金色觀察 | TRM Labs：2022年DeFi和跨鏈橋攻擊總結_EFI

文/TRMLabs，譯/金色財經xiaozou

根據TRM?Labs對黑客事件的回顧，針對DeFi項目和跨鏈橋的黑客攻擊讓加密貨幣生態系統今年成為黑客攻擊創紀錄的一年。截至2022年11月，被盜資金已超過36億美元。

DeFi和非DeFi黑客攻擊竊取的總金額

幾個數字

3.5:1——這是針對DeFi的黑客攻擊與非DeFi攻擊的比例。?

80——這是今年由于DeFi攻擊導致的加密貨幣被盜總額的百分比，數額高達30億美元。

11x——跨鏈橋黑客攻擊平均規模大約是非跨鏈橋攻擊的11倍。針對DeFi支持的跨鏈橋黑客攻擊雖不如針對其他目標的黑客攻擊那么常見，但平均規模要大得多。

金色沙龍 | 燕麗：零知識證明對于協調區塊鏈底層擴容也有很大幫助:在今日舉行的《隱私計算——區塊鏈信息安全守護者》為主題的金色沙龍中，算力智庫創始人燕麗表示，2020年1月1日，中國首部《中華人民共和國密碼法》將正式開始實施，而在這之前一直只有一部 2007年4月23日公布的《商用密碼產品使用管理規定》和《境外組織和個人在華使用密碼產品管理辦法》。很多人把這次《密碼法》和2019年“1024”中央把區塊鏈技術作為國家戰略聯系在一起。區塊鏈技術是完全基于密碼學技術，所以按照這個邏輯，如果政府要完全掌控未來區塊鏈技術的發展，首先就要完全掌控密碼學技術，而這個其中的核心是國家主權范圍之間在所有的通信安全和商業行為之間軍備競賽的升級。區塊鏈有大量擴容壓力，而為了達到這個操作，必然要犧牲系統處理效能和部分隱私。但矛盾的是，區塊鏈前期的應用場景如虛擬貨幣，數字金融等，都需要有更好的隱私保護和不容易被惡意攻擊的防護。所以若想讓區塊鏈技術落地生根，那么提高區塊鏈底層技術來滿足對于高安全性(含高完整性和高保密性)、高性能、高廣義效率的要求，也許是個穩妥做法。所以隱私計算中的零知識證明等對于協調區塊鏈底層擴容也有很大幫助。[2020/4/15]

13——這是截至2022年11月，TRM?Labs檢測到的跨鏈橋黑客攻擊數量，失竊金額近20億美元。

《金色講堂》第二期即將開講 中國社科院研究生院特聘教授王彬生前來授課:5月22日晚八點，《金色講堂》第二期正式開講，中國社科院研究生院特聘教授王彬生前來授課演講。針對當下火爆的區塊鏈市場，中國社科院研究生院特聘教授王彬生對區塊鏈市場含義及發展邏輯進行解讀。從信息傳遞成本接近零是這場區塊鏈運動的時代前提到美元消失和新技術出現的展望等6個方面，對區塊鏈市場進行深入的解讀，讓學員能夠深入的了解的區塊鏈市場的發展邏輯。[2018/5/22]

9/10——截至當前，2022年10個最大的黑客攻擊中有9個是針對DeFi的，其中有5個是針對跨鏈橋的。如能預防最大的9次DeFi攻擊，將使65%的資金免于被盜。

金額巨大和安全漏洞使DeFi成為極具吸引力的目標

金色財經獨家分析 天津市人民政府先后與百度、三六零等公司合作 推動區塊鏈技術在智慧城市中的應用:金色財經獨家分析，日前，百度與天津市人民政府達成戰略合作。百度將綜合運用人工智能、云計算、物聯網、區塊鏈等技術能力，助力天津濱海新區、中新生態城東麗區智慧城市建設。此前，天津市人民政府與三六零科技有限公司簽署戰略合作協議，將會在保護國家、企業、用戶網絡安全的基礎上，發揮自己在網絡安全、人工智能、大數據、區塊鏈等技術領域的核心優勢，為天津市智慧城市安全保障體系建設提供系統化的解決方案。天津市政府近期不斷與百度等互聯網公司合作，可以看出天津市政府在推動區塊鏈技術落地應用的決心，這也將加速天津建設智慧城市的速度，推動天津智慧城市的發展。[2018/5/21]

據Defilama數據，DeFi的總鎖定價值在過去兩年里呈爆炸式增長，從2020年10月的約100億美元增長到2022年11月的420億美元。Defilama數據同樣顯示，在11月底的7天里，橋交易量約為13億美元。

金色財經訊:據外媒COINPOST報道，虛擬貨幣交易所QUOINEX宣布將發行ICO，并在Bitfinex上交易。[2017/10/22]

除了規模龐大外，DeFi項目和跨鏈橋的其他兩個關鍵特征使它們成為潛在黑客的理想目標，也更容易遭受攻擊：

復雜性：DeFi生態系統復雜且相互關聯，這讓黑客以開發人員無法預料或測試的方式利用漏洞。例如，在閃電貸款攻擊中，黑客可以使用與目標無關的服務來操縱資產價格或放大攻擊對主要目標的影響。

透明度：DeFi項目自然非常重視透明度，通常構建在開源代碼之上。這使得任何人，無論是安全研究人員還是黑客，都可以查看代碼并搜尋可利用的漏洞。

一些黑客還聲稱，可以在不違反法律的情況下操縱和攻擊DeFi項目。這可能導致潛在攻擊者將DeFi項目視為比CeFi目標風險更低的項目。

2022年10月，基于Solana的平臺MangoMarkets損失了約1.15億美元，原因是有個團隊操縱了其價格預言機。自稱為黑客領袖的AvrahamEisenberg后來透露了自己的身份，并將其團隊活動描述為“利潤豐厚的交易策略”，而非黑客行為。Eisenberg是否會被起訴，目前尚不清楚。

MangoMarkets黑客發布推文稱其行為是合法的

DeFi黑客攻擊包括基礎設施攻擊、代碼漏洞攻擊和協議攻擊

到目前為止，基礎設施攻擊、代碼漏洞攻擊和協議攻擊占今年黑客竊取資金總量的大部分。一些黑客還組合使用這些攻擊類型來竊取資金。

基礎設施攻擊讓黑客侵入目標的安全控件，進行未經授權的交易，例如將資金從受害者地址發送到黑客所控地址。這種攻擊類型的常見方法有竊取私鑰、助記詞，及前端攻擊。

針對智能合約的代碼漏洞攻擊使攻擊者能夠在未經授權的情況下從DeFi協議中移除資金。在智能合約代碼漏洞攻擊中，黑客可能會使用已發現的漏洞對協議展開攻擊。今年早些時候，Solana的wormhole橋成為黑客攻擊的目標，導致該DeFi協議中超過3億美元被盜取。

協議攻擊是一種業務邏輯攻擊，主要結果是攻擊者可以操縱代幣的價格，并創造套利機會，在一個市場低買，在另一個市場高賣。閃電貸款和治理操縱是其中最常見的協議攻擊類型。

CeFi的失敗可能助長DeFi攻擊

最近FTX和其他備受矚目的中心化加密公司的失敗，可能會使人們對DeFi解決方案越來越感興趣。如果投資者因此大批涌向DeFi，可能會進一步助長黑客的攻擊動機。

為了降低這種風險，DeFi項目應該求助于傳統的bug賞金計劃、智能合約安全審計和商業安全解決方案。

傳統的bug賞金計劃給黑客和安全研究人員發放獎勵，激勵他們發現漏洞并將漏洞報告給DeFi項目。然后就可以在攻擊利用該漏洞之前修補該漏洞。相比之下，加密賞金計劃在攻擊后向黑客支付資金鼓勵其歸還一定比例的被盜資金，這實際上會激勵黑客的攻擊行為。

安全審計可以發現DeFi項目頂梁柱——智能合約——中的漏洞，允許項目在黑客得以利用這些漏洞之前將其修復。但是，審計并不是萬無一失的，應該與其他安全控件和策略合并使用。

新的商業解決方案正在開發，以提高整個DeFi生態系統的安全性。特別是當與現有的控件相結合時，創新的安全產品可能會提供更好的DeFi安全性，盡管現在判斷其效力還為時過早。

當結合使用時，這些控件和技術可以縮小DeFi協議的攻擊面。隨著DeFi的不斷增長，黑客將尋求更大膽的方法來利用其弱點和漏洞——因此，保持持續的警惕性必不可少。

Tags：EFIDEFIDEF區塊鏈yefi幣最近怎么了defi幣如何挖礦DEFC價格玩區塊鏈掙的錢合法嗎

ADA