NEF:DeFi 世界的安全問題頻發，黑客賞金獵人平臺 Immunefi 能夠解決嗎？

作者：老雅痞

三年前，鎖定在DeFi的加密貨幣總價值僅有8億美元。到2021年2月，這個數字已經增長到400億美元；2021年4月，它達到了800億美元的里程碑；而現在，它已經超過2460億美元。這個新興賽道捕捉了資本流動性的價值得到快速增長。

從黑客的角度來看，對defi生態系統的攻擊是一種理想并且快速的致富手段，這里顯然成為了各種黑客和欺詐者的游樂園。CipherTrace在最新的《加密資產犯罪和反洗錢報告》中指出，截至7月底，與DeFi相關的黑客事件已經讓用戶們損失了3.61億美元。他們的主要手法是什么？而我們又該如何應對。

DeFi協議的資金是如何被盜的？

REENTRANCYATTACK(重入攻擊）

一個鮮明的例子是發生在2020年4月19日的DForce黑客事件。

在defi協議上，首先智能合約有以下四個提款步驟：

美國SEC與DeFi貸方區塊鏈信貸合作伙伴達成和解:8月9日，美國證券交易委員會 (SEC) 已經解決了第一起針對加密貨幣行業去中心化金融平臺的案件。根據該機構網站上公布的案件，美國證券交易委員會對 DeFi 貸方區塊鏈信貸合作伙伴提出指控。此外，監管機構還指控該公司的高管 Gregory Keough 和 Derek Acree。據稱，他們進行了欺詐性發行，使用智能合約出售了超過 3000 萬美元的未注冊證券。根據美國證券交易委員會的命令，被告出售了未注冊的產品：mTokens 和 DMG 治理代幣。DeFi 貨幣市場的銷售期為 2020 年 2 月至 2021 年 2 月。 SEC 表示，這家現已解散的公司在沒有向投資者適當披露的情況下出售了代幣。例如，盡管價格波動，但數字資產仍被出售。這導致產生的收入與欠投資者的金額之間不平衡的風險越來越大。這兩名佛羅里達男子既沒有承認也沒有否認有任何不當行為，而是同意和解。（crypto news flash）[2021/8/9 1:44:23]

用戶調用合約，準備從合約中提現所有資金。

無極DEFI去中心化交易所將于10月14日上線:據官方消息，新加坡時間10月14日13點19分，無極DEFI交易所將正式上線WJC/USDT交易對，15日20點上線TJC/USDT交易對。

無極DEFI致力于打造全球Defi生態系統，為用戶提供完備跨鏈的去中心化金融平臺。

據悉，無極Defi推出三幣聯動銜接強通縮機制，助力TJC生態發展；無極DEFI上線即開通去中心化借貸、支付應用。[2020/10/13]

合約檢查用戶在合約中是否有資金。

合約將用戶在合約中的資金發送給用戶。

合約自行更新，用戶在合約中沒有資金。

重入漏洞允許黑客在合約完全執行之前再次調用合約。在上面的例子中，攻擊者可以在第三步和第四步之間重新進入合約，并在用戶余額更新之前再次退出。通過重復這個過程，他們可以從合約中提取所有現有的資金，在一個循環中反復提取資金從而盜取了2500萬美元。

比原鏈高級研究員馬烈：DeFi 和流動性挖礦是兩回事:在9月24日16:00幣贏舉辦的第三期《共識52》AMA活動中，比原鏈高級研究員馬烈表示：雖然我認為流動性挖礦的高收益無法持續，但是我認為 DeFi 會繼續高速發展。

區塊鏈在商業中的一個重要應用就是降低驗證成本。通過 DeFi 協議，比如 Balancer、Melon，可以很低成本管理一個基金，區塊鏈和智能合約本身能夠承擔大量的驗證和管理工作。而在傳統金融中，管理一個基金需要很多中介機構的托管、驗證等，相比之下耗費大量成本。

目前世界上可編程的資產正在變得越來越多，不僅僅包括新的加密資產，還有很多傳統資產、甚至法定貨幣都在變得可編程化。從這些角度去看，DeFi 是有著堅實商業邏輯的。[2020/9/24]

FLASHLOANATTACK

最近，閃電攻擊已經成為最流行的黑客攻擊方法。閃電貸款是一種只在一次區塊鏈交易內有效的貸款，沒有違約風險。它意味著貸款人同意向借款人提供任何金額的貸款，前提是在給定的時間內將該金額歸還貸款人，否則貸款人可以回滾整個交易。黑客規避了貸款機制，這帶來了各種漏洞，如資產價格操縱。?

動態 | DeFi項目鎖倉價值10.9億美元 過去一周環比減少1.38%:據DAppTotal.com DeFi專題頁面數據顯示：截至目前，已統計的30個DeFi項目共計鎖倉資金達10.9億美元，其中EOSREX鎖倉3.66億美元，占比33.52%，排名第一位；Maker鎖倉2.62億美元，占比23.95%，排名第二位；排名第三位的是Edgeware鎖倉2.16億美元，占比19.81%；Compound，Synthetix、dYdX、Nuo等其他DeFi類應用共占比22.72%。截至目前，ETH鎖倉總量達322萬個，占ETH市場總流通量的3%，EOS鎖倉總量達1.03億個，占EOS市場總流通量的10.06%。過去一周，整體而言：1、DeFi保險類項目Nexus Mutual環比增長29.73%，上線三個月以來鎖倉價值為180萬美元；2、已統計DeFi項目鎖倉代幣中，ETH占總鎖倉價值的57%，主要被用于抵押；3、連續三周，DeFi項目整體鎖倉價值均呈現小幅縮減，上周環比減少1.38%。[2019/8/26]

閃電貸款攻擊是對某一平臺的智能合約安全性的濫用，攻擊者通常會借入大量不需要抵押的資金。然后他們在一個交易平臺操縱加密貨幣資產的價格，并迅速在另一個交易平臺轉賣

動態 | DeFi新版本允許協議支持每一筆交易的以太坊資產:據coindesk報道，DeFi最新版本于周四發布，它有許多新功能，包括用戶存款的代幣化，版本2允許協議支持每一筆交易的以太坊資產，同時允許開發人員更容易地在協議之上構建應用程序。[2019/5/23]

智能合約的漏洞

編碼錯誤產生于不小心執行的智能合約安全審計或未檢查的智能合約漏洞和脆弱性。令人遺憾的是，許多區塊鏈項目的創始人決定在測試覆蓋率不足的情況下運行他們的項目，并忽視了安全審計的相關性，這種疏忽導致被攻擊的可能性增加，給投資者帶來損失。?

價格預言機的操縱：代表例子MakerDao

智能合約的執行依賴于價格oracle所提供的準確數據。然而，獲得這些價格數據并不像人們希望的那樣安全和可靠。如果oracle提供不準確的數據，智能合約將導致交易錯誤的執行。這一事實有利于那些試圖操縱價格對自己有利的黑客。操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊，其本質是對預言機進行操控，造成內外價格差并利用閃電貸等新型金融工具從中套利。

應運而生的Defi漏洞賞金平臺

傳統的網站和應用程序Bug賞金平臺，如HackerOne和BugCrowd，在這種舊世界的模式中取得了成功。但現有的"Web2.0"bug賞金和與區塊鏈和加密貨幣相關的"Web3.0"bug新時代之間存在巨大差異。在去中心化金融時代，Web3.0漏洞懸賞的關鍵性質是與實際貨幣價值相關，而不僅僅是軟件漏洞。

什么是Immunefi?

Immunefi于2020年12月推出，通過Bug賞金提供智能合約安全。更重要的是，他們已經宣稱是世界上首屈一指的bug賞金平臺!Immunefi有遏制DeFi黑客攻擊問題的野心。為了實現這一目標，它為區塊鏈項目提供咨詢服務、漏洞檢測、項目管理，以及最重要的是，提供一支白帽黑客的軍隊。Immunefi尋求將DeFi協議與黑客聯系起來，以保護平臺和用戶的資產。

什么是漏洞（Bug)賞金？

漏洞賞金計劃為發現智能合約和應用程序的潛在漏洞的安全研究人員提供獎勵。此外，賞金激勵白帽黑客發現并向項目報告漏洞，而項目則根據漏洞的嚴重程度向他們支付報酬。

傳統bug賞金面臨的困境

經濟激勵

雖然世界上把黑客分為白帽黑客和傳統黑客，但大多數人都在灰色地帶活動。舉個例子：有一個發現了可以快速賺取500萬美元的漏洞的黑客，他自身在巨大的利益面前會陷入道德的困境，他是做正確的事與有bug的平臺談判，以此獲得5千美元的bug賞金？還是他自己對這個bug采取行動？如果沒有一個一致的、公平的白帽子獎勵系統，人性黑暗面的誘惑將永遠存在。

報告

Defi項目通常沒有人負責處理bug賞金事件。因此，如果一個白帽試圖報告一個漏洞，試圖找到決策人。另外，如果CTO收到了來自外部的風險提示，說他們的代碼有缺陷，他們的自尊心很容易占據上風，賞金獵人并不討好。即使發現bug全部過程都被通過適當的渠道報告給公司負責人，也不能保證公司會獎賞。財務部門可能還會與開發團隊對漏洞賞金的價值產生分歧，整個過程可能會陷入一系列的死胡同。

Immunefi的賞金計劃

Immunefi平臺代表他們的白帽子和項目團隊處理/溝通和談判，這大大提高了效率壓縮了雙方的時間成本，Immunefi讓黑客保持匿名，并且不要求提供KYC文件。

Immunefi平臺已經發布一些有利可圖的賞金，其客戶Astroport提供高達300萬美元的獎勵。其他引人注目的賞金來自Celer，價值高達20萬美元，xDAI高達200萬美元，Sushi發布的125萬美元賞金。

Immunefi目前有7100萬美元的懸賞金，它想把獵取bug的工作從一種愛好變成一種可行的職業。到目前為止，該平臺已經支付了1000多萬美元，為客戶避免了200億美元的資金受到損失。

如何啟動賞金計劃？

在客戶填寫了Immunefibug賞金登記表后，他們會收到一份調查問卷

Immunefi開始根據這些問題的答案起草一份bug賞金計劃，該草案之后會被發送給客戶進行審查，修改完成后，該程序將被移交給Immunefi的運營專家。運營專家與項目團隊合作，確定賞金活動的啟動時間和賞金的公關/營銷細節以及費用和支付如何進行。

在Immunefi上發布一個bug賞金不需要預付費用。當黑客發現真正的漏洞時，客戶只需在bug賞金的基礎上向Immunefi支付10%的績效費用。

由于defi領域的快速發展，隨之而來的安全問題使大多數平臺和用戶資金受到損失，這也許可以解釋為什么Immunefi，DeFi的新興bug賞金和安全服務平臺之一能夠迅速捕捉價值，目前已經融資了550萬美元的資金，由ElectricCapital領投，參與的還有BlueprintForest、FrameworkVentures、BitscaleCapital、P2PCapital、IDEOColab、TheLAO、BRCapital、3rdPrimeVentures、NorthIslandVentures和其他個人投資者。

Amador在接受TechCrunch采訪時補充說："現實情況是，Web3是一個對抗性更強的環境，這意味著漏洞賞金過程的每個部分都與以前不同，從報告的提交和處理，到報告的驗證，再到支付的談判都是如此。傳統的Web2bug賞金是一種方便的錯誤修復工具，而我們的Web3bug賞金則是DeFi項目的一個更為關鍵的應急系統。

隨著DeFi生態積木不斷豐富壯大，安全問題一直是高懸在頭頂上的達摩克里斯之劍，DeFi被黑客攻擊的事件仍然不會停止，未來還會繼續發生，這一點無需贅述。

Tags：EFIDEFIDEFNEFPi Network DeFiDeFi Coin BonusPhoenixDefiSwapONEF價格

POL幣最新價格