被盜3億多美金 除了黑客攻擊DeFi還存在哪些安全風險與挑戰？_DEFI

虎年才剛剛開始，黑客就已蠢蠢欲動，開始對一些DeFi項目“動手”。

2022年2月3日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，跨鏈協議Wormhole遭到黑客攻擊，損失達12萬枚wETH（約合3.2億美元），這也成為DeFi史上第二大的黑客事件。而僅僅過去三天，2月6日，Meter.io 跨鏈橋遭遇黑客攻擊，損失達到 430 萬美元！三天兩起安全事件的發生，金額數大，我們不禁要問，DeFi為何又成為了黑客的提款機？

隨著去中心化金融(DeFi) 市場的發展，“風險”成為焦點。首先，我們需要知道的是，去中心化金融（DeFi）是指建立在區塊鏈網絡之上的一系列金融產品和服務，它是一個開源、無需許可、去中心化的金融系統，但 DeFi 產品的不同風險維度在很大程度上仍未得到充分研究。除了黑客攻擊，DeFi還存在哪些風險與挑戰？

Indexed Finance就攻擊事件發布更新：將爭取與黑客接觸并追回被盜資金:10月16日，被動收益協議Indexed Finance在推特上就攻擊事件發布更新：

- 如果您在DEFI5、CC10或FFF池中持有LP代幣，請退出（如果您還沒有這樣做），以便盡可能多地恢復關聯ETH）。關于試圖銷毀代幣本身，我們建議不要這樣做，因為你在花費gas后什么也得不到。

- 如果您在攻擊發生后一直在購買DEFI5、CC10或FFF，并預期會出現反彈，請注意，這種情況不會發生。如果你正在考慮這樣做，請打消這種想法。

- DEGEN、NFTP和ORCL5池是安全的。它們也受到了相同攻擊漏洞的影響，但使攻擊奏效的一組環境沒有就位。它們不能被攻擊，但還是要保持警惕。

- 值得注意的是，在這次攻擊之后，攻擊者還沒有轉移任何資金。我們鼓勵黑客與我們合作，爭取白帽賞金，但這最終取決于他們。

- 社區也有幾個專家在發掘關于攻擊者的細節。如果攻擊者不主動與我們聯系，我們將懸賞5萬美元尋找能讓他們歸還資金的線索。

- 如果資金開始移動，業內相關方隨時準備向交易所發出警告。我們也接觸了在政府層面有網絡犯罪分析經驗的各方，他們正在調查該事件。[2021/10/16 20:33:23]

今天，我們從另外一個維度，借由這幾天的黑客事件簡單講述一下DeFi所遇到的一些風險向量。

動態 | 慢霧：巨鯨被盜2.6億元資產，或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶（zhoujianfu）被盜價值2.6億元的BTC和BCH，慢霧安全團隊目前得到的推測如下：該大戶私鑰自己可以控制，他在Reddit上發了BTC簽名，已驗證是對的，且猜測是使用了一款很知名的去中心化錢包服務，而且這種去中心化錢包居然還需要SIM卡認證，也就是說有用戶系統，可以開啟基于SIM卡的短信雙因素認證，猜測可能是Blockchain.info，因為它吻合這些特征，且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報，Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節，包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

動態 | Upbit被盜ETH再轉移3801枚至未知錢包地址:據Whale Alert監測數據顯示，北京時間1月10日17:24:44，Upbit被盜ETH黑客錢包地址向未知錢包地址（0x1b16開頭）轉出3801枚ETH。按當前價格計算，價值約51.6萬美元，交易哈希為：0x637462cb6bfccb89b277411a6bc94dfb779bfe2867cf5645a557aede17937718。[2020/1/10]

1. 內在協議風險

DeFi 平臺以智能合約的形式存在，這些協議的動態是 DeFi 應用程序中最重要的風險維度之一。內在協議風險是指默認嵌入在協議設計中的風險機制。

聲音 | 律師：Mt. Gox被盜BTC中的17萬至20萬枚可追回:總部位于莫斯科的律師事務所ZP Legal聲稱已經確認了在2014年Mt Gox被盜后收到被盜比特幣的俄羅斯國民。根據Mt Gox債權人的說法，ZP Legal今年早些時候與他們聯系，提供了一個機會，可以恢復在2014年Mt Gox被盜時丟失的85萬枚比特幣中的近四分之一。ZP Legal估計，通過對收到贓款的俄羅斯國民采取法律行動，可以追回其中17萬至20萬枚，目前價值17億至20億美元。作為回報，律師事務所將向債權人收取追回資金的50％至75％，以及按小時計費的費用。[2019/9/13]

DeFi 中的內在協議風險有各種形式。在 Compound 或 Aave 等 DeFi 借貸協議中，清算是一種將借貸市場的抵押品維持在適用范圍內的機制，清算允許參與者在無抵押頭寸中參與本金。滑點是曲線等自動做市 (AMM) 協議中存在的另一種情況，曲線池中的高滑點條件可能會迫使投資者支付極高的費用以消除提供給協議的流動性。

比如清算風險，因為DeFi協議中的加密抵押品容易受到市場波動影響，并存在債務頭寸在市場波動中出現抵押不足的風險，繼而誘發清算機制，造成用戶遭受進一步損失。

2. 外生協議風險

除了內在協議風險， DeFi 交易通常會受到改變協議預期行為的外生因素的影響。這些風險包括利用 DeFi 協議底層機制的攻擊，例如預言機操作、閃貸攻擊或利用智能合約邏輯中的漏洞來進行攻擊。最近在Cream Finance和Badger DAO等協議中的漏洞被黑客利用凸顯了外生協議風險會影響 DeFi 的發展。

3. 治理風險

DeFi 的一個獨特方面是，去中心化治理提案控制著 DeFi 協議的行為，并且通常是其流動性構成變化影響投資者的原因。例如，改變 AMM 池中的權重或貸款協議中的抵押比率的治理建議通常有助于流動性流入或流出協議。從風險的角度來看，DeFi 治理的一個更令人擔憂的方面是許多 DeFi 協議的治理結構日益集中化。

盡管 DeFi 治理模型在架構上是去中心化的，但其中許多項目是由少數各方控制的，這些各方可以影響任何提案的結果。這方面并不像看起來那樣令人擔憂，因為許多能夠影響 DeFi 治理投票結果的治理者之所以處于該位置，僅僅是因為他們積極參與并與 DeFi 生態系統保持一致——這是利益一致的明顯標志。

4. 潛在的區塊鏈底層風險

DeFi 協議對其底層區塊鏈有一定程度的基礎設施依賴。特定區塊鏈上的共識機制等可能會成為該平臺上運行的 DeFi 協議的漏洞。一個典型的例子是權益證明（PoS）網絡中所謂的驗證者卡特爾，其中許多驗證者串通起來影響網絡中的獎勵分配，并可以有效地阻止 DeFi 協議的運行。

5. 市場風險

有時傾向于癡迷于協議和基礎設施方面，反而忽略了該領域的市場風險。例如，如果資產價格在向礦池提供流動性時發生巨大差異，則對非穩定幣 AMM 礦池也有著很大影響。另一個例子是資產價格的突然崩盤，這可能會引發資金池中大量流動性的流失，從而導致嚴重的滑點風險。

DeFi 協議的可編程性意味著它們可以對傳統市場風險因素（例如波動性和價格）做出本能反應，從而產生影響投資者頭寸的級聯效應。

結尾

DeFi 中的風險管理之所以如此具有挑戰性，是因為它與金融工具中的傳統風險管理理論不太相符。幾十年來，資本市場一直圍繞著波動性等市場因素的風險管理模型而發展，現在，通過用自動化金融技術（智能合約）取代這些中介機構， DeFi 實現了前所未有的金融自動化水平，但也引入了我們以前從未見過的新風險向量，可見，DeFi如何控制風險，未來還有很長的一段路要走。

Tags：EFIDEFIDEF區塊鏈DeFireXdefibox幣價格kingdefi幣歸零區塊鏈技術通俗講解ppt

DOGE