作者:Andrew Zola / Unchained
区块链使 DeFi 成为可能。事实上,区块链应该是安全的,那为何这样多的 DeFi 平台和应用程序一直遭到黑客攻击?
加密情报公司 CipherTrace 在 2022 年年初发布的一份报告显示,去中心化金融 (DeFi) 占所有加密黑客攻击的 75% 以上。除此之外,在所有主要加密欺诈案件中,发生在 DeFi 范围的占比达到 54%,高于 2022 年的 3%。
第一,啥是区块链?
区块链是存储不同数据种类的分布式共享账本。比如,大家可以用区块链来记录非同质代币 (NFT) 的所有权,当然还有数字货币买卖。
尽管传统数据库可以轻松存储相同的信息,但区块链的独特之处在于没集中的权限。它从来不会由中心化管理员在一个地方进行维护,比如 Excel 电子表格,一个人可以在没监督的状况下进行更改。
相反,区块链数据库的多个相同副本存在于互联网上的多台计算机或节点上。要在“链”中添加另一个“块”并将底层买卖记录在分布式账本中,需要达成协议。
大部分节点需要在将新数据块添加到分类帐之前验证新数据的合法性。因此,理论上,其他人都几乎不可能进行欺诈买卖。这是由于威胁者需要侵入每一个节点并更改分类帐的每一个副本以防止被发现。
虽然这可能不是不可能的,但这对黑客来讲是一个巨大的挑战。除此之外,当你将一层权益证明 (PoS) 或工作量证明 (PoW) 买卖验证办法添加到组合中时,欺骗系统变得极其困难。
POS(在 ALGO币、柚子币 和 XTZ 中非常时尚)用随机选择的矿工来验证买卖。其次,POW 用角逐验证办法来确认买卖。一旦买卖被确认,一个新的区块将被添加到区块链中。
因此,去中心化的公共区块链可以高度安全,由于互联网上的每一个人都需要验证买卖是不是合法实行。那样,为何加密黑客频频成为头条新闻?问题的答案在于跨链桥。
啥是跨链桥?
跨链桥连接两个不一样的区块链,并允许用户在没任何中介或中央授权的状况下从一个区块链发送、接收或交换数字货币,比如数字货币。
虽然这听起来非常简单,但事实并不是这样。跨链桥不像USD兑换欧元(这非常简单),一个易理解的类比是:试图将你银行竞价推广账户中的航空里程兑换成USD。
区块链桥的存在是为了在高 Gas 费或买卖成本、迅速买卖、改变隐私、优化实用程序与通过互操作性增强客户体验时为用户提供选择。
它还为用户提供选择自由并鼓励公平角逐。假如一个互联网比另一个互联网更快或更实惠,你可以以更低的本钱容易地切换和移动数字资产。因此,跨链构成了 CAKE 等平台的基础,用户可以在其中迅速“交换”ETH (以太币) 等数字货币为 币安 (BNB)。
然而,跨链桥(和侧链桥)有时可以颠覆 DeFi 的整个定义。大部分跨链桥依靠于各种外部验证器(比如:包装版代币或第三方推广托管,它们可能不是去中心化且免信赖的)和中心化网盟来促成资产转移。
是什么让跨链桥易受攻击?
跨链网带来了重大的安全风险,因为连接了由不同实体开发的多个链,需要在更广泛的互联网中有效地防范攻击。
从本质上讲,这使黑客通过容易地将代币从一条链移动到另一条链来窃取资金成为可能。除此之外,DeFi 平台是犯罪攻击的理想目的,由于它提供了迅速的回报、隐私和匿名性,而且执法方面(仍然)相对较落后。
然而,大家不能不处置这样多的安全漏洞(如 MultiChain、Poly Network、Thorchain 和 Wormhole),缘由归结为开创者没认真对待安全性并且没发现错误。比如,从 以太币 到 BNB 的交换需要ETH、币安 和跨链桥中的交换加盟, 以太币 和 BNB 可能是安全的,但假如桥接加盟是薄弱环节,这也无济于事。
当推广托管人通过未经测试的安全实践和设计不好的的系统来保护数百万甚至数十亿USD时,至少可以说,保护用户资金是一项挑战。
Wormhole 桥攻击
Wormhole 跨链桥攻击是有史以来第二大加密黑客攻击,致使损失超越 3 亿USD(或 120,000 以太币),如何发生的?
Wormhole 允许用户在 AVAX、币安 Smart Chain、以太坊、Polygon、SOL 和 LUNA 等链上桥接资产。因此,用户可以在区块链之间转移资产,并且桥通过锁定买卖并将包装版本(比如 w以太币)铸造到最后链来达成转移。
SOL 的软件功能不是最新的。一些黑客发现并借助了这种容易防止的技术疏忽。比如,威胁者可以通过在指令中注入恶意的“sysvar 帐户”来避免“验证签名”过程。结果,他们可以破坏这个跨链协议,由于它未能验证所有“验证者帐户”,从而使攻击者可以欺骗验证者签名并凭空铸造多达 120,000 以太币。
在这样的情况下,跨链违规的根本缘由是“验证签名”过程,由于合约有一个过时的功能,没办法验证 sysvar 帐户的合法性。这类漏洞提醒大家,DeFi 仍处于起步阶段,这类项目本质上是实验。
在Wormhole 桥攻击之后大家可以信赖 DeFi 吗?虽然大家不可以 100% 完全信赖任何技术,但伴随 DeFi 的进步和成熟,黑客欺骗节点或使其离线将变得愈加困难。这是由于加密技术只有在每一个问题的解决方法和每次迭代中都会变得更好。
加密用户怎么样保护自己?
伴随数字货币成为主流,互联网犯罪也变得愈加时尚。为了提升区块链安全性并加大跨链环境,加密小白和老手都需要严格遵循最好实践来减少风险。
进行尽职调查
进行研究至关要紧。知道区块链开发团队是不是拥有积极透明的营业额记录。假如过去的 DeFi 项目有过安全事件的历史,那样他们可能在内部发布过程中存在问题。
查找这类信息并不容易。你需要深入研究加密世界并研究参与项目的每一个人与可能影响预期结果的所有有关原因。
选择由白帽黑客“审计”的协议
确保他们与已打造的白帽黑客服务合作,以辨别和纠正潜在的跨链漏洞。假如团队未能充分解决内部风险和潜在漏洞,你可以期待威胁行为者对其进行“磨练”。
你可以通过遵循协议的通知并与黑客追踪服务提供商(如 Zokyo 和 Trail of Bit)维持联系来找到此信息。白帽黑客天天都在使 web3 变得更好、更安全。通过吸引白帽黑客,DeFi 平台还可以鼓励互联网内的共识和协议以提升安全性。
查询锁仓总价值(TVL)
查询协议中锁定了多少数字货币(或存放和锁定的加密货币的总价值)。假如 TVL 加起来高达数十亿USD,并且协议已经活跃了很久,那样安全风险可能相对较低。但与平常一样,要格外小心。
随时知道最新消息
大家都知道,加密世界会在一夜之间发生变化。因此,跟上包含区块链安全事件在内的最新进步至关要紧。跟踪开创者正在干什么,与他们是不是仍在积极为项目做出贡献。假如团队已经“跑路”,你需要依据你的发现重新拟定方案。
区块链安全天天都在变好,DeFi 将继续存在
区块链本身是高度安全的,但在多个区块链之间的互操作中或许会出现漏洞。虽然跨链桥一定会带来很多安全挑战,但它们对于互操作性、可扩展性和增强客户体验至关要紧。
因为 DeFi 范围仍处于起步阶段,伴随每次安全事件的发生,整个生态系统都在变得愈加好。大家可以从每起加密黑客事件中学习,让DeFi空间愈加安全和隐私。
尽管安全事件过去发生过,而且以后一定会发生,但DeFi 团队都要化被动为主动,永远将智能合约的安全性放在第一位,让自己离得远远的头条新闻。唯有不断进步的安全性,才能稳定 DeFi 在行业中的强大地位。
编译及整理:比推 Mary Liu