由于智能合约上有数十亿美元的资金,可以肯定的是,最聪明的黑客仍在不断寻找利用安全弱点从中获利。
作者|ViaBTC矿池
来源|ViaBTC矿池
最近,史上被盗金额最大的黑客攻击事件一度冲上热搜,“火出圈外”。据链上浏览器显示,黑客仅用了34分钟就盗走了总价值约6.1亿美金的加密货币。
受此影响,仅因 O3 swap跨链转账功能是基于 Poly Network 跨链协议开发的,而被“乌龙”的误认为是黑客攻击对象,导致其价格一度大跌30%,DeFi安全问题又再一次被推上风口浪尖。
除去这次攻击,截止到7月底,与DeFi相关的黑客事件就已经让用户们损失了近3.6亿美金。据有关数据显示,从年初至今发生了近40起DeFi被盗事件,损失金额近10亿美金(不算黑客归还)。
没有人可以完全预测已部署的智能合约会发生什么,即使是最好的安全审计师。由于智能合约上有数十亿美元的资金,所以可以肯定的是,最聪明的黑客仍在不断寻找利用安全弱点从中获利。
DeFi的巨大风险在于,DeFi应用本身的创新性和复杂性,使安全审计人员很难发现存在的漏洞。
DeFi应用程序开发人员必须确保网络安全审计人员不断检查他们的代码,以减少任何漏洞被利用的可能性,否则一旦攻击成功,将导致巨大的经济损失。
从DeFi概念出现至今,DeFi遭受过无数大大小小的攻击。其中,有两种攻击手法最为常用,闪电贷攻击和Rug Pull(拉地毯)。
所谓闪电贷(Flashloan),其实是一种创新金融工具,甚至可以称得上是智能合约上的一个伟大创新。
用户可以在不需要任何抵押借款的情况下,只需付出极小的手续费就能得到巨额资金,前提是要在同一个区块内还款,否则交易回滚。
在此类攻击手法中,黑客只是利用了闪电贷的特点,在短时间内借出资金、交易、然后存入并再次借出大量的资金,这样黑客就能在实现操纵、扭曲特定的加密货币价格数据后,实施套利,最后归还“本金”。
比如在今年2月,攻击者就针对DeFi借贷协议 Alpha Homora 发起闪电贷攻击,导致3,750万美元被盗。
在一个Alpha Homora V2池中,攻击者操控了数百万枚稳定币,使其价值膨胀,最终完成套利。
Rug Pull(拉地毯)指的是加密货币领域中的一种恶意操纵,DeFi项目开发人员毫无征兆地放弃该项目并带着投资者的钱跑路,Rug Pull多发生于DEX(去中心化交易所),是DeFi领域较为典型的骗局。
骗子们会在流动性池中投入大量的资金,并在社交媒体上发布诱人的广告吸引投资者入局,一旦投资者将代币存入这些流动性池中,骗子就会“抽地毯般”地把池子里的代币全部提走。
比如在今年5月,基于 币安智能链 (BSC)上的DeFi协议DeFi100项目运营者已经卷跑了大约有3200万美元(约合2亿元人民币)的用户资金。
其官方网站已经无法访问,在网站关闭之前,DeFi100官方网站上还出现“我们骗了你们,你们拿我们没办法”的字样,该页面随后被删除。
一路高歌的DeFi市场因Poly Network攻击事件使我们知道,DeFi还处在初级阶段,各种技术还待成熟。
黑客攻击无法避免,对于后续准备继续上线跨链项目的项目方而言,恐怕现在最好的准备方式就是加强项目安全审计和反复的压力测试了。