鏈 SKALE 開發人員宣布了一項 SKALE 改進提案,即,去中心化零知識證明解決方案 Levitation Protocol,旨在通過使全套 ZK 解決方案無縫連接到 SKALE 架構,并將 Rollup 連接到以太坊主網。該提案包括進一步的生態系統升級,增加了一個新的「Layer 1 Megachain」,稱為 SKALE G(G 代表木衛三,太陽系中最大的衛星)。
SKALE 開發人員計劃在未來幾個月內開始發布 Levitation Protocol 源代碼,之后將啟動公共測試網。Levitation Protocol 主網計劃于 2023 年第四季度推出。[2023/6/2 11:53:31]
因此,去中心化的公共區塊鏈可以高度安全,因為網絡上的每個人都必須驗證交易是否合法執行。那么,為什么加密黑客頻頻成為頭條新聞?問題的答案在于跨鏈橋。
什么是跨鏈橋?
Uniswap日活用戶創2021年5月以來新高:金色財經報道,Token Terminal數據顯示,Uniswap每日活躍用戶在5月2日達到94550人,5月3日為89755人,創下2021年5月以來新高。[2023/5/5 14:44:09]
跨鏈橋連接兩個不同的區塊鏈,并允許用戶在沒有任何中介或中央授權的情況下從一個區塊鏈發送、接收或交換加密貨幣,例如加密貨幣。
雖然這聽起來很簡單,但事實并非如此。跨鏈橋不像美元兌換歐元(這很簡單),一個易理解的類比是:試圖將您銀行賬戶中的航空里程兌換成美元。
區塊鏈橋的存在是為了在高 Gas 費或交易費用、快速交易、改善隱私、優化實用程序以及通過互操作性增強用戶體驗時為用戶提供選擇。
它還為用戶提供選擇自由并鼓勵公平競爭。如果一個網絡比另一個網絡更快或更便宜,您可以以更低的成本簡單地切換和移動數字資產。因此,跨鏈構成了 PancakeSwap 等平臺的基礎,用戶可以在其中快速“交換”以太坊 (ETH) 等加密貨幣為 Binance (BNB)。
藝電創始人將擔任Web3游戲公司Games for a living首席戰略官:金色財經報道,游戲巨頭藝電(Electronic Arts)創始人William Murray “Trip” Hawkins III將擔任巴塞羅那Web3游戲初創公司Games for a living的首席戰略官(CSO)。(CoinDesk)[2023/2/25 12:28:10]
然而,跨鏈橋(和側鏈橋)有時可以顛覆 DeFi 的整個概念。大多數跨鏈橋依賴于各種外部驗證器(例如:包裝版代幣或第三方托管,它們可能不是去中心化且免信任的)和中心化聯盟來促成資產轉移。
是什么讓跨鏈橋易受攻擊?
跨鏈網帶來了重大的安全風險,由于連接了由不同實體開發的多個鏈,必須在更廣泛的網絡中有效地防范攻擊。
從本質上講,這使黑客通過簡單地將代幣從一條鏈移動到另一條鏈來竊取資金成為可能。此外,DeFi 平臺是犯罪攻擊的理想目標,因為它提供了快速的回報、隱私和匿名性,而且執法方面(仍然)相對較落后。
幣安已恢復Nuls(NULS)網絡充值和提現業務:6月17日消息,據官方公告,繼2022年1月18日Nuls(NULS)網絡API節點遭到安全攻擊后,幣安已為Nuls(NULS)網絡用戶完成錢包地址更換。 現階段,用戶在幣安通過Nuls(NULS)網絡的充值和提現業務已恢復。[2022/6/17 4:34:36]
然而,我們不得不處理如此多的安全漏洞(如 MultiChain、Poly Network、Thorchain 和 Wormhole),原因歸結為創始人沒有認真對待安全性并且沒有發現錯誤。例如,從 ETH 到 BNB 的交換需要以太坊、Binance 和跨鏈橋中的交換代理, ETH 和 BNB 可能是安全的,但如果橋接代理是薄弱環節,這也無濟于事。
當托管人通過未經測試的安全實踐和設計不良的系統來保護數百萬甚至數十億美元時,至少可以說,保護用戶資金是一項挑戰。
Wormhole 橋攻擊
Wormhole 跨鏈橋攻擊是有史以來第二大加密黑客攻擊,導致損失超過 3 億美元(或 120,000 ETH),怎么發生的?
Wormhole 允許用戶在 Avalanche、Binance Smart Chain、Ethereum、Polygon、Solana 和 Terra 等鏈上橋接資產。因此,用戶可以在區塊鏈之間轉移資產,并且橋通過鎖定交易并將包裝版本(例如 wETH)鑄造到最終鏈來實現轉移。
Solana 的軟件功能不是最新的。一些黑客發現并利用了這種容易避免的技術疏忽。例如,威脅者能夠通過在指令中注入惡意的“sysvar 帳戶”來規避“驗證簽名”過程。結果,他們能夠破壞這個跨鏈協議,因為它未能驗證所有“驗證者帳戶”,從而使攻擊者能夠欺騙驗證者簽名并憑空鑄造多達 120,000 ETH。
在這種情況下,跨鏈違規的根本原因是“驗證簽名”過程,因為合約有一個過時的功能,無法驗證 sysvar 帳戶的合法性。這些漏洞提醒人們,DeFi 仍處于起步階段,這些項目本質上是實驗。
在Wormhole 橋攻擊之后我們可以信任 DeFi 嗎?雖然我們不能 100% 完全信任任何技術,但隨著 DeFi 的發展和成熟,黑客欺騙節點或使其離線將變得更加困難。這是因為加密技術只有在每個問題的解決方案和每次迭代中都會變得更好。
加密用戶如何保護自己?
隨著加密貨幣成為主流,網絡犯罪也變得越來越流行。為了提高區塊鏈安全性并加強跨鏈環境,加密新手和老手都必須嚴格遵循最佳實踐來降低風險。
進行盡職調查
進行研究至關重要。了解區塊鏈開發團隊是否擁有積極透明的業績記錄。如果過去的 DeFi 項目有過安全事件的歷史,那么他們可能在內部發布過程中存在問題。
查找這些信息并不簡單。您必須深入研究加密世界并研究參與項目的每個人以及可能影響預期結果的所有相關因素。
選擇由白帽黑客“審計”的協議
確保他們與已建立的白帽黑客服務合作,以識別和糾正潛在的跨鏈漏洞。如果團隊未能充分解決內部風險和潛在漏洞,您可以期待威脅行為者對其進行“磨練”。
您可以通過遵循協議的公告并與黑客追蹤服務提供商(如 Zokyo 和 Trail of Bit)保持聯系來找到此信息。白帽黑客每天都在使 web3 變得更好、更安全。通過吸引白帽黑客,DeFi 平臺還可以鼓勵網絡內的共識和協議以提高安全性。
查看鎖倉總價值(TVL)
查看協議中鎖定了多少加密貨幣(或存放和鎖定的加密資產的總價值)。如果 TVL 加起來高達數十億美元,并且協議已經活躍了很長時間,那么安全風險可能相對較低。但與往常一樣,要格外小心。
隨時了解最新消息
眾所周知,加密世界會在一夜之間發生變化。因此,跟上包括區塊鏈安全事件在內的最新發展至關重要。跟蹤創始人正在做什么,以及他們是否仍在積極為項目做出貢獻。如果團隊已經“跑路”,您必須根據您的發現重新制定策略。
區塊鏈安全每天都在變好,DeFi 將繼續存在
區塊鏈本身是高度安全的,但在多個區塊鏈之間的互操作中可能會出現漏洞。雖然跨鏈橋肯定會帶來許多安全挑戰,但它們對于互操作性、可擴展性和增強用戶體驗至關重要。
由于 DeFi 領域仍處于起步階段,隨著每次安全事件的發生,整個生態系統都在變得越來越好。我們可以從每起加密黑客事件中學習,讓DeFi空間更加安全和隱私。
盡管安全事件過去發生過,而且將來肯定會發生,但DeFi 團隊都應該化被動為主動,永遠將智能合約的安全性放在第一位,讓自己遠離頭條新聞。唯有不斷進步的安全性,才能穩固 DeFi 在行業中的強大地位。
編譯及整理:比推 Mary Liu
在前面的文章《向父母介紹區塊鏈的正確打開方式》中,我們向長輩們介紹完什么是區塊鏈后,若對方追問:"區塊鏈到底有什么用?能應用到什么領域?".
1900/1/1 0:00:00區塊鏈的本質是價值網絡,這個價值網絡上傳輸的是加密資產,加密資產是什么,是一串字符,對于這串摸不著的字符,放在哪兒?放在我們現有的錢包顯然不可能,新的高科技錢包,區塊鏈錢包由此而生.
1900/1/1 0:00:00如果你對日本動漫或影視劇有所涉獵,那一定不會對圖中的這個熙熙攘攘的十字路口感到陌生: 沒錯,這個全球最繁忙的十字路口,就位于日本東京的澀谷區.
1900/1/1 0:00:008月4日,中國人民銀行上海總部召開2022年下半年工作會議,傳達學習2022年下半年中國人民銀行、國家外匯管理局工作會議精神,總結上半年上海總部主要工作,安排下半年重點工作.
1900/1/1 0:00:00上周,是以太坊經典(ETC)很長時間以來又一次出現在新聞中。盡管保持著 30 億美元的市值,但大多數人已經認為這個代幣沒什么希望.
1900/1/1 0:00:00本篇研報屬于AC Capital Research的《賽道洞察》系列,與微觀項目(Starshark、Stpen)不同,《賽道洞察》側重于中觀賽道的底層商業邏輯和發展趨勢,挑戰,限制.
1900/1/1 0:00:00