DeFi协议的资金是如何被盗的?(附案例分析)

十年前,锁定在DeFi的加密本币单价值仅有8亿欧元。到2021年2月,这个数字早已下降到400亿欧元;2021年4月,它达到了800亿澳元的里程碑;而今天,它早已超出2460亿澳元。这个新兴赛道捕获了资本流动性的价值得到迅速下降。从黑客的视角来看,对defi生态系统的防御是一种理想而且迅速的致富方式,这儿虽然成为了各类黑客和诈骗者的游乐园。在最新的《加密资产犯罪和反逃税报告》中指出,截止7月末,与DeFi相关的黑客丑闻早已让用户们损失了3.61亿港元。它们的主要手法是哪些?而我们又该怎么规避。

DeFi合同的资金是怎样失窃的?

(重入防御)

一个鲜明的实例是发生在2020年4月19日的黑客丑闻。

在defi合同上,首先智能合约有以下四个取款方法:

1.用户读取合约,打算从合约中提现所有资金。

2.合约检测用户在合约中是否有资金。

3.合约将用户在合约中的资金发写给用户。

4.合约自行更新,用户在合约中没有资金。

重入漏洞容许黑客在合约完全执行之前重新读取合约(“重入”)。在前面的实例中,防御者可以在第三步和第四步之间再次踏入合约,并在用户余额更新之前再度退出。通过重复这个过程,它们可以从合约中提取所有现有的资金,在一个循环中反复提取资金以便窃取了2500万欧元。

FLASHLOAN(闪电贷防御)

近期,闪电防御早已成为最流行的黑客防御方式。闪电借贷是一种只在一次区块链交易内有效的借贷悬赏平台,没有毁约风险。它意味着借贷人同意向借贷人提供任何总额的借贷,前提是在给定的时间内将该总额归还借贷人,否则借贷人可以回滚整个交易。黑客避免了借贷模式,这带给了各类漏洞,如资产售价操纵。

闪电借贷防御是对某一平台的智能合约安全性的滥用,防御者一般会借入大量不须要抵押的资金。之后她们在一个交易所操纵加密本币资产的售价悬赏平台,并快速在另一个交易所出售

智能合约的漏洞

编码错误形成于不留神执行的智能合约安全审计或未检测的智能合约漏洞和脆弱性。令人遗憾的是,许多区块链项目的创始人决定在检测覆盖率不足的状况下运行它们的项目,并忽略了安全审计的相关性,这些疏失造成被防御的或许性降低,给投资者带给损失。

售价预言机()的操纵:代表事例MakerDao

智能合约的执行依赖于售价所提供的确切数据。因此,荣获很多售价数据并不像人们希望的这样安全和牢靠。假如提供不精确的数据,智能合约将造成交易错误的执行。这一事实有促使这些企图操纵价钱对自己有利的黑客。操控预言机所依赖的信息源进行短时间的价钱操纵以签署欺骗链上售价是典型的预言机防御,其本质是对预言机进行操控,导致内外售价差并运用闪电贷等新型金融工具从中套利。

应运而生的Defi漏洞赏金平台

传统的网站和应用程序Bug赏金平台,如和,在这些旧世界的方式中取得了成功。但现有的"Web2.0"bug赏金和与区块链和加密本币相关的"Web3.0"bug新时代之间存在很大差距。在去中心化金融(DeFi)时代,Web3.0漏洞悬赏的关键性质是与实际本币价值相关,而不只是是硬件漏洞。

哪些是?

于2020年12月推出,通过Bug赏金提供智能合约安全。更重要的是,它们早已声称是世界上首屈一指的bug赏金平台!有遏止DeFi黑客防御问题的野心。为了实现这一目标,它为区块链项目提供咨询服务、漏洞测试、项目管理,以及最重要的是,提供一支白帽黑客的部队。寻找将DeFi合同与黑客联系上去,以保护平台和用户的资产。

哪些是漏洞(Bug)赏金?

正规的悬赏任务平台_财产线索悬赏平台_悬赏平台

漏洞赏金计划为发觉智能合约和应用程序的潜在漏洞的安全研究人员提供奖励。之外,赏金激励白帽黑客发觉并向项目报告漏洞,而项目则依照漏洞的严重程度向她们支付酬金。

传统bug赏金面临的窘境

1.经济激励

但是世界上把黑客分为白帽黑客和传统黑客,但大多数人都在红色地带活动。举个实例:有一个发觉了可以迅速攫取500万港元的漏洞的黑客,他自身在很大的利益面前会深陷道德的窘境,他是做正确的事与有bug的平台磋商,借此荣获5千港元的bug赏金?还是他自己对这个bug采取行动?假如没有一个一致的、公平的白围巾奖励系统,人性幽暗面的挑逗将永远存在。

2.报告

Defi项目一般没有人负责处理bug赏金风波。因而,假如一个白帽企图报告一个漏洞,企图找到决策人。另外,假如CTO收到了来自外部的风险提示,说她们的代码有缺陷,它们的自尊心很容易居于上风,赏金猎人并不责怪。虽然发觉bug全部过程都被通过适当的渠道报告给公司负责人,也不能保证公司会奖赏。财务部委或许还能与开发团队对漏洞赏金的价值形成分歧,整个过程或许会深陷一系列的死西街。

的赏金计划

平台代表它们的白围巾和项目团队处理/勾通和磋商,这大大增加了效率压缩了双方的时间费用,让黑客保持匿名,使得不要求提供KYC文件。

平台早已公布一些有利可图的赏金,其顾客提供高达300万港元的奖励。其他引人注目的赏金来自Celer,价值高达20万港元,xDAI高达200万港元,Sushi公布的125万欧元赏金。

现在有7100万港元的悬赏金,它想把猎获bug的工作从一种爱好弄成一种可行的职业。到现在为止,该平台早已支付了1000多万港元,为顾客避开了200亿欧元的资金遭到损失。

怎么启动赏金计划?

在顾客填写了bug赏金登记表后,它们会收到一份调查问卷

开始按照这种问题的答案制定一份bug赏金计划,该草案后来会被发送给顾客进行初审,更改完成后,该程序将被移送给的营运学者。营运学者与项目团队合作,确定赏金活动的启动时间和赏金的公关/营销细节以及成本和支付怎样进行。

在上公布一个bug赏金不须要预付费用。当黑客发觉真正的漏洞时,顾客只需在bug赏金的基础上向支付10%的绩效成本。

因为defi领域的迅速发展,逐渐而至的安全问题使大多数平台和用户资金遭到损失,这也许可以解释为何,DeFi的新兴bug赏金和安全服务平台之一才能快速捕获价值,现在早已融资了550万港元的资金,由领投,参与的也有、、、P2P、IDEOColab、TheLAO、BR、3rdPrime、North和其他个人投资者。

在接受专访时补充说:"现实状况是,Web3是一个对抗性更强的环境,这意味着漏洞赏金过程的每位部份都与先前不同,从报告的递交和处理,到报告的验证,再到支付的磋商都是这么。传统的Web2bug赏金是一种便于的错误修补工具,而我们的Web3bug赏金则是DeFi项目的一个更为关键的应急系统。

随着DeFi生态拼插不断丰富壮大,安全问题仍然是高悬在前额上的达摩克里斯之剑,DeFi被黑客防御的丑闻依旧不会停止,未来就会继续发生,这一点无需赘言。

参考文献来源

1.

2.

3.

4.

5.

6.

7.

标签: 区块链 黑客

  • 评论列表 (0)

留言评论