比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 屎幣 > Info

DEFI:巴比特專訪丨蔣旭憲:DeFi 攻擊者5個月獲利 5.3 億美元,與黑客較量是爭分奪秒的“攻防戰”

Author:

Time:1900/1/1 0:00:00

DeFi行業自誕生起,便飽受黑客攻擊困擾。剛剛過去的5月份,DeFi領域發生的安全事件更是達到了一個小高峰。

雖然安全事件層出不窮,蔣旭憲卻認為“這是DeFi行業發展必須經歷的一個階段”。

蔣旭憲是區塊鏈安全公司PeckShield創始人兼CEO,他曾專注于安全領域十余年,如今扎根區塊鏈安全行業。他是如何看待BSC上黑客橫行,如何理解DeFi行業發展?在DeFi行業不斷走向成熟的過程中,PeckShield又將充當什么角色?

為此,巴比特記者對蔣旭憲進行了一次專訪。

01BSC安全事件頻發,黑客逐利而來

5月,加密貨幣市場被一層陰霾籠罩,價格暴跌的同時,DeFi領域的黑客攻擊越發猖獗。

“DeFi安全事件的發生在5月份達到了一個小高點。”PeckShield創始人蔣旭憲在接受巴比特專訪時感慨道。

截止?6月?7日,今年發生的DeFi安全事件損失金額已經超過2020年全年的損失。

PeckShield統計,2020年發生在以太坊鏈上的DeFi安全事件為60余起,其中閃電貸攻擊事件為11起,損失金額逾2.55億美元。而截至今年?6月初,DeFi協議損失金額已高達5.33億美元,安全事件超出50起,其中11起為閃電貸攻擊事件。區別在于,相比去年攻擊事件頻發于以太坊,今年幣安智能鏈卻成了黑客們肆意掠奪的主要戰場。

數據:8萬枚ETH從未知地址轉至Kraken:金色財經報道, Whale Alert數據監測,8萬枚ETH(約1.5億美元)于北京時間14:24:47從未知地址轉移至Kraken。[2023/5/4 14:42:12]

PeckShield數據顯示,2021年BSC鏈上DeFi安全事件為20余起,閃電貸為8起,DeFi協議損失金額高達3.39億美元,占今年DeFi協議總損失金額的63.6%。

隨著PancakeBunny、BurgerSwap等閃電貸攻擊不斷在BSC鏈上發生,我們不禁疑惑,為何黑客的手開始伸向BSC?

“攻擊者一般不會針對某個特定鏈,他們是跟著資金走的,哪里有錢,哪里就有他們的身影。”蔣旭憲直言到,“安全事件數量上升,其實側面印證BSC的用戶或資產規模達到了一定程度。”

鑒于以太坊較為高昂的Gas費用,很多DeFi正在慢慢遷移到相對便宜或用戶體驗比較友好的生態鏈上。

“幣安智能鏈給大家提供了一個相對便宜的費用,讓一些不能在以太坊上參與某些DeFi項目的用戶參與進來。隨著BSC上用戶活躍度、資產規模提升以后,相關問題也爆發出來了。”蔣旭憲提到。

在DeFi領域,最常見的攻擊手段包括有閃電貸攻擊、重入攻擊、私鑰被盜等。

目前,DeFi協議安全事件頻發,主要是因為許多項目存在代碼復刻。不少協議本身代碼與以太坊上的項目有著一定的相關性,它們Fork了代碼,但并沒有完全理解這些協議背后的邏輯。這體現在運維、管理、與其他協議互動等方面,以及在參數設置、風險控制點,甚至包括在一些預言機價格的使用方案上,他們可能不如原創團隊做的到位,這也就為之后的安全事件埋下了“禍根”。

244,500,000 XRP從未知錢包轉移到另一未知錢包:金色財經報道,據Whale Alert數據顯示,244,500,000 XRP(價值約94,379,527美元)從未知錢包轉移到另一未知錢包。[2023/2/20 12:16:28]

5月20日消息,DeFi收益聚合器PancakeBunny遭到閃電貸攻擊,損失超過4500萬美元。5月24日,DeFi協議AutoSharkFinance遭受相同漏洞攻擊損失了74.5萬美元;5月26日,DeFi收益聚合器MerlinLabs也損失68萬美元。這類安全事件對于投資者而言,似乎已屢見不鮮。

蔣旭憲坦言道:“這類攻擊都基于相同的漏洞,我們稱之為‘同源漏洞’或‘同源攻擊’,這在BSC上相對容易會發生。”

他指出,很多項目方在Fork代碼之后,認為之前的代碼做過審計并且長時間沒有出現問題,于是在審計自己的項目時,認為只需要對修改的部分內容進行審計即可。這顯然形成了一個誤區,他們低估了DeFi樂高和組合性帶來的安全風險和潛在問題,以往在以太坊出現的各種DeFi漏洞,都有可能在BSC上復現。

另一方面,黑客在進行攻擊時也會玩點“小花招”。蔣旭憲提到,黑客通常會選擇在大家都比較松懈的時間點進行攻擊。據PeckShield統計,攻擊更多發生在周六凌晨2點到6點之間。

盡管此類攻擊層出不窮,蔣旭憲卻認為這是DeFi行業發展必須經歷的一個階段。

外媒:澳大利亞監管機構ASIC在FTX崩潰前八個月就已對其抱有擔憂:1月30日消息,據外媒報道,早在FTX于去年11月倒閉8個月前,澳大利亞金融監管機構就對該交易所在澳大利亞的子公司存在疑慮。Guardian Australia獲得的文件顯示,澳大利亞證券和投資委員會(ASIC)官員對FTX Australia的運營方式感到擔憂,因為該公司能夠通過公司收購在該國獲得牌照。

據了解,FTX于2021年12月收購金融機構IFS Markets,獲得了澳大利亞金融服務許可證(AFSL),并于2022年3月開始運營。ASIC負責人Joe Longo表示,這使得FTX Australia有效地避開了通常適用于新的AFSL許可證持有者的同一級別的審查。

文件顯示,該監管機構在FTX開始運營的同月向其發布了第912C條通知,要求它向ASIC提供有關其運營的文件,以評估FTX是否符合AFSL許可證條件。有了該通知,ASIC可以指示被許可人提供文件,說明他們提供的金融服務、被許可人開展的金融服務業務,并確定被許可人是否滿足“合適人選測試”。

還有一份簡報文件也證實,在最初的擔憂和去年11月FTX崩潰之間的幾個月里,該監管機構已將該交易所置于“監視活動”之下,總共向FTX發出了三次通知。文件時間表還顯示,ASIC直到2022年10月仍對FTX的運營感到擔憂。(Cointelegraph)[2023/1/30 11:36:33]

“如果我們回顧下去年以太坊DeFi安全事件,以及2018年EOS上的安全事件,就會發現在BSC上發生的DeFi事件與它們有許多非常相似的地方。”蔣旭憲說。

02與黑客的較量是一場爭分奪秒的“攻防戰”

對于PeckShield等安全公司而言,與黑客之間的較量是一場爭分奪秒的“攻防戰”。

FTX正致力于將目前賬面上價值46億美元的資產貨幣化:金色財經報道,FTX正致力于將目前賬面上價值46億美元的資產貨幣化。此外,據marketscreener援引路透社報道,律師稱FTX仍在努力重建交易歷史,但目前客戶缺口總額仍不清楚。

此前消息,一名破產律師近日的聽證會上表示,加密貨幣交易平臺 FTX 已經收回了超過 50 億美元的不同類型資產,其中不包括巴哈馬證券委員會持有的另外 4.25 億美元加密貨幣。[2023/1/11 11:06:52]

當黑客攻擊發生時,PeckShield首先會盡快發出預警。

“我們內部有一個風控的檢測機制,任何一個閃電貸攻擊發生的時候,就會自動發出預警。”蔣旭憲說,“發出預警之后,我們就會開始找到受到閃電貸攻擊影響的協議。”

他提到了一個例子。5月8日晚間,RariCapitalETH池因與AlphaFinance集成存在漏洞遭到了攻擊,損失約1500萬美元。

據悉,Rari是一個投資組合平臺,用戶將ETH存入Rari,然后Rari決定將募集到的ETH投資到不同的項目。Rari投資獲得的利息將按照用戶不同的投資份額按比例分給用戶。

當攻擊者開始實施攻擊,PeckShield首先發現高危地址發生了異動,疑似DeFi協議AlphaFinance合約存在漏洞。隨即,它將情況通報了AlphaFinance開發團隊,在迅速準確地定位到攻擊的對象實際為RariCapital的ETH資金池后,PeckShield再將漏洞根源同步給AlphaFinance開發團隊。

Celsius索賠人在法律策略上再次產生分歧,扣留賬戶儲戶聯合聘請律師以尋求索賠:8月23日消息,據外媒報道,加密借貸平臺Celsius在法律策略上再次產生分歧,因為Celsius的破產變得越來越混亂和棘手,部分索賠人計劃在破產聽證會上成立一個特設小組,并聘請Troutman Pepper的合伙人Deborah Kovsky-Apap為法律代表,從而收回他們的資產。

所謂的“扣留賬戶”小組是由美國一些州的客戶組成的,由于監管機構的停止令,Celsius無法為他們提供可用的托管賬戶。 這些人可以選擇將資金轉移到扣留賬戶,而這些資金仍被凍結。數據顯示,在Celsius停止提款時,其管理的大約120億美元資產中,扣留賬戶僅占1450萬美元。

此前8月2日消息,Celsius托管客戶聯合聘請律師委托其向Celsius索賠1.8億美元。(CoinDesk)[2022/8/23 12:42:55]

隨后,AlphaFinance及時暫停服務,攻擊者再次發起攻擊的那筆交易回滾,RariCapital團隊則從ibETH中提取所有資產避免更多資金受損。最終,PeckShield協助RariCapital避免了600萬美元的損失。

這整個過程的時間極短。事后,攻擊者們在眼看著就快得手的600萬虛擬資產被攔截后,在區塊上留下:“Rari=REKTalpha=oksavedrari6m”。

對此,蔣旭憲將項目如何抵御黑客攻擊大致總結為三個步驟:事前專業的智能合約安全審計,排查已知的各類漏洞;過程中,第一時間響應安全風險,及時排查封堵安全攻擊;最后,則是查漏補缺。

盡管黑客與安全公司之間經常會發生“戰斗”,但黑客挑釁的對象往往不是后者,而可能是一些項目方。

2020年11月15日,ValueDeFi協議遭受了閃電貸攻擊。事后,黑客在區塊上留下一句話“doyoureallyknowflashloan?”有趣的是,攻擊者在利用740萬美元DAI后,向ValueDeFi退還了200萬美元。

除了與黑客斗智斗勇,PeckShield似乎對一些計劃跑路的項目方的“小動作”也頗有了解。

“當一些項目方打算‘跑路’時,我們也會及時預警,既是給社區預警,也是給項目方直接提示。”蔣旭憲說。

他笑道,當他們發出預警后,就有一些項目方直接把“跑路”的行動給取消了。

據他表示,目前通過DeFi出來的新協議,可能會藏著一些所謂的“后門”,存在一些特殊賬號或需要開啟的某些功能。例如,某些打算跑路的協議可能把資產從有“后門”的流動池里面直接轉走,但是進行這個操作的時候,實際上可能會需要激活“后門”,比如時間鎖等。

“項目方可能會把時間鎖關了,但這個行為可能會被我們監控到。”蔣旭憲提到。在監控到之后,PeckShield會實時跟項目方聯系,或者對社區發出一些預警。

另外,對于一些攻擊者的相關地址,PeckShield也會對其打上黑色標簽,一旦有著“黑標簽”的地址開始進行轉賬,系統就會自動將相關的交易地址做好標記。當信息多到一定程度,就能串聯起來形成線索,以此做到資金流向“去匿名化”。

通過這種方式,PeckShield曾協助調查了不少區塊鏈犯罪。蔣旭憲指出,協助的工作一般分為三個步驟:追蹤和監控資金流向,監控目標地址交易;追蹤主體信息,鎖定犯罪分子;出具司法鑒定報告。

然而,隨著DeFi領域的技術創新衍生出新型洗錢?式,對反洗錢工作的進行提出新的挑戰。

例如,幣安智能鏈上,當黑客攻擊成功后,他們會把資產從BSC上跨橋到以太坊上,然后利用以太坊的某些隱私保護協議,使得資產追蹤就變得非常困難。

5月30日,PeckShield在推特上表示,“黑客利用去中心化跨鏈交易協議Anyswap作為將收益轉移到以太坊的橋梁。現在有兩個待處理的跨橋請求,總共2171.8991個anyETH。”對此,Anyswap回應稱,“Anyswap是一種去中心化的跨鏈協議,我們無能為力。”

“現在資金很多通過跨橋方式轉移,這使追蹤難度大幅提升。”蔣旭憲有些無奈道。

03DeFi生態壯大、維穩、健全將經歷三個階段

“對于行業發展而言,黑客存在有其必要性。”蔣旭憲客觀地說。

他指出,DeFi生態壯大、維穩、健全將經歷三個階段。第一是無知階段,此時行業忽視安全,各類項目野蠻生長;第二是喚醒階段,隨著安全事件和安全漏洞頻現,項目方、平臺開始重視起來;第三是警覺階段,社區主動探尋安全解決方案。

雖然攻擊者必然會對項目方和投資者造成安全威脅和財產損失,但其存在卻也讓行業參與者開始反思現存安全漏洞問題,在一定程度上也會促使生態做得更好。

當然,黑客存在或許有其必要性,但是也并不意味著項目方和安全公司應該放任其作惡。長久以來,怎樣防范黑客攻擊和保護投資者資產一直是行業難題。

以近期最常見的閃電貸攻擊為例。顧名思義,閃電貸講究一個字“快”。了解DeFi的用戶都知道,閃電貸是在單筆交易內能把錢借出去,但必須在單筆交易結束之前把錢還回來,即整個過程必須在一筆交易內完成。

作為無抵押、無擔保的貸款方式,蔣旭憲認為閃電貸是一項技術創新。

“有時候我們會建議項目方在做資產進出的時候,不要設置在單筆交易內完成。借貸方需要到下一個區塊才能取錢。這么做的一個好處是杜絕了閃電貸。”蔣旭憲說,“缺點是用戶在體驗上可能會不方便。因為本來一筆能完成的交易,現在必須要發兩筆交易。”

另外,他指出,黑客往往會操縱鏈上的價格來攻擊獲利。對于項目方而言,可以集成鏈下價格,通過將鏈上價格和鏈下價格互相參考驗證,確保價格在一定允許范圍之內維持穩定。如果價格明顯超出了允許范圍,可以得知目前的協議是被操縱的,這時應該“回滾當前用戶交易”。

“不過想要憑借某一種技術或一種解決方案以求完美解決所有問題,這并不現實的。”蔣旭憲坦言道。

他表示,新上線的合約應該通過多家全面、專業的智能合約安全審計,排查已知的各類漏洞。在同源攻擊發生后,項目應仔細自查自己的代碼,減小潛在的安全風險。

“目前。BSC鏈上被攻擊項目出現的漏洞其實都算不上新穎。盡管審計不可能排除所有漏洞,但對已知漏洞卻能做到精準定位和修補。在很大程度上能夠避免一些攻擊。”蔣旭憲說。

項目需要在各方面進行審計排查,而作為行業的重要組成者,投資者應該如何選擇項目?

“切勿盲目跟風,只看短期利益。對于投資用戶而言,理性思考尤為重要。”蔣旭憲直言道。

他認為,除了知曉項目是否通過多家平臺的審計排查,用戶也需要擦亮眼睛,去關注項目的原創性。是否復刻了其他項目的代碼,是否具備獨特的創新,這些都是衡量一個項目安全性和有價值的重要指標。

而隨著DeFi行業黑客攻擊越發頻繁,PeckShield的工作也隨之變得更加忙碌。

“目前,一些項目的審計單子已經預定到了2-3個月后。”蔣旭憲說,“大部分是DeFi項目,也有公鏈項目,不過后者審計時間相對比較長,一般需要3個月左右。”

據其表示,在接單過程中,PeckShield會推掉一些急于在短期內取得審計報告的DeFi項目。在該公司看來,這些客戶顯然不是認真在做DeFi協議。

“相對來說,我們希望扎根區塊鏈的核心安全,跟著行業趨勢,將核心安全問題都理解通透。在穩固資深業務的基礎上,也能參與到行業生態發展中。”蔣旭憲告訴巴比特。

在提及DeFi行業發展時,他的眼中露出一絲光芒,縱然黑客橫行,似乎也并沒有改變他對行業未來的信心。

“總體來說,參與用戶量還是變多了,DeFi市場規模正在往上走。雖然接下來會有一段時間的回調,但我認為這是行業自身在調整,是一個必不可少的環節。”蔣旭憲說道。

Tags:DEFIDEFEFIELDWDEFI幣defi幣官網MarhabaDeFiYieldly

屎幣
馬斯克:深度揭秘:馬斯克“推特炒幣”背后的5000億資本騙局

最近的幣圈,被馬斯克攪得天翻地覆,馬斯克的推特上充滿了不定時炸彈,比特幣價格也是被折騰得死去活來。6月4日,馬斯克推特上發出了比特幣+心碎的表情,比特幣應聲暴跌5000美元,市值縮水5000億.

1900/1/1 0:00:00
BIT:創世文檔:尼克·薩博的Bit Gold與比特幣只半步之遙

尼克·薩博的父母原本是匈牙利人,為躲避一戰后建立的匈牙利蘇式政權,逃往美國定居。因此,薩博將20世紀90年代的加利福尼亞灣地區稱作自己的家.

1900/1/1 0:00:00
比特幣:邁阿密 Bitcoin 2021 全記錄:奶王云集 驚喜與驚嚇不斷

6月,邁阿密,空氣中充斥著燥熱,還有比特幣的味道。流行語四處飄蕩,如NFT、BTD、區塊鏈,甚至還有馬斯克.

1900/1/1 0:00:00
加密貨幣:監管重拳下的幣圈

過去一個月,幣圈監管“嚴”字當頭,國家對虛擬貨幣市場重拳出擊。先有金融業三大行業協會的聯合公告,后有金融委提出打擊比特幣挖礦和交易行為,還伴隨著西南多個地方政府發布關于堅決打擊虛擬貨幣“挖礦”行.

1900/1/1 0:00:00
比特幣:比特幣 美國為什么踩不住剎車

為什么沒人管管馬斯克?這是美國比特幣投資者最近說得最多的一句話。幾周前,比特幣“信徒”馬斯克突然公開唱衰比特幣,緊接著,比特幣的價格下跌超過40%,50多萬人爆倉.

1900/1/1 0:00:00
比特幣:邁阿密比特幣大會淪為作秀場? 以太坊社區:就憑這點,我們接下來就活該承受10年熊市

據國外媒體報道,近日,2021年比特幣大會在美國邁阿密市舉行,這次大會被稱為史上最大的加密貨幣活動,吸引了1.2萬名參與者.

1900/1/1 0:00:00
ads