DeFi 半年已发生 50 起安全事件,会成为区块链发展的拦路虎吗?

DeFi 半年已发生 50 起安全事件,会成为区块链发展的拦路虎吗?

这是白话区块链的第 1410 期原创
嘉宾 | 慢雾安全团队 & 库神钱包商务总监 Jessica
出品|白话区块链(ID:hellobtc)

据统计,仅仅是在 2021 年上半年,整个区块链生态就发生了 78 起较大的安全事件,其中涉及 DeFi 安全 50 起左右。日益增长的安全漏洞事件对于行业用户来说,无疑是一种巨大的威胁, 为什么会频繁出现这样的事情,现在有做什么来改进呢?

上周五我们邀请了慢雾安全团队和库神钱包商务总监 Jessica 来我们分享相关内容。以下为内容提要:

DeFi 安全中的常见类型有: 精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题 等等。

DeFi 安全总是出现最底层的原因还是智能合约。

——慢雾安全团队

区块链行业核心问题就是安全。在保管加密资产方面, 建议用户“冷热搭配”,经常使用的小资金放在有实力的大交易平台或者热钱包,大资金一定存放在硬件冷钱包保 管才能确保安全

短期来看,DeFi 安全事件频发会对投资者产生一定的“劝退”作用,但长期来看,在 DeFi 高额收益的激励下,这类安全事件对 DeFi 赛道的用户参与率影响有限。

——库神钱包 Jessica

01
慢雾 & 库神

白话区块链 欢迎慢雾安全团队和库神商务总监 Jessica 做客白话大咖说,先和大家打个招呼吧?

慢雾安全团队 :大家好,我们是慢雾安全团队。 慢雾 (SlowMist) 是一家区块链安全公司 ,成立于 2018 年 1 月,已经服务了全球许多头部或知名的项目,我们做了很多 DeFi 方面的安全审计,这也是我们今天要聊的话题。

库神 Jessica :大家好,我是库神钱包 Jessica。很开心和慢雾团队一起做客白话大咖说。 库神于 2016 年 11 月成立,是一家专注于提供区块链资产安全存储解决方案的科技公司。

库神钱包是全球知名高端的冷钱包品牌,拥有行业内最多高净值用户。产品远销日本、韩国、美国、新加坡、俄罗斯等多个国家和地区,在全球高端硬件冷钱包领域市场份额占有重要地位。

02
DeFi 安全常见类型

白话区块链 :8 月 10 日当天,Poly Network 遭到了成立以来最严重的攻击,也是历史上最大的去中心化金融安全漏洞,如此巨额的资产损失,引起了圈内人的关注。

之前慢雾团队分析认为,攻击者是通过精心构造的数据修改了以太坊跨链合约中 keeper 为攻击者指定的地址,并非由于 keeper 私钥泄漏导致。 这属于 DeFi 中的哪种类型呢,也请给大家详细介绍一下 DeFi 安全常见类型有哪些呢?

慢雾安全团队 :Poly Network 这属于任意调用问题:合约存在任意外部调用接口,导致特权函数被调用。

DeFi 安全中的常见类型有:精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题等等。

**
**

03
钱包可以在哪些方面帮到用户?

白话区块链 :在去年年末的时候,就和吴总有做过一场“黑天鹅事件”相关的 AMA,很高兴这一次又可以深入聊一聊。在 DeFi 安全方面,库神作为一家专注于提供加密资产安全存储解决方案的公司,主打硬件钱包。

那么在安全方面,库神近来有什么重要布局吗? 类似于这次的攻击类型,您认为钱包可以在哪些方面帮到用户?

库神 Jessica :近来库神钱包还是以安全为主,不断优化钱包功能,完善用户服务。今年我们推出了最新款库神冷钱包 Pro3+, 此款钱包采用了 CC EAL6+芯片,军事化安全防护,彻底杜绝网络黑客。

新增多种主流 Token,支持 BTC、ETH、XRP、BSV、TRX、LTC、FIL 等以太坊,波场和 EOS 生态币。此外,Pro3+支持隔离验证地址,同费率费用更低,同费用速度更快。

DeFi 从去年开始流行起来,但是资产安全问题也频频出现。 库神钱包作为区块链资产的“保护神”,愿意共同建设 DeFi 市场的安全壁垒 , 保护去中心化世界的安全 , 拒绝去中心化的胡作非为。

所以建议大家不要过多的追求高利,而忘了高利下的高风险,应该根据自身情况,把资产做个比例划分,不动的资产放在冷钱包,收获坚守成果。

事实上,库神钱包也一直在做这件事,库神运营马上 5 年了, 截止目前从未出现过任何问题,在行业和使用过库神钱包的用户之间树立了良好的信誉和口碑。

04
DeFi 安全事故总是出现的底层原因

DeFi 半年已发生 50 起安全事件,会成为区块链发展的拦路虎吗?

白话区块链 :Poly Network 被攻击是整个 DeFi 行业生态安全问题的一个缩影。据统计,2021 年上半年,整个区块链生态共发生 78 起较大的安全事件,涉及 DeFi 安全 50 起。 相比传统交易模式,两位觉得 DeFi 安全事故总是出现的底层原因是什么呢?

慢雾安全团队 :最底层的原因还是智能合约吧。智能合约并不像传统 APP 可以随时下架,合约一旦部署,便是不可撤回的。 合约可能一创建就包含着错误,而错误却无法被修改,导致事故的发生。

库神 Jessica :区块链上的智能合约是基于去信任 (permissionless) 来和用户以及其他智能合约交互的,对于那些设计智能合约的人来说,很难考虑到未来有人可能与他们的合约进行交互的每一种方式。其他人可以构建一种智能合约,以一种原作者不希望看到的方式与合约进行交互。

白话区块链 另外,在整个行业内黑客事件也层出不穷,他们的主要手法有哪些,目前市面上有采取什么措施来防止或者应对 DeFi 安全事故的发生呢?

慢雾安全团队 :手法还是很多的,有些手法经常出现,有些很少出现,我例举几个:Rug Pull、闪电贷、套利等等,可以检查项目的流动性是如何锁定的,是否有时间锁,是否有多重签名, 用户在参与 DeFi 前最好对项目做做调查,避免被骗。

另外一个就是项目方一定要有自己的安全的意识, 上线前最好找业内专业的安全审计公司进行审计,至少可以把一些已知的攻击手法尽量规避掉。

白话区块链 :DeFi 因在诸如借贷、支付等金融科技领域,提供了独具创新性的解决方案而备受赞誉,但突出的智能合约安全问题成为了 DeFi 行业的最大挑战。

如果智能合约资产被盗或出现攻击事件,如何让投资者利益损失最小或无损?有哪些安全防护措施?

库神 Jessica :是的,如果智能合约资产被盗或出现攻击事件,首先,早发现早退出,第一时间联系项目所在平台,usdt 联系泰达公司。 投资者做好安全防护措施,防范大于未然:

  1. 使用硬件钱包参与 DeFi,私钥助记词不触网,学习钱包安全管理;
  2. 不盲目冲高 apr 的项目,选择通过专业审计的项目;
  3. 不用浏览器搜索 DeFi 网站,核对正确的智能合约地址;
  4. 不挖二池,做好对冲策略。

05
判断一个项目是否安全的指标

白话区块链 :很多项目在进行全面的外部安全审计、原创的编码和测试网络环境下的模拟测试等步骤后还会存在风险, 项目审计意味着什么,判断一个项目是否安全的指标有哪些呢?

慢雾安全团队 :很多人会有这样的一个误区,觉得经过审计的项目就是永远安全的,但是所有的 DeFi 协议都存在着变数, 就算是一个小小的更新也会导致巨大的问题,而且我们审计的范围是有限的。

安全具体是没有一个指标的,我们 首先关注的是智能合约里在计算用户收益时,会不会存在溢出等问题 。其次,我们会关注 项目方是否留有后门,是否盗取用户资金。

安全,永远都是任重而道远的。

06
用户在加密货币的保管方面需要注意什么?

DeFi 半年已发生 50 起安全事件,会成为区块链发展的拦路虎吗?

白话区块链 :DeFi 的爆炸性增长使其复杂性呈现指数级别增长,因此加强 DeFi 风险管理是目前 DeFi 生态建设的重中之重。 您认为目前用户在加密货币的保管方面,平时操作需要注意什么以防止类似事件导致的资金损失?

库神 Jessica :区块链行业核心问题就是安全!在保管加密资产方面,建议用户“冷热搭配”, 经常使用的小资金放在有实力的大交易平台或者热钱包,大资金一定存放在硬件冷钱包保管才能确保安全

选择有实力的大品牌钱包产品,并且离线保存好私钥和密码,正确渠道下载 app。一个钱包地址一个项目,结束参与及时取消授权。

07
MPC+TEE

白话区块链 :看到慢雾之前提到过,由于热钱包还是单私钥的,所以被黑是迟早的事,而 MPC+TEE 不仅可以去单点风险,还可以在关键策略上做好可信难篡改,最后加上资金与业务两大全链路风控系统,可以 99.99% 挡住风险和攻击。 请问这是怎么实现的,其中提到的 MPC+TEE 也请详细介绍一下吧?

慢雾安全团队 :是的,我们在前不久上线了加密资产安全解决方案,这是慢雾在区块链生态数年一线安全攻防实践积累下,推出的第一个针对加密资产安全的解决方案。

其中给出了线上热资产安全解决方案,这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加, 同时,线上的热资产本身的场景需要适应多种链及 Token 种类, 能兼容所有区块链及 **Token 种类 的通用多签方案是最好的方式,而目前最成熟的解决方案是 MPC (安全多方计算)。**

MPC 主要针对一组计算的参与者,每个参与者拥有自己的数据,并且不信任其它参与者和任何第三方,在这种前提下,如何对各自私密的数据计算出一个目标结果的过程。

MPC 是一种计算协议,数据持有方可以各自使用自己的数据进行训练,最终通过协议汇总结果。 而 TEE 提供安全性更高的执行空间,给可信软件执行,其安全性比操作系统(OS)更强,机能性比安全元件(secure element)更多。

08
是否应该寻求中心化世界的帮助?

白话区块链 在去中心化的环境下,您认为这样的安全事故发生后谁应该承担责任?是否应该寻求中心化世界的帮助?

慢雾安全团队 :黑客作为造成 DeFi 安全事件的罪魁祸首,毫无疑问是造成用户资产受损的主体。

以 PolyNetwork 为例,事件发生第一时间,我们就开始研究分析,追踪被盗资产的流向,联合各方面的力量,目前黑客已经归还了 4.27 亿美元,剩下的相信也很快会全部归还,这是一个好的结局。

另外,可以看到中心化、去中心化平台都有非常惨重的被黑案例,都有很多被黑经历, 无论是中心化还是去中心化,我们都希望区块链是往安全的方向去进化。

库神 Jessica :到目前为止黑客已经基本归还全部被盗资金,这也是多方努力的结果,随着 DeFi 规模不断发展,加密资产被盗和黑客攻击在所难免,事故发生后应该协同多方力量尽快寻找原因,尽快找到被盗资产去向并弥补损失, 必要时寻求中心化平台帮助可是无可厚非的事情。

09
DeFi 未来的发展

白话区块链 :随着类似事件越来越多,这不仅让已经参与进来的团队和投资者感到担忧,同时也使 DeFi 与传统金融的结合越来越难, 很多人因为风险望而却步,您怎么看待 DeFi 在接下来的发展?

慢雾安全团队 :DeFi 作为一个突然爆红的当红炸子鸡,肯定还是有很多风险和未知的事情。

在早期,一个新事物出现一定是会有风险的,但是我们也不能说是因为有攻击发生就去否定这样的方向,任何事都是有两面性,风险与机会是并存的,DeFi 也带来了很多便利性。

整个行业或者 DeFi 方向肯定是会越来越完善。

库神 Jessica :短期来看,DeFi 安全事件频发会对投资者产生一定的“劝退”作用,但长期来看,在 DeFi 高额收益的激励下,这类安全事件对 DeFi 赛道的用户参与率影响有限。

另外,去中心化领域的监管缺失在这次事件中暴露无遗,未来 DeFi 赛道引入第三方监管以及 DeFi 保险项目也是未来的必然趋势。

DeFi 很有可能成为金融系统的新基石,会有成长的阵痛,但我们有足够的理由相信去中心化金融的未来是光明和繁荣的。

END

上一篇 :一文读懂 7 天涨幅超 200% 的 AVAX 是什么?

推荐阅读

比特币牛市飙涨却还是不赚钱!问题出在哪?

波卡进展如火如荼,2021 年值得期待?

DeFi 下一热潮:NFT 在三大领域的价值和展望

2020 年度“ DeFi 大狂欢”总结

比特币 2020 年终总结报告

『声明:本文为作者独立观点,不代表白话区块链立场,本内容仅供广大加密爱好者科普学习和交流,不构成投资意见或建议,请理性看待,树立正确的理念,提高风险意识。文章版权和最终解释权归白话区块链所有。』

欢迎长按二维码

阅读 白话区块链入门连载

↓↓↓

 

喜欢请点「在看」 ?