去中心化金融(DeFi)协议为用户提供去中心化的金融服务,允许用户进行交易并与其他参与者达成协议。尽管 DeFi 协议旨在为用户提供安全可靠的平台,但过去几年发生的几起漏洞事件已造成重大资金损失。本文将探讨近期发生的一些影响最为深远的 DeFi 漏洞事件。.
以下是扣除追回资金后,Web3 平台上排名前 8 的加密货币 DeFi 漏洞:
浪人链——6亿美元
2023 年 3 月对于加密货币领域来说是多事之秋,其中 Axie Infinity Ronin 桥被黑客攻击事件位居榜首,损失金额高达 6.12 亿美元。.
Ronin bridge 是 Ethereum 侧链,用于热门的边玩边赚游戏 Axie Infinity。.
据信与朝鲜有关联的网络犯罪团伙 Lazarus 成功获取了九名交易验证者的私钥,从而批准了两笔大额交易并将资金从其钱包地址转移出去。幸运的是,在黑客将资金 trac到 Tornado cash (一款开源加密货币混币器)和其他交易所后,执法部门、安全公司和加密货币交易所通力合作,最终追回了部分资金。.
虫洞桥——3.23亿美元
2022 年 2 月,发生了一起不幸的dent ,加密货币黑客利用虫洞代码窃取了价值 3.26 亿美元的加密货币。.
虫洞是 Solana 和 Ethereum之间的一座代币桥,但不幸的是,它未能阻止此次攻击。攻击的起因是使用了已弃用/失效的不安全函数,该函数绕过了签名验证,并启用了签名委托链。.
网络安全专家指出,如果开发人员遵循“安全编码实践”(即检查所有参数),就可以避免此次攻击。这种检查可以确保有效地址的身份验证,从而阻止非法来源访问链上的资产。.
豆茎——1.81亿美元
在2022年4月一个灾难性的周末,一名黑客发动了一场震惊加密货币社区的攻击。他们利用去中心化金融(DeFi)协议的一项功能——闪电贷,从Beanstalk稳定币协议中窃取了价值1.82亿美元的以太坊(ETH)、BEAN稳定币和其他资产。.
黑客通过Beanstalk DAO的紧急提交功能提交了两项恶意提案。该功能要求提案在24小时后获得三分之二的投票通过才能实施。攻击者利用闪电贷技术获取了79%的代币控制权,从而使两项提案得以通过并成功实施了他们的计划。.
这笔资金通过协议内部转账用于偿还闪电贷,剩余款项则存入一个与乌克兰紧急基金相关的地址。总计,这名实施这一“勇敢”行为的个人已挪用高达7600万美元。.
Nomad——1.55亿美元
2022 年 8 月 1 日,Nomad 桥被黑客攻击,这一令人费解的事件成为头条新闻。攻击者利用漏洞窃取了存储在多链交叉桥中价值超过 1.9 亿美元的 Ethereum资产,震惊了许多区块链爱好者。.
黑客行动迅速而猛烈,数百个钱包参与了 960 笔交易,导致桥接总锁定价值 ( TVL ) 中 1175 笔个人提款。所有这一切都发生在短短几个小时内。
这次黑客攻击令人费解的一点是,所有用户只需复制粘贴原始黑客的交易调用数据,将原始地址替换为个人地址,即可完成桥牌资金的攻击。.
此次黑客攻击在去中心化金融(DeFi)社区引发了巨大震动,再次证明黑客在利用代码漏洞方面始终领先一步。Nomad Bridge 就是一个典型的例子,它凸显了安全编码实践的重要性,并再次强调了安全为何至今仍是区块链项目面临的一项持续挑战。.
CREAM Finance – 1.308亿美元
尽管2021年10月对CREAM的攻击是规模最大的闪电贷诈骗案之一,但这绝非孤立dent。闪电贷攻击是指利用“闪电贷”获取流动性,进行借款,然后在同一笔交易中违约。.
通过利用价格计算错误,黑客可以迅速从借贷中获利。例如,在 CREAM 项目中,两个不同的地址通过其 yUSDVault 系统进行交互,铸造了大量 crYUSD 代币。他们利用了一个漏洞,使这些代币的价值翻了一番。虽然他们成功获取了价值 1.3 亿美元的资金,但约 10 亿美元的可用抵押品足以弥补这部分损失。.
闪电贷攻击日益猖獗,社区应该思考如何防止未来发生更多安全漏洞。.
BSC代币中心——1.27亿美元
2022 年 10 月,黑客利用 BSC Beacon 跨桥代码中的一个严重漏洞,窃取了价值 5.7 亿美元的加密资产。.
BSc Beacon 链,也称为 Token Hub,是连接 BNB Beacon 链 (BEP2) 和 BNB 链 (BEP20/BSC) 的跨链桥。.
黑客伪造了名为默克尔证明的加密证明,该证明原本用于验证交易等数据的有效性。随后,他们利用这些伪造的默克尔证明将资金从BSC Beacon跨链转移到其他区块链。.
Tether 将攻击者的地址列入黑名单后,立即采取了行动,冻结了从 BNB 链转移的 700 多万美元,没收了他们的大部分非法所得。.
Harmony Horizon – 1亿美元
2022 年 6 月,Harmony Horizon Bridge 项目遭到黑客攻击,黑客窃取了其五个验证者私钥中的两个,导致诈骗分子转移了价值 1 亿美元的代币。.
这个安全问题源于桥接器的设置方式,它采用了五分之二的验证机制。因此,攻击者只需获得两次批准即可验证任何恶意交易。为了掩盖 trac,攻击者利用 Tornado Cash ,将部分非法所得转移出去。.
虽然这种设置最初看起来可能很安全,但事实证明它成了不法分子的肥肉,也让那些被抓到的人付出了惨痛的区块链安全代价。.
法拉利——9100万美元
重入攻击从 Ethereum早期就已存在。攻击者利用trac漏洞,在原始交易被批准或拒绝之前反复提取资金。.
2022年5月,两个去中心化金融平台以这种方式遭到攻击,黑客窃取了9000万美元。Rari Capital的Jack Longarzo表示,攻击者利用了该公司的漏洞,而与Rari Capital合并的Fei Protocol则向黑客悬赏了1000万美元。.
区块链安全公司 BlockSec 解释说,黑客利用了重入漏洞。.
开发者可以通过在 Ethereum 区块链上部署之前对trac进行适当的测试和审核来防止此类攻击。.
如何保护自己免受 DeFi 漏洞攻击
DeFi 协议日益普及且复杂,使其成为黑客的trac目标。以下七个技巧可以帮助您保护自己免受 DeFi 漏洞攻击:
- 投资任何项目前,务必进行彻底的尽职调查。检查平台的代码、网站、团队成员和社交媒体渠道,以发现任何可疑之处。.
- 确保由可信机构审核您所参与的trac,并且审核结果公开可用。.
- 不要将大量资金存储在单个 DeFitrac中,这会使合约更容易受到攻击。.
- 随时关注最新的安全新闻,了解新的漏洞利用方法。.
- 对所有与 DeFi 协议交互的账户实施适当的身份验证和授权程序。.
- 请确保您的钱包安全,并尽可能使用双重身份验证。.
- 定期监控您在区块链上的资金和交易,以检测任何可疑活动或未经授权的提款。.
遵循这些建议可以帮助您防范 DeFi 漏洞,确保您在使用去中心化金融协议时资金安全。然而,同样重要的是要记住,没有任何系统是绝对安全的,因此在处理数字资产时始终保持格外谨慎才是最佳做法。.
结论
总而言之,安全是处理加密货币和 DeFi 协议时最重要的考虑因素之一。不幸的是,随着行业的不断发展,恶意活动的风险也随之增加。虽然无法保证绝对安全,但遵循以下建议可以帮助您防范 DeFi 漏洞,并确保您的资金安全。.
通过密切关注区块链安全领域的最新发展,并确保所有账户都采取适当的身份验证程序,您可以帮助确保您的数字资产安全无虞。.
