区块链行业的发展以及如何防御对DeFi的攻击

目前，区块链市场整体处于起步阶段，去中心化金融（DeFi） 市场是它最有前途的部分。根据 DefiLlama 的数据，2021 年，DeFi 市场有大约 2000 亿美元的流动性锁定在智能合约中。如果我们将这笔资金视为一项初始投资，那么这个市场看起来就像是一个非常有前途的风险投资。没有太多的全球公司可以吹嘘这样的资本化。但任何年轻的市场都有其发展初期的问题。对于 DeFi，主要问题是缺乏合格的区块链开发人员。

这个行业非常年轻，用户基数相对较小。大多数人充其量只是听说过 DeFi，但对它是什么一无所知。但正如每一个有前途的新企业所发生的那样，它很快就会产生大量的投机兴趣。不幸的是，准备人员需要更长的时间，尤其是在涉及区块链和智能合约开发等知识密集型领域时。这意味着一些项目团队将不得不妥协并雇用经验不足的人员。

这个问题难免造成越来越大的安全漏洞风险 在这些项目的代码中。然后我们必须处理它在用户资本损失方面的后果。为了简单了解这个问题有多大，我可以说 DeFi 锁定的总流动性中约有 10% 已被黑客窃取。主流公众更愿意远离对他们的资金构成如此危险的金融体系，这不足为奇。

有关的：DeFi 协议是如何被黑客攻击的？

DeFi 漏洞最近发生了怎样的变化？

长期以来，对 DeFi 的攻击都集中在重入攻击上。我们可以回忆起著名的 2016 年的 DAO 黑客攻击导致投资者资本损失 1.5 亿美元，并导致以太坊硬分叉。此后，该漏洞在不同的智能合约中被多次利用。

回调函数被贷款协议积极利用：它允许智能合约在发放贷款之前检查用户的抵押品余额。所有这些过程都发生在一次交易中，这为黑客提供了一种从此类智能合约中窃取资金的变通方法。当您发送借款请求时，回调函数首先检查抵押品余额，如果抵押品足够则发放贷款，然后在智能合约中更改用户的抵押品余额。

为了欺骗智能合约，黑客返回回调函数的调用，从头开始这个过程。由于交易尚未在区块链上完成，该函数会为相同的抵押品余额提供另一笔贷款。尽管这个问题的解决方案已经存在了足够长的时间，但许多项目仍然成为它的牺牲品。

有时，不擅长编写智能合约的项目团队会决定借用另一个开源 DeFi 项目的代码库来部署自己的智能合约。他们通常会使用经过审计、拥有庞大用户群并已被证明是安全构建的信誉良好的项目。但他们可能会决定对借用的代码进行微小的修改，以在智能合约中添加他们想要的功能，甚至无需更改原始代码。这可能会破坏智能合约的逻辑，而开发人员通常没有意识到这一点。

这是什么允许黑客窃取约 1900 万美元 2021 年 8 月来自 Cream Finance。Cream Finance 团队从不同的 DeFi 协议中借用了代码，并在他们的智能合约中添加了回调令牌。尽管您可以通过实施“检查、效果、交互”模式来防止重入攻击，这种模式优先考虑余额的变化而不是资金的发行，但一些团队仍然无法保护他们的平台免受这些攻击。

闪电贷攻击允许黑客以不同的方式窃取资金，并且自 2020 年 DeFi 繁荣以来变得越来越流行。闪电贷攻击的主要思想是你不需要抵押品就可以从协议中借入资金，因为金融平价仍然得到保证事实上，贷款是在一次交易中被接受和归还的。如果您未能在一次交易中连本带息地归还贷款，则不会发生。但是攻击者已经能够对许多协议进行成功的闪贷攻击。

有关的：需要：一个打击黑客和诈骗的大规模教育项目

在这样做的过程中，他们使用多种协议来借入和拖拽流动性，直到他们通过 oracles 或流动性池放大代币的价格并用它来欺骗拉高出货并以阵列中的流动性消失一些主要的不同加密货币，例如以太币（以太币 )、盘点比特币 (wBTC) 等。一些著名的闪电贷攻击包括煎饼兔攻击 ，该协议损失了 2 亿美元，并且又一次 Cream Finance 攻击 ，其中超过 1 亿美元被盗。

如何防御 DeFi 漏洞利用？

要构建安全的 DeFi 协议，理想情况下，您应该只信任经验丰富的区块链开发人员。他们应该有一个专业的团队领导，具备构建去中心化应用程序的技能。记住使用安全的代码库进行开发也是明智的。有时，与具有最新代码库的库相比，较不最新的库可能是最安全的选择。

测试是另一件至关重要的事情 所有严肃的 DeFi 项目都必须这样做。作为一家智能合约审计公司的首席执行官，我总是试图覆盖 100% 的客户代码，并强调对用于调用智能合约功能的私钥进行去中心化保护的重要性，访问受限。最好通过多重签名来使用公钥的去中心化，以防止一个实体完全控制合同。

最后，教育是让基于区块链的金融系统变得更加安全和可靠的关键之一。教育应该是那些在 DeFi 中寻找工作的人的主要关注点之一，因为它可以为所有能够做出切实贡献的人提供令人垂涎的回报。

本文不包含投资意见或建议。每一项投资和交易都涉及风险，读者在做出决定时应进行自己的研究。

此处表达的观点、想法和意见仅代表作者个人，并不一定反映或代表 Cointelegraph 的观点和意见。