区块链行业的发展以及如何防御对 DeFi 的攻击

2022-07-04 11:01:14· 稿源：网络整理

如今，区块链市场整体处于起步阶段，去中心化金融（DeFi）市场是其最看好的部分。根据 DefiLlama 的数据，2021 年，DeFi 市场有大约 2000 亿美元的流动性锁定在智能合约中。如果我们将这笔资金视为一项初始投资，那么这个市场看起来像是一个非常有前途的企业。没有太多的全球公司可以吹嘘这样的资本。但任何年轻的市场都有其初期的问题。对于 DeFi，主要问题是缺乏合格的区块链开发人员。

这个行业非常年轻，用户群相对较小。大多数人充其量只是听说过 DeFi，但并不知道它是什么。但正如每一个有前途的新企业都会发生的那样，它很快就会引起很多投机兴趣。不幸的是，准备人员需要更长的时间，尤其是在区块链和智能合约开发等知识密集型领域。这意味着一些项目团队将不得不妥协并雇用经验不足的人员。

这个问题不可避免地会在这些项目的代码中造成越来越大的安全漏洞风险。然后我们必须处理其在用户资本损失方面的后果。简单了解一下这个问题有多大，我可以说，DeFi 锁定的总流动性中约有 10% 被黑客窃取了。主流公众宁愿远离对他们的资金构成如此危险的金融体系，任何人都不应该感到惊讶。

DeFi 协议是如何被黑客入侵的？

DeFi 漏洞利用最近发生了怎样的变化？

长期以来，对 DeFi 的攻击一直围绕着重入攻击。我们可以回想一下 2016 年著名的 The DAO被黑，它导致了 1.5 亿美元的投资者资本损失，并导致了以太坊的硬分叉。从那时起，这个漏洞在不同的智能合约中被多次利用。

借贷协议积极利用回调函数：它允许智能合约在发放贷款之前检查用户的质押品余额。所有这些过程都发生在一次交易中，这为黑客提供了一种从此类智能合约中窃取资金的变通方法。当你发送借入资金的请求时，回调函数首先检查质押品余额，如果质押品充足则发放贷款，然后更改智能合约中用户的质押品余额。

为了愚弄智能合约，黑客将调用返回到回调函数以从一开始就启动此过程。由于交易尚未在区块链上完成，该功能会为相同的质押品余额提供另一笔贷款。尽管这个问题的解决方案已经出现了足够长的时间，但许多项目仍然成为它的受害者。

有时，不擅长编写智能合约的项目团队决定借用另一个开源 DeFi项目的代码库来部署自己的智能合约。他们通常对经过审计、拥有庞大用户群并证明是安全构建的信誉良好的项目这样做。但他们可能决定对借用的代码进行微小的修改，以添加他们希望在智能合约中拥有的功能，甚至无需更改原始代码。这可能会破坏智能合约的逻辑，而开发人员通常没有意识到这一点。

这就是黑客在 2021 年 8 月从 Cream Finance 窃取了大约 1900 万美元的原因。Cream Finance 团队从不同的 DeFi 协议中借用了代码，并在他们的智能合约中添加了回调令牌。即使你可以通过实施“检查、影响、交互”模式来防止重入攻击，该模式优先考虑平衡的变化而不是资金的发行，但一些团队仍然无法保护他们的平台免受这些攻击。

闪电贷攻击允许黑客以不同的方式窃取资金，并且自 2020 年 DeFi 繁荣以来变得越来越流行。闪电贷攻击的主要思想是，你不需要质押品即可从协议中借入资金，因为仍然可以保证财务平价由于贷款是在一次交易中获得并归还的。如果你未能在一笔交易中归还贷款并附有利息，则不会发生这种情况。但是攻击者已经能够对许多协议进行成功的闪贷攻击。

需要：打击黑客和诈骗的大规模教育项目

在这样做的过程中，他们使用多种协议来借入和拖累流动性，直到最后的行动，他们通过预言机或流动性矿池放大代币的价格，并用它来骗取暴涨暴跌并在一系列流动性中消失一些主要的不同加密货币，如以太 (ETH)、点评比特币 (wBTC) 等。一些著名的闪电贷攻击包括 Pancake Bunny 攻击，协议损失了 2 亿美元，以及另一个 Cream Finance 攻击，其中超过 1 亿美元被盗。