DeFi 攻击呈上升趋势——该行业能否遏制这股潮流？

在过去的几个月里，去中心化金融 (DeFi) 行业因黑客损失了超过 10 亿美元，而且情况似乎正在失控。

根据最新统计，约有 16 亿美元用于加密货币从 DeFi 平台被盗 2022 年第一季度。此外，超过 90% 的被盗加密货币来自被黑的 DeFi 协议。

这些数字凸显了一种可怕的情况，如果被忽视，这种情况可能会长期存在。

为什么黑客更喜欢 DeFi 平台

近年来，黑客加大了针对 DeFi 系统的攻击力度。这些群体被吸引到该行业的一个主要原因是去中心化金融平台持有的巨额资金。顶级 DeFi 平台每月处理数十亿美元的交易。因此，对于能够成功进行攻击的黑客来说，回报是很高的。

大多数 DeFi 协议代码都是开源的这一事实也使它们更容易受到网络安全威胁。

这是因为开源程序可供公众审查，任何人都可以通过互联网连接进行审查。因此，它们很容易被搜索出漏洞。这种固有属性允许黑客分析 DeFi 应用程序的完整性问题并提前计划抢劫。

一些 DeFi 开发人员故意无视经过认证的网络安全公司发布的平台安全审计报告，也助长了这种情况。一些开发团队还启动了 DeFi 项目，但没有对它们进行广泛的安全分析。这增加了编码缺陷的可能性。

在 DeFi 安全方面，另一个弱点是生态系统的互连性。 DeFi 平台通常使用交叉桥互连，这增强了便利性和多功能性。

虽然跨桥提供了增强的用户体验，但这些关键的代码片段将具有不同安全级别的分布式分类帐的庞大网络连接起来。这种多重配置允许 DeFi 黑客利用多个平台的功能来放大对某些平台的攻击。它还允许他们在多个去中心化网络之间快速无缝地转移不义之财。

除了上述风险外，DeFi 平台还容易受到内部破坏。

安全漏洞

黑客正在使用各种技术渗透易受攻击的 DeFi 外围系统。

安全漏洞在 DeFi 领域很常见。根据 到 2022 年链分析 报告指出，在过去两年中，大约 35% 的被盗加密货币是由于安全漏洞造成的。

其中许多是由于代码错误而发生的。黑客通常会投入大量资源来查找允许他们执行此类攻击的系统编码错误，并且通常会使用高级错误跟踪器工具来帮助他们。

威胁行为者用来寻找易受攻击平台的另一种常见策略是追踪具有未修补安全问题的网络，这些问题已经暴露但尚未实施。

导致最近 Wormhole DeFi 黑客攻击的黑客损失约3.25亿美元 据报道，在数字代币中使用了这种策略。对代码提交的分析显示，上传到平台 GitHub 存储库的漏洞补丁在部署补丁之前就被利用了。

这个错误使入侵者能够伪造一个系统签名，允许铸造 120,000 个价值 3.25 亿美元的 Wrapped Ether (wETH) 代币。黑客随后以约 2.5 亿美元的以太币（以太币 ).兑换的以太币来源于平台的结算储备金，因此造成损失。

虫洞服务充当链之间的桥梁。它允许用户在跨链的包装令牌中使用存放的加密货币。这是通过铸造 Wormhole 包装的代币来实现的，这减少了直接交换或转换存入的代币的需要。

最近： 区块链档案如何改变我们在战时记录历史的方式

闪电贷攻击

闪电贷是不需要信用检查的无担保 DeFi 贷款。它们使投资者和交易者能够立即借入资金。

由于方便，闪电贷通常用于利用连接的 DeFi 生态系统中的套利机会。

在闪贷攻击中，借贷协议是有针对性的，并使用价格操纵技术来破坏，这些技术会造成人为的价格差异。这允许不良行为者以极低的折扣率购买资产。大多数闪电贷攻击需要几分钟甚至几秒钟的时间才能执行，并且涉及多个相互关联的 DeFi 协议。

攻击者操纵资产价格的一种方法是针对可攻击的价格预言机。例如，DeFi 价格预言机从信誉良好的交易所和交易网站等外部来源获取利率。例如，黑客可以操纵源站点来诱使预言机暂时降低目标资产利率的价值，以便与更广泛的市场相比，它们以更低的价格进行交易。

然后，攻击者以贬值的价格购买资产，并以浮动汇率迅速出售。使用通过闪电贷获得的杠杆代币可以让他们放大利润。

除了操纵价格外，一些攻击者还能够通过劫持 DeFi 投票流程来实施闪贷攻击。最近，Beanstalk DeFi 亏损 1.82 亿美元 在攻击者利用其治理系统的缺陷之后。

Beanstalk 开发团队包含一个治理机制，允许参与者投票支持作为核心功能的平台更改。这种设置在 DeFi 行业很受欢迎，因为它坚持民主。平台上的投票权被设置为与持有的原生代币的价值成正比。

对漏洞的分析显示，攻击者从 Aave DeFi 协议中获得了闪电贷，以获得近 10 亿美元的资产。这使他们能够在投票治理系统中获得 67% 的多数票，并允许他们单方面批准将资产转移到他们的地址。在偿还闪电贷和相关附加费后，肇事者窃取了约 8000 万美元的数字货币。

根据 Chainalysis 的数据，2021 年，通过闪贷从 DeFi 平台窃取了价值约 3.6 亿美元的加密货币。

被盗的加密货币去了哪里？

长期以来，黑客一直在使用中心化交易所洗钱，但网络犯罪分子开始将其转移到 DeFi 平台。 2021 年，网络犯罪分子发送 大约 17% 的非法加密货币流向了 DeFi 网络，与 2020 年的 2% 相比有了显着增长。

市场专家认为，转向 DeFi 协议是因为更广泛地实施了更严格的了解你的客户 (KYC) 和反洗钱 (AML) 流程。这些程序损害了网络犯罪分子寻求的匿名性。大多数 DeFi 平台放弃了这些关键流程。

与当局的合作

中心化交易所现在也比以往任何时候都更加与当局合作打击网络犯罪。 4 月，币安交易所在追回 580 万美元的被盗加密货币 这是从 Axie Infinity 窃取的 6.25 亿美元资产的一部分。这笔钱最初被送到了 Tornado Cash。

Tornado Cash 是一种代币匿名化服务，通过分割用于追踪交易地址的链上链接来混淆资金来源。

然而，部分被盗资金被区块链分析公司追踪到币安。战利品存放在交易所的 86 个地址中。

事件发生后，美国财政部发言人强调，处理黑名单加密货币资金的加密货币交易所应对风险制裁。

Tornado Cash 似乎也在与当局合作，以阻止将被盗资金转移到其网络。该公司表示，它将实施一种监控工具，以帮助识别和阻止禁运钱包。

好像有一些进展当局扣押缺口资产 .今年早些时候，美国司法部宣布没收 36 亿美元的加密货币，并逮捕了两名参与洗钱的人。这笔钱是 2016 年从 Bitfinex 加密货币交易所窃取的 45 亿美元的一部分。

加密货币没收是有史以来最大的一次。

DeFi CEO谈现状

本周早些时候，Injective Labs 的首席执行官兼联合创始人 Eric Chen 专门对 Cointelegraph 发表了讲话，Injective Labs 是一个针对去中心化金融应用程序优化的可互操作智能合约平台，他表示，这些问题有望消退。

“随着更强大的安全标准的到位，我们看到潮流继续消退。通过适当的测试和进一步的安全基础设施到位，DeFi 项目将能够防止未来常见的漏洞利用风险，”他说。

关于他的网络为避免黑客攻击所采取的措施，陈提供了一个概要：

“与传统的基于以太坊虚拟机的 DeFi 应用程序相比，Injective 确保了更严格定义的以应用程序为中心的安全模型。区块链的设计和核心模块的逻辑保护 Injective 免受重入、最大可提取价值和快速贷款等常见漏洞的攻击。建立在 Injective 之上的应用程序能够受益于区块链在共识层面上实施的安全措施。”

最近： 全球采用率的上升使加密货币完美地用于零售

Cointelegraph 还有机会与非托管托管和质押平台 Allnodes 的首席执行官兼创始人 Konstantin Boyko-Romanovsky 就黑客攻击事件的增加进行了交谈。关于趋势背后的主要催化剂，他说：

“毫无疑问，降低 DeFi 黑客攻击的风险需要一些时间。然而，这不太可能在一夜之间发生。 DeFi 中有一种挥之不去的竞赛感。每个人似乎都很匆忙，包括项目创始人。市场的发展速度快于程序员编写代码的速度。采取一切预防措施的好球员是少数。”

他还提供了一些有助于解决该问题的程序的见解：

“代码必须变得更好，智能合约必须经过彻底审计，这是肯定的。此外，应不断提醒用户谨慎上网礼仪。识别任何缺陷都可以得到有吸引力的激励。反过来，这可能会促进特定协议中更健康的行为。”

DeFi 行业很难阻止黑客攻击。然而，希望当局加强监督和加强交易所之间的合作将有助于遏制这一祸害。