DeFi——去中心化金融,不同于過去中心化的傳統金融需要許多中介機構如銀行、證券交易所的參與,DeFi利用了區塊鏈的技術,逐漸發展出有別于傳統金融的金融商品,瘋狂受到追捧。根據DeFiPulse的數據,DeFi鎖倉量已飆升了200%以上,從2021年1月份的$320億到12月份的$980億。DeFi作為去中心化世界的明星產物,憑其去中心化、不可篡改、無需信任、開放透明可組合等特性為用戶打開了開放式金融的大門。
不過,DeFi真的足夠「去中心化」嗎?
從協議層面以及交互方式來看,DeFi的確足夠去中心化。但從一些攻擊事件上看,DeFi似乎顯得不那么去中心化。
2021年7月14日,波卡數字收藏品市場平臺BondlyFinance遭到攻擊,導致373,088,023美元的BONDLY代幣從BondlyStakingRewards合約中轉出,據官方調查,攻擊者通過精心策劃獲得了屬于Bondly首席執行官BrandonSmith的密碼帳戶的訪問權限。密碼帳戶包含Smith的硬件錢包的助記符恢復短語,復制后允許攻擊者訪問BONDLY智能合約,以及被泄露的公司錢包。
DeFi基準利率今日為3.43%:金色財經報道,據同伴客數據顯示,06月15日DeFi去中心化金融基準利率為3.43%,較前一日上升0.03%。同期美國國債抵押回購率(Repo Rate)為0.02%,二者利率差為3.41%。
DeFi基準利率代表了DeFi融資難易程度,利率越高說明融資成本越高,利率越低說明融資成本越低。其與Repo Rate的利率差則便于DeFi與傳統市場作進行同類比較。[2021/6/15 23:37:56]
有趣的是,該黑客似乎在四個月后又以相似的方式攻擊了另一個DeFi項目。
2021年11月5日,DeFi協議bZx發推稱控制Polygon和BSC部署的私鑰已被泄露,導致資金損失。據官方調查,黑客使用的錢包之一參與了BondlyFinance的攻擊。同時,本次漏洞利用與BondlyFinance的非常相似:黑客獲得了開發人員的密碼,然后從協議中操縱了一個智能合約。不久,bZx在更新的事故報告表示:“我們聘請了一家名叫Kaspersky的安全公司,該安全公司調查后認為這次攻擊很可能是由朝鮮黑客組織Lazarus執行的。”據慢霧AML旗下反洗錢追蹤系統MistTrack?分析,攻擊者初始資金來自Tornado.Cash轉入的0.9ETH,接著攻擊者一番操作將被盜資金分散到多個地址。然后攻擊者將多種代幣換為ETH,最后通過Tornado.Cash轉出10960ETH,以太坊部分的洗幣基本完成。
DeFi初創公司OpenDeFi將于11月11日在Uniswap進行IDO:DeFi初創公司OpenDeFi將于11月11日08:30在Uniswap上進行其首次Dex發行(IDO)。
2020年10月,OpenDeFi宣布完成100萬美元私募融資,投資者包括MoonRock Capital、TRG Capital、Alphabit、Lotus Capital、AU21等。最近,OpenDeFi宣布與Matic、Tezos、MoonRock Capital、Rarestone Capital、Dfinance、UniLend、Frontier等區塊鏈公司建立合作關系。(Globenewswire)[2020/11/10 12:10:39]
聚幣Jubi DeFi將于9月29日18:00上線質押GOF無損挖礦GOF:據官方消息,聚幣Jubi DeFi板塊新增質押GOF一鍵無損挖礦GOF功能。同樣,GOF挖礦屬于0成本無損挖礦,聚幣Jubi將承擔由于交易即鏈上轉賬費用帶來的資產磨損。
聚幣Jubi DeFi是聚幣Jubi的新金融板塊,可滿足廣大用戶DeFi挖礦需求。未來,Jubi DeFi將繼續深耕DeFi產業提供更多優質產品,陸續上線圍繞JT、JFI的創新挖礦產品,使JT持有用戶獲得熱點挖礦收益。據了解,聚幣Jubi DeFi即將推出Jubi DeFi板塊治理代幣JFI的流動性挖礦。[2020/9/29]
以上兩個事例都是無關合約問題,而是開發人員遭到釣魚攻擊致私鑰泄露從而影響用戶資金。回顧近期,私鑰泄露似乎變得非常熱門:Levyathan損失150萬美元、8ightFinance損失175萬美元、VulcanForged損失1.4億美元……我們不禁想,這是不是表示著線下實體實際掌管著控制權呢?
IOST成立百萬美元“諾亞預言機”專項基金,重點扶持預言機等DeFi項目:據IOST官方消息,今日,IOST基金會正式宣布成立百萬美元“諾亞預言機”專項基金,用于孵化優質DeFi項目。作為去中心化協議和區塊鏈外部數據之間的橋梁,預言機是DeFi生態中必不可少的部分。因此,“諾亞預言機”基金在全面助力IOST DeFi生態發展的同時,將重點扶持IOST鏈上的預言機類DeFi項目。IOST一直致力于打造一個開發者友好、用戶0門檻的的全球化DeFi生態,為全球用戶提供優質的DeFi服務。此次成立DeFi專項扶持基金,IOST旨在秉持專業負責的態度,不斷發現更多具備潛力的DeFi項目。[2020/8/10]
除了釣魚攻擊,前端攻擊也是引發DeFi安全問題的高危據點。
2021年12月2日,據官方Discord消息,去中心化組織BadgerDAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。12月9日,Badger?發布了詳細的事故報告,報告稱此次事件是CloudflareWorkers上的惡意注入代碼片段導致的。CloudflareWorkers是一個運行腳本的界面,這些腳本在流經Cloudflare代理時對Web流量進行操作和更改。攻擊者在Badger工程師不知情或未授權的情況下獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。用戶確認了那筆惡意交易,就會將代幣授權給攻擊者,然后攻擊者就可以在用戶不知情的情況下將代幣轉走。據慢霧AML旗下反洗錢追蹤系統MistTrack分析,黑客將部分獲利的加密貨幣換成renBTC,并通過renBTC將約2100BTC跨鏈轉移到14個BTC地址,目前暫無異動。
在DeFi世界,合約一旦部署不可篡改不可撤回,理論上來說是不會受到人為的干預,這點確保了其去中心化的特點,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但是仍存在很多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽視,這些錯誤因素使得攻擊者飽餐了一頓又一頓。
2021年9月17日,SushiswapCTO在推特上表示,SushiswapIDO平臺Miso的前端遭受攻擊。承包商的一名匿名員工將惡意代碼注入Miso前端,把拍賣錢包地址替換成了自己的錢包地址,導致864.8ETH被盜。
當前端問題開始影響資金的安全性,作為用戶不得不深思如何才能做到安全地參與DeFi項目,簡直如履薄冰。
總結
不管怎樣,“DeFi是否完全去中心化”這個問題也許會一直存在。與其說去中心化是DeFi最大的特性,不如說是DeFi世界的終極目標。而不論是作為用戶、審計機構還是作為項目方,我們經歷過如此多的DeFi安全事件后,是否仍然只將注意力聚焦到智能合約上呢?答案不言而喻。
參與DeFi項目本質上是把手中的資產轉移或授權給DeFi項目方,存在個人極大程度上不可控的安全風險。那我們普通用戶能做什么?慢霧為您準備了一份“DeFi資產安全解決方案”,點擊原文即可查閱。
一個二維碼掃遍所有場景,一個App實現全生態的支付,越來越成為可能。多年前那場激烈的紅包大戰,如今隨著數字人民幣的加速推廣卷土重來。1月4日,數字人民幣App上線各大應用市場,掀起一波體驗熱潮.
1900/1/1 0:00:00工業富聯元宇宙布局再傳利好,其母公司鴻海集團旗下公司樺漢科技近日獲谷歌4000萬美元投資,標志著谷歌將聯手鴻海進軍元宇宙市場.
1900/1/1 0:00:00作為近一段時間“最靚的仔”,元宇宙觸及的領域正越來越廣。游戲、視頻、教育、服飾甚至釀酒……眾多行業急速跟進,頗為熱鬧。 萬物皆可元宇宙? 各行各業似乎皆可元宇宙。互聯網巨頭自不必說.
1900/1/1 0:00:00頭條 ▌央視財經:虛擬人軟硬件工程師已成為熱門職缺1月16日,央視財經報道,近年來,越來越多的企業開始啟用虛擬數字員工,來進行一些標準化、重復性的工作,他們出色的業務能力,也讓不少人開始擔憂.
1900/1/1 0:00:00有很多定義,但我們通常認為Web3是一個利用區塊鏈技術的無信任、無許可和去中心化的互聯網。Web3的定義特征是所有權.
1900/1/1 0:00:00錯過了元宇宙炒房(jiu)熱的你,有入手數字藏品的想法嗎?2021年,受疫情等因素影響,許多行業的發展都面臨較大不確定性.
1900/1/1 0:00:00