DeFi——去中心化金融,不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi利用了區塊鏈的技術,逐漸發展出有別于傳統金融的金融商品,瘋狂受到追捧。根據DeFiPulse的數據,DeFi鎖倉量已飆升了200%以上,從2021年1月份的$320億到12月份的$980億。DeFi作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。
不過,DeFi真的足夠「去中心化」嗎?
從協議層面以及交互方式來看,DeFi的確足夠去中心化。但從一些攻擊事件上看,DeFi似乎顯得不那么去中心化。
?
DeFi項目SynLev(XYN)疑為退出騙局,XYN代幣24H跌幅達85.5%:推特網友Sisyphus表示,DeFi項目SynLev(XYN)是退出騙局。Sisyphus稱其幾周前巨虧出售。YFI對的流動性被撤出,開發者刪除了推特。該推特被Sushiswap聯合創始人0xMaki喜歡。
CoinGecko數據顯示,SYN 24H跌幅達85.5%。
SynLev(XYN)官方推特介紹表示,SynLev是建立在以太坊上的合成杠桿代幣。[2021/3/13 18:42:29]
2021年7月14日,波卡數字收藏品市場平臺BondlyFinance遭到攻擊,導致373,088,023美元的BONDLY代幣從BondlyStakingRewards合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬于Bondly首席執行官BrandonSmith的密碼帳戶的訪問權限。密碼帳戶包含Smith的硬件錢包的助記符恢復短語,復制后允許攻擊者訪問BONDLY智能合約,以及被泄露的公司錢包。
幣贏CoinW平臺DeFi幣種 UNII領漲:據幣贏行情數據顯示,截止今日10:00(GMT+8),平臺內DeFi幣種今日UNII領漲,今日漲幅為28.56%,現價0.0016USDT;KEN今日漲幅15.87%,現價2.7308USDT;ACH今日漲幅12.54%,現價0.0118USDT;YMI今日漲幅為12.34%,現價18.1843USDT。風險提示:近期行情波動較大,請注意控制風險[2020/10/20]
有趣的是,該黑客似乎在四個月后又以相似的方式攻擊了另一個DeFi項目。
2021年11月5日,DeFi協議bZx發推稱控制Polygon和BSC部署的私鑰已被泄露,導致資金損失。據官方調查,黑客使用的錢包之一參與了BondlyFinance的攻擊。同時,本次漏洞利用與BondlyFinance的非常相似:黑客獲得了開發人員的密碼,然后從協議中操縱了一個智能合約。不久,bZx在更新的事故報告表示:“我們聘請了一家名叫Kaspersky的安全公司,該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織Lazarus執行的。”據慢霧AML旗下反洗錢追蹤系統MistTrack?分析,攻擊者初始資金來自Tornado.Cash轉入的0.9ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為ETH,最后通過Tornado.Cash轉出10960ETH,以太坊部分的洗幣基本完成。
幣信發布流動性挖礦、DeFi交易所及Starcoin公鏈生態產品:據官方消息,幣信9月27日于北京舉辦DeFi生態產品發布會,流動性挖礦,幣信DeFi交易所,以及幣信生態內Starcoin公鏈。流動性挖礦所獲得收益可在幣信DeFi交易所直接賣出,據悉,幣信后續還會完善交易所體系,滿足用戶更多的交易需求。此外,幣信生態內Starcoin公鏈首次亮相,預計在2020年11至12月上線,在2021年第一季度啟動生態建設,并在2021年第三季度支持跨鏈和DeFi二層網絡。[2020/9/27]
FTX創始人SBF:流動性挖礦催生的泡沫讓DeFi正面臨生死抉擇:7月20日,加密衍生品交易平臺FTX創始人Sam Bankman Fried在推特發表長文,闡述對于當前DeFi熱的一些看法時表示,目前DeFi行業正處于一種泡沫之中,所謂的交易量突飛猛進其實也只是另一種去中心化交易平臺的刷量,這樣的情況十分危險,會將DeFi推向一個生死存亡的境地。如何讓泡沫緩慢落地,解決問題是目前人們需要擔心的事情。[2020/7/20]
以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期,私鑰泄露似乎變得非常熱門:Levyathan損失150萬美元、8ightFinance損失175萬美元、VulcanForged損失1.4億美元……我們不禁想,這是不是表示著線下實體實際掌管著控制權呢?
除了釣魚攻擊,前端攻擊也是引發DeFi安全問題的高危據點。
2021年12月2日,據官方Discord消息,去中心化組織BadgerDAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。12月9日,Badger?發布了詳細的事故報告,報告稱此次事件是CloudflareWorkers上的惡意注入代碼片段導致的。CloudflareWorkers是一個運行腳本的界面,這些腳本在流經Cloudflare代理時對Web流量進行操作和更改。攻擊者在Badger工程師不知情或未授權的情況下獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權給攻擊者,然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML旗下反洗錢追蹤系統MistTrack分析,黑客將部分獲利的加密貨幣換成renBTC,并通過renBTC將約2100BTC跨鏈轉移到14個BTC地址,目前暫無異動。
在DeFi世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。
2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平臺Miso的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso前端,把拍賣錢包地址替換成了自己的錢包地址,導致864.8ETH被盜。
當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與DeFi項目,簡直如履薄冰。
總結
不管怎樣,“DeFi是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi最大的特性,不如說是DeFi世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的DeFi安全事件后,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。
萬向區塊鏈蜂巢研習社重磅推出“構建更好的Web3”系列活動,邀請Web3及相關科技領域的資深從業者、研究愛好者,通過4期討論探討Web3的宏偉版圖和潛力賽道.
1900/1/1 0:00:00文章作者:JoshStark&EvanVanNess文章翻譯:Blockunicorn原標題:《以太坊的2021年》 以太坊是數字文明的基礎 它是堅固、安全和可靠的.
1900/1/1 0:00:00據CoinDesk12月30日消息,時代廣場一號的所有者Jamestown正在Decentraland重建這座26層的大樓.
1900/1/1 0:00:00Meta首席執行官扎克伯格承諾,在未來十年內,每年將向元宇宙投入100億美元。面對如此巨大的投入,Meta將如何從元宇宙中賺錢?為了找到答案,英國《金融時報》最近查閱了Meta向美國專利和商標局.
1900/1/1 0:00:00作者|Amelie 編輯?|趙健 來源:甲子光年 你知道什么是ConstitutionDAO嗎?你聽說過AxieInfinity、ChainRoblox嗎?或許你對這些英文單詞還比較陌生.
1900/1/1 0:00:00在新一輪產業革命與技術革命的推動下,區塊鏈等數字新技術日新月異,對能源電力行業來說,數字革命與能源革命融合催生新業態機遇與挑戰,行業低碳化、數字化、去中心化轉型加速;但另一方面.
1900/1/1 0:00:00