DeFi——去中心化金融,不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi利用了區塊鏈的技術,逐漸發展出有別于傳統金融的金融商品,瘋狂受到追捧。根據DeFiPulse的數據,DeFi鎖倉量已飆升了200%以上,從2021年1月份的$320億到12月份的$980億。DeFi作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。
不過,DeFi真的足夠「去中心化」嗎?
從協議層面以及交互方式來看,DeFi的確足夠去中心化。但從一些攻擊事件上看,DeFi似乎顯得不那么去中心化。
2021年7月14日,波卡數字收藏品市場平臺BondlyFinance遭到攻擊,導致373,088,023美元的BONDLY代幣從BondlyStakingRewards合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬于Bondly首席執行官BrandonSmith的密碼帳戶的訪問權限。密碼帳戶包含Smith的硬件錢包的助記符恢復短語,復制后允許攻擊者訪問BONDLY智能合約,以及被泄露的公司錢包。
DeFi工具開發公司AUROX發起符合SEC標準的眾籌融資:2月2日消息,DeFi 工具開發公司 Aurox 宣布在際交易集團投資的通證化證券平臺 tZERO Markets 上發起眾籌融資活動,尋求從公眾籌集資金以繼續產品開發和擴展,本次融資符合美國證券交易委員會 (SEC) 頒布的眾籌條例 (CF)。Aurox 由加密交易員 Giorgi Khazaradze、Ziga Naglic 和 Taraz Andreyevich 于 2020 年共同創立,其開發工具為交易者、投資者和機構提供去中心化金融服務,目前已集成 50 多家交易所和 10 萬多個交易對,去年已發布 Web3 錢包。[2023/2/3 11:44:14]
有趣的是,該黑客似乎在四個月后又以相似的方式攻擊了另一個DeFi項目。
DeFi協議Umami公布財庫儲備,對FTX與Alameda無敞口:11月14日消息,Arbitrum上風險對沖收益協議Umami發文稱,Umami財庫對FTX、FTX.US或Alameda Research無風險敞口。此外,Umami還在Zapper上公布了財庫儲備數據。截至目前,除原生Token UMAMI外,Umami財庫資產價值為4,552,275美元,其中USDC價值1,997,997美元,GLP價值1,367,150美元。Umami表示,FTX事件發生后已將部分GLP換為了USDC,等到FTX導致的波動平息后,會將部分USDC重新部署至GLP以及其他策略中。[2022/11/14 13:03:44]
2021年11月5日,DeFi協議bZx發推稱控制Polygon和BSC部署的私鑰已被泄露,導致資金損失。據官方調查,黑客使用的錢包之一參與了BondlyFinance的攻擊。同時,本次漏洞利用與BondlyFinance的非常相似:黑客獲得了開發人員的密碼,然后從協議中操縱了一個智能合約。不久,bZx在更新的事故報告表示:“我們聘請了一家名叫Kaspersky的安全公司,該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織Lazarus執行的。”據慢霧AML旗下反洗錢追蹤系統MistTrack?分析,攻擊者初始資金來自Tornado.Cash轉入的0.9ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為ETH,最后通過Tornado.Cash轉出10960ETH,以太坊部分的洗幣基本完成。
MXC抹茶MX DeFi機槍池即將上線第12期新幣挖礦ATP(Alaya):據官方公告,今日20:00,MXC抹茶MX DeFi機槍池上線第12期新幣挖礦ATP(Alaya)。11月29日-12月3日,質押USDT、BTC、MX可挖ATP,最低認購額度1USDT、0.001BTC、10MX,單個質押池質押額度無上限限制。
據了解,MX DeFi是通過質押MX、USDT、BTC或其他指定數字資產,按比例獲取頭礦收益的流動性機槍池挖礦產品。MX DeFi 支持無常損失代償制度,保障用戶本金不受無常損失侵蝕。11月30日10:00,MXC抹茶上線ATP,開放USDT交易。[2020/11/29 22:31:00]
BiKi平臺DeFi幣種今日普漲:據BiKi行情數據顯示,截止今日20:30(GMT+8),平臺內DeFi幣種今日普漲,ASKO今日目前漲幅為29.45%,現價0.0181USDT。DEXT今日目前漲幅20.33%,現價0.0697USDT。OKS今日目前漲幅20.07%,現價0.0937USDT。TRB今日目前漲幅為18.33%,現價53.7781USDT。行情波動較大,請注意風險控制。[2020/8/17]
以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期,私鑰泄露似乎變得非常熱門:Levyathan損失150萬美元、8ightFinance損失175萬美元、VulcanForged損失1.4億美元……我們不禁想,這是不是表示著線下實體實際掌管著控制權呢?
除了釣魚攻擊,前端攻擊也是引發DeFi安全問題的高危據點。
2021年12月2日,據官方Discord消息,去中心化組織BadgerDAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。12月9日,Badger?發布了詳細的事故報告,報告稱此次事件是CloudflareWorkers上的惡意注入代碼片段導致的。CloudflareWorkers是一個運行腳本的界面,這些腳本在流經Cloudflare代理時對Web流量進行操作和更改。攻擊者在Badger工程師不知情或未授權的情況下獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權給攻擊者,然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML旗下反洗錢追蹤系統MistTrack分析,黑客將部分獲利的加密貨幣換成renBTC,并通過renBTC將約2100BTC跨鏈轉移到14個BTC地址,目前暫無異動。
在DeFi世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。
2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平臺Miso的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso前端,把拍賣錢包地址替換成了自己的錢包地址,導致864.8ETH被盜。
當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與DeFi項目,簡直如履薄冰。
總結
不管怎樣,“DeFi是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi最大的特性,不如說是DeFi世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的DeFi安全事件后,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。
參與DeFi項目本質上是把手中的資產轉移或授權給DeFi項目方,存在個人極大程度上不可控的安全風險。那我們普通用戶能做什么?慢霧為您準備了一份“DeFi資產安全解決方案”,點擊原文即可查閱。
Tags:DEFIDEFEFIUSDDefinixVerify DeFiBasketDAO DeFi IndexPegsUSD
繼李寧NFT之后,國產運動品牌安踏NFT也來了。據官網消息,安踏聯合天貓超級品牌日,打造互動數字空間“安踏冰雪靈境”,同時致敬錢學森先生對虛擬現實一詞的中式解讀.
1900/1/1 0:00:00薩爾瓦多財政部長亞歷杭德羅·塞拉亞周二表示,薩爾瓦多政府將向國會提交約20份涉及金融市場和證券投資的法案,為發行比特幣債券提供法律基礎.
1900/1/1 0:00:00哈薩克斯坦總統宣布全境進入“緊急狀態”,因受液化天然氣價格上漲的影響,從1月2日起,多個城市連續爆發抗議活動,并逐漸演變為大規模騷亂.
1900/1/1 0:00:00金色財經報道,1月8日,以太坊聯合創始人兼核心開發人員VitalikButerin今天在推特上轉發了一個Reddit帖子鏈接,其中他討論了對多鏈未來的信念,但對跨鏈生態系統表示懷疑.
1900/1/1 0:00:00金融科技圈的技術走向該如何看?今天,北大光華-度小滿金融科技實驗室發布了「2022全球金融科技十大技術趨勢」,涵蓋隱私計算、大模型、多模態學習、數字孿生等多個前沿領域.
1900/1/1 0:00:0012月31日晚,深圳市商務局聯合羅湖區政府在東門步行街舉行深圳2022新春歡樂購促消費活動暨“千萬禮享羅湖上新”新春購物季啟動儀式,標志著2022新春歡樂購大型促銷活動拉開序幕.
1900/1/1 0:00:00