DEF:區塊鏈十大攻擊方式系列二：DeFi 黑客攻擊 真是防不勝防

歡迎來到成都鏈安策劃的『區塊鏈10大攻擊方式』系列文章。上周分享了區塊鏈十大攻擊方式系列——51%攻擊，大家看的還過癮嗎？

閑話少說，今天，我們開啟系列文章第二篇——DeFi黑客攻擊，繼續為大家講解區塊鏈安全生態領域的那些攻擊套路、漏洞。

01?-?什么是DeFi？黑客為何偏愛攻擊DeFi項目？

區塊鏈技術的誕生，為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破。其中「去中心化金融」便是這兩年最為火熱的應用之一。

DeFi是去中心化金融DecentralizedFinance的縮寫，它指的是基于區塊鏈的金融服務體系。

動態 | 合肥成立全國首個量子計算產業 聯盟集結區塊鏈等多行業成員:近日，全國首個量子計算產業聯盟本源量子計算產業聯盟OQIA在合肥高新區正式揭牌。會上還發布了合肥高新區支持量子信息產業發展若干政策措施，政策從人才引進、動力培育、應用打造、資本支持四個方面扶持產業發展，打造量子信息技術創新創業高地。本源量子計算產業聯盟OQIA依托國內第一家以量子計算機的研制、開發和應用為主營業務的初創型公司本源量子，集結計算科技、機器學習、區塊鏈、人工智能、低溫制冷、信號處理、生物醫藥等多行業成員。[2019/12/16]

和現在的金融體系不同，用戶的資金不會存放在第三方的金融機構中，而是通過各種智能合約去實現協議和信任，如此可以最大程度地減少風險。它是一個完整的開源生態系統，提供貸款、交易、資產管理和支付等金融服務。

聲音 | 北郵教授宮云戰：我國區塊鏈品牌軟件很少:金色財經現場報道，由中國高科技產業化研究區塊鏈產業聯盟主辦的第二屆中國高科技產業化高峰會議區塊鏈+追溯與品牌應用論壇暨質庫追溯與品牌數據存證中心成立儀式于11月26日在廣州黃埔舉行，北京郵電大學教授，網絡服務基礎研究中心主任，CCF容錯計算專業委員會常務委員，中國科學院計算技術研究所兼職研究員、聯盟專家委員會主任宮云戰發表“打造品牌區塊鏈軟件”主題演講，他表示，我國區塊鏈品牌軟件很少。2018年，全國軟件和信息技術服務業規模以上企業3.78萬家，軟件業務收入63061億元，軟件產品110多萬件，從業人員超過600萬。占GDP7%左右。我國軟件產業打不、也不強。中國軟件產業規模大概占全球5%左右，低于歐盟、日本，而美國的軟件產業則占全球的25.6%。國產的基礎軟件（操作系統、數據庫、中間件、辦公軟件）市場占比小于10%。關鍵領域的核心軟件如EDA、飛控軟件、核電軟件等仍需要進口。區塊鏈是軟件，是眾多技術的集合體，是底層代碼測試。如今區塊鏈問題的關鍵是品牌軟件。區塊鏈在功能、性能、安全、可靠方面進行測試。區塊鏈是繼互聯網之后打造的幾十萬億的甚至更大的產業。[2019/11/26]

公告 | 榕基軟件：公司已在區塊鏈應用探索與創新上開展了相關工作:據新浪網消息消息，榕基軟件（002474.SZ）官方表示，公司已在區塊鏈應用探索與創新上開展了相關工作，聚焦于公司傳統優勢業務領域，為政務服務（大數據、證照）、智慧口岸（海關）、信用體系（河南省公共信用信息平臺）、能源管理（智能電網）等開展應用創新業務儲備。[2019/10/27]

DeFi攻擊事件頻發，最主要的原因還是其累計了巨額的資產。面對巨大的誘惑，黑客必然會想方設法去攻擊。比如跨鏈項目不僅僅是鏈上智能合約，還有鏈下的代碼，無論哪一部分出現了問題，都會被黑客所利用。

02?-?DeFi涉及到的安全問題都有哪些？

2022年第一季度，區塊鏈領域共發生典型安全事件超過30起。總損失金額超12億美元，與去年同期相比增長了823%。

聲音 | 張俊勇：區塊鏈技術會讓粵港澳大灣區在區域協作方面更加標準化和規范化:據財富投資網報道，在香港區塊鏈協會2019新春峰會上，港區全國人大代表、香港區塊鏈協會榮譽主席張俊勇則表示，區塊鏈技術會讓粵港澳大灣區在區域協作方面更加標準化和規范化。香港港交所資深副總裁周曉殷在談到傳統金融和區塊鏈技術的融合時表示，不但要跟內地的朋友合作，而且要通力合作，港交所也將與區塊鏈公司合作，提升交易所的清算系統。[2019/2/25]

數據顯示，DeFi項目仍為黑客攻擊的重點領域，其中主要涉及到的安全問題包括：閃電貸攻擊、私鑰泄露、智能合約重入攻擊、Rugpull等等。

動態 | GOLDWAY EDU擬在馬來西亞成立區塊鏈應用合營企業:據格隆匯消息，金匯教育集團GOLDWAY EDU(08160.HK)宣布，2018年11月19日，該公司全資附屬DKG Ed與DKG Hub訂立馬來西亞合營企業諒解備忘錄，并有意于馬來西亞注冊成立及登記或促成將注冊成立及登記馬來西亞合營企業為私人有限責任公司。該馬來西亞合營企業擬從事開發及提供標記化服務以及發展其他區塊鏈應用。[2018/11/19]

閃電貸攻擊

閃電貸就是在一筆鏈上交易中完成借款和還款，無需抵押。由于一筆鏈上交易可以包含多種操作，使得攻擊者可以在借款和還款間加入其它鏈上操作，以極低的成本撬動巨額資金，結合其他漏洞進行套利、價格操縱等攻擊。

比如2022年4月17日，算法穩定幣項目BeanstalkFarms遭黑客攻擊，黑客獲利近8000萬美元，黑客通過閃電貸換取了350,000,000個DAI，500,000,000個USDC，150,000,000個USDT，32,100,950個BEAN和11,643,065個LUSD作為資金儲備，再利用惡意提案，導致本次攻擊的發生。

詳細分析可點擊此處閱讀：黑客獲利近8000萬美元，惡意提案如何防范？BeanstalkFarms被攻擊事件分析

私鑰泄露：

項目方由于遭受社會工程學或傳統網絡安全攻擊，導致私鑰泄露，從而項目方地址權限被盜取，從而攻擊者可進行轉賬、提取等任意操作。

比如在2022年2月10日，DeFi應用DegoFinance遭到黑客攻擊，成都鏈安安術團隊進行分析時發現本次攻擊由于項目方私鑰泄露，黑客利用私鑰提取了多個鏈上的資產。

詳細分析可點擊此處閱讀：被盜約1700萬美元，DeFi世界的樂高DegoFinance就這樣“塌了”嗎？

智能合約重入攻擊：

在存在外部合約調用的項目中，如果外部合約調用發生在賬本更新之前，且外部合約調用可以被用戶控制，那么該項目可能存在重入風險。在項目未做重入防范的情況下，惡意的攻擊者可以通過重入攻擊威脅項目資金安全。

比如在2022年3月31日，OlaFinance遭遇智能合約重入攻擊，損失約為467萬美元。

詳細分析可點擊此處閱讀：約467萬美元的損失！OlaFinance被攻擊事件簡析

Rugpull：

“RugPull”是指項目方撤出支持、DEX流動性池或突然放棄一個項目，毫無征兆地就卷走投資者的資金。這是一個DeFi領域典型的退出騙局。

從黑客的角度來看，對區塊鏈生態系統的攻擊是一種理想的手段。因為這些系統是匿名的，而且行業暫時缺乏技術監管，這使得網絡犯罪分子可以通過攻擊安全性較低的DeFi項目或實施RugPull來獲取金錢收益。

03?-?如何避免被黑客攻擊？

經成都鏈安安全團隊梳理和總結，2022年第一季度的安全事件中，盡管70%的被攻擊項目經過了第三方安全公司的審計，但是30%未審計的項目，其被攻擊之后的損失金額也達到了7.2億美元，占第一季度總損失金額的60%。

可見?DeFi?項目上線之前的審計依舊重要。在我們研究之后，發現在未審計的項目中，50%的攻擊手法都為合約漏洞利用。因此，盡早審計和及時修復代碼漏洞，可以避免上線后項目被攻擊造成的嚴重損失。

DeFi為許多機會打開了大門，特別是對于那些熱衷于推動加密市場向前發展同時保持資金流動的去中心化模塊的投資者和開發商。由于DeFi熱潮的興起，該領域也自然成為了黑客“大展拳腳”的重點對象。

安全性仍然是DeFi生態系統面臨的重大挑戰，因此DeFi項目方應做好前置預防工作，引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案，完善安全防護機制。作為用戶，在選擇項目時，應留意該項目是否經過安全審計，切不可掉以輕心。

Tags：區塊鏈DEFDEFIEFI區塊鏈存證平臺法院DeFinerWDEFILibre DeFi

火幣APP