信息來源：安全內(nèi)參

去中心化金融（DeFi）平臺(tái)連接各種加密貨幣區(qū)塊鏈，為借貸、交易和其他金融業(yè)務(wù)提供了去中心化的基礎(chǔ)設(shè)施，能夠幫助客戶以安全便利的方式投資和使用加密貨幣。但是，新發(fā)布的報(bào)告顯示，除了吸引懷揣數(shù)字財(cái)富夢(mèng)想的大批新用戶，網(wǎng)絡(luò)犯罪團(tuán)伙也將此類平臺(tái)當(dāng)成了狩獵場(chǎng)，輕易卷走用戶錢包中所有數(shù)字貨幣，吸干整個(gè)市場(chǎng)的血肉獲利。

安全公司Bishop Fox發(fā)現(xiàn)，僅2021年一年，網(wǎng)絡(luò)攻擊就給DeFi平臺(tái)造成了18億美元的損失。報(bào)告稱，總共觀察到的65起事件中，90%的損失來自非復(fù)雜攻擊，這表明DeFi行業(yè)總體網(wǎng)絡(luò)安全工作疏漏頗多。

分析師發(fā)現(xiàn)，DeFi行業(yè)去年平均每周遭遇五起攻擊，其中大部分（51%）攻擊出自“智能合約”漏洞利用。本質(zhì)上，智能合約就是存儲(chǔ)在區(qū)塊鏈上的交易記錄。

其他主要DeFi攻擊渠道包括加密貨幣錢包、協(xié)議設(shè)計(jì)缺陷，以及所謂的“抽地毯”騙局（誘騙投資人加入新加密貨幣項(xiàng)目，然后拋棄項(xiàng)目卷款跑路，徒留投資人面對(duì)一文不值的加密貨幣）。但報(bào)告稱，所有事件中80%都是使用（或重用）存在漏洞的代碼所導(dǎo)致的。

報(bào)告中寫道：“節(jié)省時(shí)間快速開發(fā)的欲望，或者說，不愿審查或重新構(gòu)建自身代碼的單純懶惰，往往會(huì)造成未測(cè)試脆弱代碼的使用?！?

Bishop Fox高級(jí)安全顧問Dylan Dubeif向媒體透露，事實(shí)上，隨著用戶和DeFi平臺(tái)自身試圖重塑銀行業(yè)務(wù)，隨著支持DeFi的復(fù)雜基礎(chǔ)設(shè)施建成，管理人員不能忽視安全基礎(chǔ)的重要性。

“無論你的項(xiàng)目有多創(chuàng)新、多復(fù)雜，都別忽視了哪怕是最細(xì)微、最基礎(chǔ)的安全措施?！彼f，“一個(gè)微不足道的漏洞都能讓你付出最為慘重的代價(jià)?！?

DeFi智能合約漏洞

5月28日，BurgerSwap去中心化交易所遭遇智能合約相關(guān)DeFi攻擊，造成720萬美元損失。攻擊利用了眾所周知的幾個(gè)漏洞，令人十分迷惑。其中包括“x*y≥k”檢查缺失，以及重入漏洞攻擊。這些缺陷使攻擊者能夠利用眾所周知的攻擊戰(zhàn)術(shù)，例如濫用閃電貸和使用假通證。

報(bào)告稱：“我們必須著重強(qiáng)調(diào)，一定要維持反復(fù)審查流程，并在代碼投入生產(chǎn)之前加以測(cè)試。去中心化金融環(huán)境下，即使是最短的一行脆弱代碼，都能導(dǎo)致項(xiàng)目通證被抽干，進(jìn)而整個(gè)項(xiàng)目轟然倒塌?！?

去年八月，Cream Finance遭遇網(wǎng)絡(luò)犯罪團(tuán)伙洗劫，在發(fā)現(xiàn)遇襲之前損失了近2900萬美元（Amp Coin 418,311,571枚，以太坊加密貨幣1,308.09枚）。

Cream Finance平臺(tái)使用了$AMP通證，其中引入的智能合約函數(shù)存在重入漏洞，網(wǎng)絡(luò)犯罪團(tuán)伙便是利用該漏洞實(shí)施了攻擊。

事發(fā)時(shí)，PhishLabs研究員Joe Stewart指出：“Cream Finance平臺(tái)被攻破，是因?yàn)楣粽呃昧巳藶槭д`（或者內(nèi)部人攻擊）引入的一長(zhǎng)串智能合約漏洞中最新的那個(gè)。忘了在代碼中納入正確的函數(shù)修飾符之類的小事，很容易讓程序員搬起石頭砸自己的腳。Cream Finance智能合約的作者就遭遇了這種情況?！?

Stewart補(bǔ)充道，一旦開始相互交互，智能合約代碼審計(jì)也會(huì)變得更加棘手。

“彼此交互的DeFi合約越來越復(fù)雜（甚至可能跨不同的區(qū)塊鏈），這就導(dǎo)致很難預(yù)測(cè)可致提權(quán)及合約中鎖定資金損失的所有潛在代碼路徑?！盨tewart說道。

前端DeFi攻擊

用來創(chuàng)建DeFi數(shù)字錢包和網(wǎng)站接口的代碼也被證明是很容易遭騙子利用的攻擊途徑。

去年12月BadgerDAO遭遇的攻擊中，攻擊者利用CloudFlare漏洞獲取到API密鑰，然后修改了網(wǎng)站的源代碼，將資金轉(zhuǎn)移到他們控制的錢包中。

Badger在事后聲明中寫道：“9月下旬，Cloudflare社區(qū)支持論壇上的用戶報(bào)告稱，未經(jīng)授權(quán)的用戶能夠創(chuàng)建賬戶，還能在電子郵件驗(yàn)證完成之前創(chuàng)建和查看（全局）API密鑰（無法刪除或停用）?！叭缓蠊粽呖梢缘却娮余]件通過驗(yàn)證，并等待賬戶創(chuàng)建完成，從而獲得API訪問權(quán)限?！?

閃電貸DeFi攻擊

正如前文提到的，閃電貸是另一種類型的DeFi攻擊。閃電貸是用于購(gòu)買然后賣出某種加密貨幣的無抵押貸款；可以通過在區(qū)塊鏈上構(gòu)建智能合約來申請(qǐng)。然后合約執(zhí)行貸款和交易，所有一切瞬間完成。

在攻擊中，網(wǎng)絡(luò)犯罪團(tuán)伙可以利用這一功能進(jìn)行價(jià)格操縱。例如，去年五月，DeFi項(xiàng)目PancakeBunny就遭遇了此類攻擊，攻擊者挖掘了大量$Bunny通證，然后轉(zhuǎn)手立即賣出。網(wǎng)絡(luò)犯罪團(tuán)伙不僅能以此卷走大筆財(cái)富，還能在幾分鐘內(nèi)搞垮整個(gè)加密貨幣市場(chǎng)的價(jià)值。

報(bào)告稱：“盡管[這]回想起來可能貌似非常簡(jiǎn)單，但它確實(shí)發(fā)生了，并且?guī)砹瞬恍〉暮蠊?。?

PancakeBunny DeFi是在5月19日被人圍獵的。攻擊者利用平臺(tái)中的漏洞和閃電貸攪亂資金池的平衡，令交易計(jì)算偏向自己。更糟的是，僅僅幾天之后，兩個(gè)分叉（即從同一區(qū)塊鏈開發(fā)的新DeFi社區(qū)），MerlinLabs和Autoshark，也淪為了相同代碼和攻擊方式的獵物。

報(bào)告稱：“盡管這兩個(gè)項(xiàng)目的團(tuán)隊(duì)都清楚自己只是簡(jiǎn)單復(fù)制了PancakeBunny代碼，幾乎沒有改動(dòng)，但原始項(xiàng)目遇襲后不過五天和七天，他們?nèi)匀桓髯栽馐芰送瑯拥墓??！?

DeFi服務(wù)器

存儲(chǔ)加密貨幣錢包私鑰的服務(wù)器也是網(wǎng)絡(luò)犯罪團(tuán)伙的主要目標(biāo)。多起案例中，加密貨幣錢包均因被盜密鑰而遭洗劫，有時(shí)候損失巨大；比如說，某個(gè)錢包就被卷走了約6000萬美元的余額。

報(bào)告指出：“只要審核公司的基礎(chǔ)服務(wù)器，加諸具零信任及最小權(quán)限原則的技術(shù)和組織措施（例如多重簽名錢包），這些財(cái)物損失都本可以避免?！?

防止DeFi爆破潮

網(wǎng)絡(luò)犯罪活動(dòng)何其多，我們應(yīng)該做點(diǎn)什么？對(duì)于這個(gè)問題的答案，Bishop Fox團(tuán)隊(duì)為直面這一數(shù)字金融新前線的用戶提出了兩點(diǎn)重要建議。第一點(diǎn)，不要信任任何系統(tǒng)，沒一個(gè)是安全的；第二點(diǎn)，謹(jǐn)記投資會(huì)一秒之內(nèi)蒸發(fā)殆盡。

用戶面臨的風(fēng)險(xiǎn)多種多樣。某些情況下，比如PolyNetwork事件中，攻擊者先偷走價(jià)值6.1億美元的加密貨幣，然后又退回，所有人的損失都補(bǔ)了回來。而其他情況下，被黑的DeFi平臺(tái)沒有那么好運(yùn)。

由于沒有責(zé)任標(biāo)準(zhǔn)，用戶應(yīng)該為最壞的情況做好準(zhǔn)備。報(bào)告稱：“說到DeFi，我們談?wù)摰氖前彦X投到還在試錯(cuò)的新興加密貨幣金融系統(tǒng)?！?

研究人員承認(rèn)，在業(yè)務(wù)眾多的情況下，守護(hù)DeFi平臺(tái)尤其困難。

報(bào)告中寫道：“由于DeFi項(xiàng)目的攻擊面不是一般的大，團(tuán)隊(duì)必須確保采取足夠的預(yù)防措施來保護(hù)所有資產(chǎn)?！?