访谈：黑客为何持续攻击 DeFi 协议？解决方案

TL;DR 概要

• 黑客攻击加密货币和 DeFi 协议的浪潮持续高涨。.
• 2021年加密货币行业因攻击损失超过70亿美元。.
• 为什么黑客持续攻击加密货币行业？.

黑客频繁攻击 DeFi 领域以及更广泛的加密货币行业，一直是该行业担忧的问题。.

据报道，2021年已发生169起区块链黑客攻击dent，近70亿美元的资金被盗。仅上个月，就报告了至少五起加密货币黑客攻击事件， DeFi 协议Cream Finance 是最新一家遭受攻击的平台，据称被盗金额超过1.3亿美元。

为此， Cryptopolitan 采访了HashEx的首席执行官兼创始人Dmitry Mishunin。HashEx是一家专注于区块链在业务流程和网络安全领域集成的研发公司。Dmitry在网络安全和去中心化应用方面拥有tron的技术背景，并在信息安全系统开发方面积累了丰富的经验。.

以下是采访节选

问：您对用户最近面临的黑客攻击和漏洞利用的数量感到惊讶吗？

遗憾的是，并非如此。我们看到越来越多的人编写智能trac，但他们往往缺乏足够的编程知识，对Solidity（目前唯一与 Ethereum兼容的编程语言）的理解也不够深入。对编程语言的透彻理解是创建可靠 DeFi 协议的必要条件，不了解其某些细微之处很容易导致漏洞利用和资金被盗。.

问：接受或签署包含恶意代码的智能trac如何导致资产被盗？

所有用户都应该了解区块链交易的不可逆性：一旦您将一定数量的 ERC-20 代币授权给 ERC-20 智能合约trac这些代币将被不可逆转地转移到该合约中。合约的trac代码可能经过验证且不存在漏洞，但也可能依赖一些未经验证的库。将代币授权给此类合约trac极大，因为您无法检查该库的运行机制。StableMarket
项目就是一个典型的例子，该项目导致至少价值 2700 万美元的用户资金被盗。StableMarket 项目的合约trac代码经过审计，但却部署了一个未经验证的库。该库存在恶意，窃取了存储在协议中的用户代币。

用户面临的另一个风险是将代币存入可升级的智能合约trac此类合约trac会被matic恶意代码自动升级，从而窃取已批准的代币。
，前端应用程序会批准合约中代币的最大数量trac而不仅仅是实际使用的代币数量。这样做是为了支付单笔交易的 gas 费用。如果用户将代币存入合约trac则需要额外支付 gas 费用。但如果合约trac恶意行为，则可以从钱包中提取任意数量的代币。

因此，确保最大安全性的最佳实践是始终检查审批金额，并且只批准trac操作所需的金额。.

问：是黑客变得越来越狡猾，还是加密货币用户在网络安全措施方面越来越不谨慎？

两种说法都正确。黑客在利用闪电贷平台及其与其他协议的结合来创建和利用漏洞方面取得了显著进展。其他平台本身通常比较安全，但闪电贷平台结构更加复杂，因此漏洞出现的频率也更高。.

这类攻击非常复杂，即使分析也需要花费大量时间。此外，很多项目仅仅因为代码质量差、存在一些简单的漏洞就遭到攻击，而这些漏洞如果事先进行测试或代码审核，很可能就能被消除。
用户也负有部分责任，因为他们中的许多人都知道一些可以最大限度降低风险的安全措施，例如冷存储。但他们往往忽视这些措施，被可能带来数倍回报的机会冲昏头脑。有时，他们最终只会损失金钱。

问：用户如何更好地保护他们在 Metamask 和相关 dapp（如 OpenSea 和 DeFi上的资产？

最佳的保护措施并非将所有资产都存储在热钱包中，而是将其转移到冷钱包：冷钱包无法访问互联网。最好只在热钱包中存储少量用于日常操作的资产，其余资产则存放在冷钱包中。
此外，用户还应遵循标准的安全规则：使用杀毒软件，避免打开电子邮件中的可疑链接，并尽可能启用双因素身份验证。

问：您认为随着行业的发展，黑客攻击和漏洞利用会变得更加普遍吗？

随着行业发展和更多项目的启动，面临被黑客攻击风险的项目也会越来越多。虽然不可能完全消除所有项目中的所有漏洞，但区块链安全公司一直在努力将其风险降至最低。这不仅包括对项目源代码进行审计，还包括开发分析工具，以帮助从源头上预防漏洞的出现，或者至少在开发初期就发现它们。.

问：HashEx 在加密货币行业的扩张中扮演着什么角色？

我们致力于向人们普及去中心化应用程序的透明度和安全性。这些应用程序的运行逻辑过于复杂晦涩，普通用户难以理解。而且，任何理智的人都不会像匹诺曹在奇迹田野里那样，把钱托付给自己不了解的东西。我们会用浅显易懂的语言解释复杂的概念，指出人们应该注意并尽量避免的陷阱，同时也会帮助潜在投资者做出明智的投资决策。.

但我们主要是一家专注于去中心化 DeFi 和加密货币的审计公司。这意味着我们会对大量智能trac进行审计，从而帮助加密项目赢得投资者的信任，因为投资者更信任那些能够有效避免可能给投资者造成经济损失的代价高昂的错误项目。.

问：您如何看待七国集团和美国dent 乔·拜登为终结勒索软件、网络安全和频繁的加密货币攻击所采取的措施？

持续提升安全标准是我们日常工作和企业理念的一部分。我们致力于在原本需要信任的去中心化 DeFi 领域建立信任。这个问题在任何IT领域都至关重要，而不仅仅局限于 DeFi。随着新软件产品的快速涌现，网络安全方面却往往被忽视，这无疑为黑客提供了可乘之机。造成这种情况的主要原因有两个：一是“鼠标点击式编程”，二是低素质的劳动力却被支付了过高的薪水。.

这是快速发展的IT企业面临的一个弊端。在这种竞争激烈的环境中，企业竞相推出新产品，却往往对安全问题视而不见，尽管这些问题至关重要。结果，我们有时会看到一些大型系统，这些系统被大量客户使用，但仍然存在可能导致用户资金损失的漏洞。有时，这些漏洞的影响甚至会波及整个大陆。.

从这个角度来看，政府干预完全合理。如果不是各州政府介入这些问题，还有谁会去遏制贪婪的商人，并说服他们致力于安全措施和以合理的方式开发软件呢？

如果人们开始向政府机构举报黑客攻击，将会产生积极影响。及时的信息有助于启动备用渠道，从而最大限度地减少潜在故障的后果（美国东海岸石油供应的情况就是一个很好的例子）。.

如果由专家而非外行制定，全行业统一的安全标准也将大有裨益。即使在去中心化应用（DApp）开发的早期阶段，我们也看到领先的审计机构正在实施此类标准。这些协议的整合将惠及所有人：它将简化编程，提高代码安全性，并保护用户资金安全。.

问：这些黑客攻击事件对加密货币行业有何影响？

对加密货币行业的反馈机制旨在控制被盗资金。我认为这是一件好事。目前，你无法通过加密货币获得现实世界的所有便利。这种情况正在日新月异地改变，但远未达到完美。因此，黑客仍然需要加密货币和法定货币之间的桥梁来提取非法获取的资金。.

在这个阶段，犯罪分子可以被dent。被抓获的犯罪分子越多，再次作案的人就越少。我们可以回想一下东方文化中，人们过去常常为了盗窃而割取他人身体部位的做法。执法机构的此类干预措施对加密货币行业及其声誉产生了完全积极的影响。这些行动让人们感到更安全。.

问：对于许多加密货币黑客攻击背后的不良行为者/参与者，您会建议对他们实施哪些制裁以起到威慑作用？

正如我之前所说，我完全赞成惩处这类人。我会将此类行为视为不同程度的金融诈骗，并采取相应的法律行动。目前我不会着手制定新的法律。.

问：要实现一个没有黑客攻击的加密货币世界几乎是不可能的，加密货币利益相关者、政策制定者以及所有相关人士如何才能将攻击减少到最低限度？

任何IT领域都离不开网络威胁。但对于普通企业而言，我们看到的只是冰山一角，而非全貌。许多黑客攻击事件远比我们所知的要多，因为一旦此类信息公开，企业声誉将受到严重损害。而加密货币领域则截然不同，一切都是透明公开的，因此媒体对此类事件的报道也更为频繁。.

网络安全是一项多维实践，涵盖加密货币与法币交易出入点的监管框架、用户教育、网络安全团队的代码检查等等。这个行业仍处于发展初期，这为我们提供了一个绝佳的机会，引导它朝着正确的方向发展。这样，我们就可以从一开始就采用更安全的做法，而不是在未来某个阶段试图修补漏洞。.