维卡币官网-数字货币合约招商_比特币价格今日行情_虚拟货币交易平台

维卡币官网

去中心化的金融 频遭攻击 真的足够「去中心化」吗?

去中心化的金融 —— 去中心化金融,不同于过去中心化的传统金融需要很多中介机构如银行、证券交易平台的参与,去中心化的金融 借助了区块链的技术,渐渐进步出有别于传统金融的金融产品,疯狂遭到追捧。依据 去中心化的金融 Pulse 的数据,去中心化的金融 锁仓量已暴涨了 200% 以上,从 2021 年 1 月份的 $320 亿到 12 月份的 $980 亿。去中心化的金融 作为去中心化世界的明星产物,凭其去中心化、不可篡改、不需要信赖、开放透明可组合等特质为用户打开了开放式金融的大门。

不过,去中心化的金融 真的足够「去中心化」吗?

从协议层面与交互方法来看,去中心化的金融 的确足够去中心化。但从一些攻击事件上看,去中心化的金融 好像看上去不那样去中心化。

2021 年 7 月 14 日,波卡数字珍藏品市场平台 Bondly Finance 遭到攻击,致使 373,088,023 USD的 BONDLY 代币从 Bondly Staking Rewards 合约中转出,据官方调查,攻击者通过精心策划获得了是 Bondly 首席实行官 Brandon Smith 的密码帐户的访问权限。密码帐户包含 Smith 的硬件钱包的助记符恢复短语,复制后允许攻击者访问 BONDLY 智能合约,与被泄露的公司钱包。

有趣的是,该黑客好像在四个月后又以一样的方法攻击了另一个 去中心化的金融 项目。

2021 年 11 月 5 日,去中心化的金融 协议 bZx 发推称控制 Polygon 和 BSC 部署的私钥已被泄露,致使资金损失。据官方调查,黑客用的钱包之一参与了 Bondly Finance 的攻击。同时,本次漏洞借助与 Bondly Finance 的很相似:黑客获得了开发职员的密码,然后从协议中操纵了一个智能合约。不久,bZx 在更新的事故报告表示:“大家聘请了一家名叫 Kaspersky 的安全公司,该安全公司调查后觉得这次攻击非常可能是由朝鲜黑客组织 Lazarus 实行的。”据慢雾 AML 旗下反洗钱追踪系统 MistTrack 剖析,攻击者初始资金来自 Tornado.Cash 转入的 0.9 以太币,接着攻击者一番操作将失窃资金分散到多个地址。然后攻击者将多种代币换为 以太币,最后通过 Tornado.Cash 转出 10960 以太币,ETH部分的洗币基本完成。

以上两个事例都是无关合约问题,而是开发职员遭到钓鱼攻击致私钥泄露从而影响用户资金。回顾最近,私钥泄露好像变得很热点:Levyathan 损失 150 万USD、8ight Finance 损失 175 万USD、Vulcan Forged 损失 1.4 亿USD……大家不禁想,这是否表示着线下实体(去中心化的金融 开发职员)实质掌管着控制权呢?

除去钓鱼攻击,前端攻击也是引发 去中心化的金融 安全问题的高危据点。

2021 年 12 月 2 日,据官方 Discord 消息,去中心化组织 Badger DAO 遭遇黑客攻击,用户资产在未经授权的状况下被转移。12 月 9 日,Badger 发布了详细的事故报告,报告称此次事件是 Cloudflare Workers 上的恶意注入代码片段致使的。Cloudflare Workers 是一个运行脚本的界面,这部分脚本在流经 Cloudflare 加盟时对 Web 流量进行操作和更改。攻击者在 Badger 工程师不知情或未授权的状况下获得了项目方在 Cloudflare 后台的 API Key,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起买卖让用户去确认。用户确认了那笔恶意买卖,就会将代币授权(approve)给攻击者,然后攻击者就可以在用户不知情的状况下将代币转走。据慢雾 AML 旗下反洗钱追踪系统 MistTrack 剖析,黑客将部分获利的数字货币换成 ren比特币,并通过 ren比特币 将约 2100 比特币 跨链转移到 14 个 比特币 地址,现在暂无异动。

在 去中心化的金融 世界,合约一旦部署不可篡改不可撤回,理论上来讲是不会遭到人为的干涉,这点确保了其去中心化的特征,但现在绝大部分前端仍是通过传统构造达成,虽然网页自己也在不断在进化和进步,但仍存在不少潜在的威胁,同时针对前端的攻击总是容易被开发者忽略,这部分错误原因使得攻击者饱餐了一顿又一顿。

2021 年 9 月 17 日,Sushiswap CTO 在twitter上表示,Sushiswap IDO 平台 Miso 的前端遭受攻击。承包商的一名匿名职员将恶意代码注入 Miso 前端,把拍卖钱包地址替换成了我们的钱包地址,致使 864.8 以太币(约 307 万USD)失窃。

目前端问题开始影响资金的安全性,作为用户不能不深思怎么样才能做到安全地参与 去中心化的金融 项目,简直如履薄冰。

概要

不管如何,“去中心化的金融 是不是完全去中心化”这个问题或许会一直存在。与其说去中心化是 去中心化的金融 最大的特质,不如说是 去中心化的金融 世界的终极目的。而不论是作为用户、审计机构还是作为项目方,大家经历过这样多的 去中心化的金融 安全事件后,是不是仍然只将注意力聚焦到智能合约上呢?答案不言而喻。

参与 去中心化的金融 项目本质上是把手中的资产转移或授权给 去中心化的金融 项目方,存在个人很大程度上不可控的安全风险。那大家一般用户能干什么?慢雾为你筹备了一份“去中心化的金融 资产安全解决方法”,点击原文即可查阅。

查询更多

我们的缺点麻烦您能提出,谢谢支持!