近期受Compound的“借貸即挖礦”的影響,DeFi生態迎來發展浪潮,Compound鎖定的資產價值達到6.38億美元躍居DeFi首位,DeFi生態鎖定的總資產一度達到17億美元,突破歷史新高。
正當DeFi生態進行的如火如荼時,DeFi中出現駭客攻擊惡性事件。6月29日,Balancer流動性池遭閃電貸攻擊,損失50萬美元,此次Balancer上遭遇損失的為STA和STONK兩個代幣池,目前這兩個代幣池的流動性已枯竭。
隨後Balancer在部落格迴應了這起被攻擊事件。此次攻擊讓攻擊者從STA和STONK兩個代幣池中獲取資金,遭遇攻擊的兩個代幣均為帶有轉賬費的代幣,也稱通縮代幣。
Balancer還原了此次攻擊的流程。駭客將透過閃電貸從dYdX借出ETH並轉換為WETH,不斷交易WETH和STA,在每筆交易中,STA都需要支付一筆轉賬費,該資金池將會在不收取費用的情況下獲得餘額。呼叫足夠次數後,攻擊者呼叫gulp(),該操作會將代幣餘額的內部池記帳同步到代幣追蹤合約中儲存的實際餘額。最後由於STA的餘額接近於零,因此其相對於其他代幣的價格非常高,此時攻擊者可使用STA以極低價交換代幣池中的其他資產。由於此類攻擊只限於通縮代幣,Balancer下一步會將通縮代幣新增到UI黑名單中。目前Balancer已經透過兩次全面稽覈,即將開始第三次協議稽覈。
據金色財經瞭解,Balancer是在今年3月推出的建立在以太坊區塊鏈之上的n維自動做市商,允許使用者建立可定製池或向其新增流動性並賺取交易費。DeFi Pulse資料顯示,Balancer目前鎖定的資產價值1.167億美元,在DeFi生態中排在第四位。
不過,此次Balancer被攻擊並非DeFi專案首次受到攻擊。金色財經統計發現,今年以來DeFi生態已先後出現三次被攻擊事件。
此前在2月15日,DeFi貸款協議bZx被爆漏洞,導致一部分ETH丟失。
4月18日,Tokenlon發訊息稱Uniswap上的imBTC池遭到駭客攻擊,此次攻擊中損失了1,278個ETH。
4月20日,dForce旗下DeFi貸款協議Lendf.Me遭遇駭客攻擊。24小時內,dForce鎖倉資產美元價值從近2500萬美元下跌100%至6美元。
面對DeFi專案頻頻受到駭客攻擊,去中心化金融的安全受到質疑,DeFi安全到底該如何保障?慢霧科技合夥人啟富在做客金色直播間時表示,DeFi生態的安全需要三層策略進行保障。第一層是DeFi開發安全,第二層是DeFi安全審計,DeFi安全審計在第二層可以規避不少問題,將安全防禦水平提高一個檔次。第三層是更新迭代、持續運營的安全。只能說,經過安全審計的專案,可以讓人更放心,不過也會存在黑天鵝——來自未來的攻擊。
啟富建議,在安全方面,專案的DeFi程式碼和計劃接入的目標DeFi協議的程式碼,可以找同一家安全審計公司進行審計,這樣可以發現更多業務邏輯組合場景下的安全風險。同時,強烈建議DeFi專案方釋出Bug Bounty(漏洞賞金計劃),對發現漏洞並主動報告的研究員進行獎勵。海外的Bounty平臺有Hackerone等,支援入駐併發布漏洞賞金計劃。其實技術社羣裡大部分研究員都喜歡透過Bug Bounty的形式兌換自己的安全研究成果,畢竟如果去作惡,攻擊成功後還要洗幣、變現,以及擔心被溯源。發現漏洞後透過Bug Bounty平臺報告給專案方,和專案方友善溝通,這樣拿賞金獎勵可以更省心。
