由於智慧合約上有數十億美元的資金,可以肯定的是,最聰明的駭客仍在不斷尋找利用安全弱點從中獲利。
作者|ViaBTC礦池
來源|ViaBTC礦池
最近,史上被盜金額最大的駭客攻擊事件一度衝上熱搜,“火出圈外”。據鏈上瀏覽器顯示,駭客僅用了34分鐘就盜走了總價值約6.1億美金的加密貨幣。
受此影響,僅因O3 swap跨鏈轉賬功能是基於Poly Network跨鏈協議開發的,而被“烏龍”的誤認為是駭客攻擊物件,導致其價格一度大跌30%,DeFi安全問題又再一次被推上風口浪尖。
除去這次攻擊,截止到7月底,與DeFi相關的駭客事件就已經讓使用者們損失了近3.6億美金。據有關資料顯示,從年初至今發生了近40起DeFi被盜事件,損失金額近10億美金(不算駭客歸還)。
沒有人可以完全預測已部署的智慧合約會發生什麼,即使是最好的安全審計師。由於智慧合約上有數十億美元的資金,所以可以肯定的是,最聰明的駭客仍在不斷尋找利用安全弱點從中獲利。
DeFi的巨大風險在於,DeFi應用本身的創新性和複雜性,使安全審計人員很難發現存在的漏洞。
DeFi應用程式開發人員必須確保網路安全審計人員不斷檢查他們的程式碼,以減少任何漏洞被利用的可能性,否則一旦攻擊成功,將導致巨大的經濟損失。
從DeFi概念出現至今,DeFi遭受過無數大大小小的攻擊。其中,有兩種攻擊手法最為常用,閃電貸攻擊和Rug Pull(拉地毯)。
所謂閃電貸(Flashloan),其實是一種創新金融工具,甚至可以稱得上是智慧合約上的一個偉大創新。
使用者可以在不需要任何抵押借款的情況下,只需付出極小的手續費就能得到鉅額資金,前提是要在同一個區塊內還款,否則交易回滾。
在此類攻擊手法中,駭客只是利用了閃電貸的特點,在短時間內借出資金、交易、然後存入並再次借出大量的資金,這樣駭客就能在實現操縱、扭曲特定的加密貨幣價格資料後,實施套利,最後歸還“本金”。
比如在今年2月,攻擊者就針對DeFi借貸協議Alpha Homora發起閃電貸攻擊,導致3,750萬美元被盜。
在一個Alpha Homora V2池中,攻擊者操控了數百萬枚穩定幣,使其價值膨脹,最終完成套利。
Rug Pull(拉地毯)指的是加密貨幣領域中的一種惡意操縱,DeFi專案開發人員毫無徵兆地放棄該專案並帶著投資者的錢跑路,Rug Pull多發生於DEX(去中心化交易所),是DeFi領域較為典型的騙局。
騙子們會在流動性池中投入大量的資金,並在社交媒體上釋出誘人的廣告吸引投資者入局,一旦投資者將代幣存入這些流動性池中,騙子就會“抽地毯般”地把池子裡的代幣全部提走。
比如在今年5月,基於幣安智慧鏈(BSC)上的DeFi協議DeFi100專案運營者已經卷跑了大約有3200萬美元(約合2億元人民幣)的使用者資金。
其官方網站已經無法訪問,在網站關閉之前,DeFi100官方網站上還出現“我們騙了你們,你們拿我們沒辦法”的字樣,該頁面隨後被刪除。
一路高歌的DeFi市場因Poly Network攻擊事件使我們知道,DeFi還處在初級階段,各種技術還待成熟。
駭客攻擊無法避免,對於後續準備繼續上線跨鏈專案的專案方而言,恐怕現在最好的準備方式就是加強專案安全審計和反覆的壓力測試了。
