區塊鏈十大攻擊方式系列二：DeFi 黑客攻擊 真是防不勝防_DEF

歡迎來到成都鏈安策劃的『區塊鏈10大攻擊方式』系列文章。上周分享了區塊鏈十大攻擊方式系列（1）——51%攻擊，大家看的還過癮嗎？

閑話少說，今天，我們開啟系列文章第二篇——DeFi 黑客攻擊，繼續為大家講解區塊鏈安全生態領域的那些攻擊套路、漏洞。

區塊鏈技術的誕生，為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破。其中「去中心化金融（DeFi）」便是這兩年最為火熱的應用之一。

DeFi 是去中心化金融Decentralized Finance的縮寫，它指的是基于區塊鏈的金融服務體系。

和現在的金融體系不同，用戶的資金不會存放在第三方的金融機構中，而是通過各種智能合約去實現協議和信任，如此可以最大程度地減少風險。它是一個完整的開源生態系統，提供貸款、交易、資產管理和支付等金融服務。

加拿大宇航員：區塊鏈可在太空業發揮作用，包括區塊鏈衛星和月球采礦:加拿大宇航員Chris Hadfield在最近的一次采訪中表示，區塊鏈可以在太空業中發揮作用，包括區塊鏈衛星和從月球采礦。他還稱，區塊鏈和類似的技術是一種用于檢查太空系統中運行數據來源的“自然應用”，這些數據包括運載工具的組裝、執行、發射火箭以及操作等各個方面。

Hadfield稱，人們開始認識到，可以使用特定任務設計的區塊鏈資產在軌道上建立節點結構。區塊鏈可以“降低接入成本、提高在環繞地球的軌道上運行的可靠性和理解。（Decrypt）[2020/7/8]

DeFi攻擊事件頻發，最主要的原因還是其累計了巨額的資產。面對巨大的誘惑，黑客必然會想方設法去攻擊。比如跨鏈項目不僅僅是鏈上智能合約，還有鏈下的代碼，無論哪一部分出現了問題，都會被黑客所利用。

聲音 | 中國十大青年科學家王東臨：存儲是區塊鏈最佳落地應用場景 ?:中國十大青年科學家、Yottachain創始人王東臨發表題為《當阿里云、騰訊云都不靠譜之后》的演講。在演講中指出：數據存儲量呈指數式增長的現代，中心化云服務器勢必宕機，而區塊鏈的天然落地場景就是存儲，其在數百億美元的持久化存儲和網絡加速領域有壓倒性優勢。并介紹了Yottachain創新性區塊鏈存儲的解決方案。[2019/3/26]

2022 年第一季度，區塊鏈領域共發生典型安全事件超過30起。總損失金額超12億美元，與去年同期相比增長了823%。

數據顯示，DeFi項目仍為黑客攻擊的重點領域，其中主要涉及到的安全問題包括：閃電貸攻擊、私鑰泄露、智能合約重入攻擊、Rugpull等等。

UNOPS中國首席代表羅響：區塊鏈未來會對新能源的改造帶來巨大沖擊:近日，2018中國能源戰略投資論壇在北京召開。聯合國項目事務署(UNOPS)中國首席代表羅響在演講中表示，2018年已經過去了四個月，全球在整個新能源和環保，大的框架是氣候變化，新能源占比較大的板塊。在未來，區塊鏈將會對新能源的改造帶來很大的沖擊和影響，這些方面聯合國都在介入。[2018/5/3]

閃電貸攻擊

閃電貸就是在一筆鏈上交易中完成借款和還款，無需抵押。由于一筆鏈上交易可以包含多種操作，使得攻擊者可以在借款和還款間加入其它鏈上操作，以極低的成本撬動巨額資金，結合其他漏洞進行套利、價格操縱等攻擊。

比如2022年4月17日，算法穩定幣項目Beanstalk Farms遭黑客攻擊，黑客獲利近8000萬美元，黑客通過閃電貸換取了350,000,000個DAI，500,000,000個USDC，150,000,000個USDT，32,100,950個BEAN和11,643,065個LUSD作為資金儲備，再利用惡意提案，導致本次攻擊的發生。

經濟參考報：銀行“智能化轉型”正在提速 區塊鏈技術正在逐步得到應用:經濟參考報4月9日文章稱：銀行“智能化轉型”正在提速。日前公布的大行年報數據顯示，物理網點布局和柜員人數增速普遍放緩，智能化成為各銀行轉型的突破口。一方面，效益較差的網點被裁撤，大而全的網點向輕型化、智能化升級；另一方面，多家銀行明確，將重金投入金融科技以完成“彎道超車”。

銀行在金融科技領域的整體布局已初見端倪。值得注意的是，在銀行的金融科技布局中，區塊鏈技術正在逐步得到應用。五大行將區塊鏈技術應用到扶貧、國際貿易、住房租賃平臺、電商供應鏈等領域。例如，農業銀行在國內銀行業中首次將區塊鏈技術應用于電商供應鏈金融領域，上線涉農互聯網電商融資產品“e鏈貸”；中國銀行研發基于區塊鏈技術的電子錢包，將區塊鏈技術成功應用于“公益中行”精準扶貧平臺；建設銀行則探索“區塊鏈＋貿易金融”技術。股份制銀行中，中信銀行年報也提到，已將區塊鏈技術應用于貿易融資和信用卡獲客領域，效果已經顯現。[2018/4/9]

詳細分析可點擊此處閱讀：黑客獲利近8000萬美元，惡意提案如何防范？Beanstalk Farms被攻擊事件分析

私鑰泄露：

項目方由于遭受社會工程學或傳統網絡安全攻擊，導致私鑰泄露，從而項目方地址權限被盜取，從而攻擊者可進行轉賬、提取等任意操作。

比如在2022年2月10日，DeFi應用Dego Finance遭到黑客攻擊，成都鏈安安術團隊進行分析時發現本次攻擊由于項目方私鑰泄露，黑客利用私鑰提取了多個鏈上的資產。

詳細分析可點擊此處閱讀：被盜約1700萬美元，DeFi 世界的樂高Dego Finance就這樣“塌了”嗎？

智能合約重入攻擊：

在存在外部合約調用的項目中，如果外部合約調用發生在賬本更新之前，且外部合約調用可以被用戶控制，那么該項目可能存在重入風險。在項目未做重入防范的情況下，惡意的攻擊者可以通過重入攻擊威脅項目資金安全。

比如在2022年3月31日，Ola Finance遭遇智能合約重入攻擊，損失約為467萬美元。

詳細分析可點擊此處閱讀：約467萬美元的損失！Ola Finance被攻擊事件簡析

Rug pull：

“Rug Pull”是指項目方撤出支持、DEX流動性池或突然放棄一個項目，毫無征兆地就卷走投資者的資金。這是一個DeFi領域典型的退出騙局。

從黑客的角度來看，對區塊鏈生態系統的攻擊是一種理想的手段。因為這些系統是匿名的，而且行業暫時缺乏技術監管，這使得網絡犯罪分子可以通過攻擊安全性較低的 DeFi 項目或實施Rug Pull來獲取金錢收益。

經成都鏈安安全團隊梳理和總結，2022年第一季度的安全事件中，盡管70%的被攻擊項目經過了第三方安全公司的審計，但是30%未審計的項目，其被攻擊之后的損失金額也達到了7.2億美元，占第一季度總損失金額的60%。

可見?DeFi?項目上線之前的審計依舊重要。在我們研究之后，發現在未審計的項目中，50%的攻擊手法都為合約漏洞利用。因此，盡早審計和及時修復代碼漏洞，可以避免上線后項目被攻擊造成的嚴重損失。

DeFi 為許多機會打開了大門，特別是對于那些熱衷于推動加密市場向前發展同時保持資金流動的去中心化模塊的投資者和開發商。由于DeFi熱潮的興起，該領域也自然成為了黑客“大展拳腳”的重點對象。

安全性仍然是 DeFi 生態系統面臨的重大挑戰，因此DeFi項目方應做好前置預防工作，引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案，完善安全防護機制。作為用戶，在選擇項目時，應留意該項目是否經過安全審計，切不可掉以輕心。

Tags：區塊鏈DEFIDEFEFI以下哪個不是區塊鏈區塊的結構PhoenixDefiSwapDeFi CoinDEFILANCER價格

比特幣交易