定义风险的模因
在这种情况下,我们将黑客行为分为纯粹的技术外部攻击、内部攻击、故意滥用技术因素以及利用不平衡的经济协议进行经济利用。
在本文的下一部分,我们将通过DeFi中50个最大的攻击来研究这些风险背后的潜在因素。
最大风险的细分
为了了解DeFi协议对每个风险的敏感度,我们对迄今为止发生的50起最大的黑客攻击事件进行了深入研究。这包括数亿美元跨链桥黑客攻击,算法稳定币崩溃,用户资金彻底蒸发。
在这50起事件中,我们估计用户在DeFi应用中损失超过50亿美元。
正如我们将在整篇文章中介绍的,最大的攻击来自跨链桥黑客,以及算法稳定性货币的崩溃。
以下是50大DeFi攻击背后的主要风险因素分布:
大约三分之二的最大事故是由技术风险造成的。同时,不到四分之一的脆弱性是由于经济失衡,10%是两种风险的混合。
技术风险
我们进一步根据程序攻击是否是由于智能合约错误、私钥管理、前端漏洞而进行分类。
在上图中,我们可以观察到,大多数技术攻击都是由协议情报契约中的意外错误引起的。事实上,在所考虑的50次攻击中,46%源自此类风险。其中,一些最常见的漏洞是复制攻击(Re-),例如在臭名昭著的黑客攻击中利用的那些漏洞。
此外,大量攻击是由私钥管理引起的,正如最近在价值6.24亿美元的网络黑客攻击背后所看到的那样。这些事件是由于黑客能够访问控制协议智能合约的私钥。在的情况下,有一个多签名钱包,需要9个地址中的5个地址来批准交易,其中4个地址属于网络背后的公司。指出这种入侵是一种社会工程攻击,暗示冒名顶替者向SkyMavis的团队发送了一个链接,该团队在打开后被授予访问其私钥的权限。被攻破的第五个地址属于AxieDAO,似乎他们的一个成员也受到了同样的攻击。
虽然Ronin Bridge确实使用多签名钱包,但这一子类别中的许多其他攻击都是由于单个地址控制对协议资金的访问。这种不当的私钥管理可能会导致黑客攻击和Rugpull,同时也使得开发者能够故意抽回用户资金。
保护自己的资金免受这些风险似乎很难,但也不是不可能。在本文的最后,我们将提供用户可以采取的可操作步骤来减轻技术风险,但在此之前,我们先深入探讨一下经济风险,这些风险会导致更大的损失。
经济风险
尽管DeFi中的大多数攻击背后都有技术因素,但由于经济风险,损失实际上更大。
经济风险可以进一步分为四个子类别:供给侧、需求侧、稳定机制和资产健康。这些因素在某种程度上是相互依赖的,尽管通常损失可以追溯到每个事件的一个或两个子类别。
供给风险主要涉及流动性的流入流出及其集中度。与技术攻击中观察到的模式相比,这种模式非常不同。
例如,让我们看看最近的经济事件,它导致Curve Pool的储户损失了至少8000万美元。2022年1月26日之前,MIM稳定货币是DeFi矿商获取高收益的首选资产之一。在那一天,据报道,该项目的创始人DanielSesta一直在与另一个项目Wonderland合作,并与一名匿名合作者合作。创始人,前罪犯,通过加拿大Quadriga集中交易所拥有数百万资金。此外,支持MIM的部分抵押品是仙境的时间令牌。随着联合创始人身份的曝光,整个DeFi遭受了巨大的经济冲击。
MichaelPatryn,别名Sifu,是仙境的CFO,Abracadabra的创始人承认知道他的真实身份。这给DanieleSesta相关项目造成了巨大损失。在CurveMIM pool的例子中,储户争相提取流动性。
大约20亿美元的流动资金在几个小时内被抽走。由于该资金池由MIM和3Crv(USDT、戴各占33.3%的另一资金池)组成,存款人选择在3 crv提取资金以规避与MIM相关的风险,导致资金池资产构成失衡。
随着资金池转向主要是MIM,如果储户选择在3Crv(或其任何组成部分)中提取资金,他们将开始被收取更高的提取费用。随着资金池中的流动性越来越少,MIM不再与美元挂钩,取款费增加到一个地址因取款损失8000万美元的地步。由于这一事件,所有储户的损失总额是巨大的。
虽然这本身并不是一个漏洞,但CurveMIM事件凸显了经济风险如何给DeFi用户带来可怕的损失。当涉及到经济攻击时,最常见的变量是价格操纵,通常是相对较低的市值或缺乏流动性的资产。这些利用了协议的稳定性机制中的漏洞,尤其是他们使用的预测器。
贷款协议创造了金融和复合成为这一事件的受害者。攻击者利用闪电贷款来操纵资产价格,从而人为提高抵押品的价格,将贷款能力提高到不可持续的水平。当时,由于Cream和Compound使用的是链式oracle机器,攻击者可以通过lightning loan在一个块中完成所有这些操作。
尽管闪贷助长了许多此类攻击,但它们并不是背后的主要原因。这些迹象表明,该协议容易受到人为操纵,有时甚至可以在没有闪电贷款的情况下人工完成,例如在BSC中使用2亿美元的金星协议。我们将进一步讨论用户如何减少
轻涉及预言机、清算方和套利者的稳定性风险。总体而言,这些经济风险可能非常复杂,但可以通过查看这些协议的流动性变化以及它们使用的预言机等因素来监控。用户可以采取更多措施来保护自己免受这些风险以及技术风险的影响。
减轻DeFi中的风险敞口
如前所述,DeFi中最大的50起事件中有66%是由于技术风险,主要是智能合约错误。由于绝大多数人在智能合约代码方面并不精通,这就引出了一个问题:我们能做些什么来预防这些风险?
第一步也是最简单的步骤是检查协议是否已经过审核。在发生率方面,我们所分析的大量漏洞利用未经审计。
值得注意的是,不止一名审计员可以审查这些协议并且仍然被利用。例如,Certik和NCCGroup对遭受6.11亿美元黑客攻击的PolyNetwork进行了审计。鉴于这些审计的跟踪记录,用户可以评估他们可提供的价值,并可能根据历史事件为协议被利用的可能性分配权重。然而,在这里,不仅需要看审计团队经手的哪些项目遭受了攻击,还需要查看已被他们安全审计的协议数量以及它们包含的锁仓价值。
除了智能合约漏洞,我们还指出了私钥管理可能带来的风险。建议用户对谁可以访问协议背后的私钥进行尽职调查。理想情况下,这些协议不仅具有具有多个(10多个)地址的多重签名,而且还包括其组织之外的知名人士。这相当于DeFi协议的导向器,除了比传统意义上的漏洞暴露更大。通过遵守该标准,协议不太可能访问其私钥并RugPull用户,因为他们无法以编程方式这样做。
从经济角度来看,值得用户监控的是可能影响其存款安全的关键指标。对于AMM中的存款,尤其是像Curve这样的稳定互换协议,值得关注流动性及其跨资产的构成。此外,如果这些地址提取资金,鲸鱼地址中流动性的集中度也有助于评估头寸在滑点或提款费用方面的脆弱性。
在借贷协议方面,最重要的是他们使用预言机跟踪链下数据或使用资产的时间加权平均价格。这些有助于防止可能导致储户损失的价格操纵。同样,如果共享流动性池中列出了非流动性的小盘资产,这些资产也可能被寻求提取资金的攻击者人为夸大。
这些涵盖了协议方面的风险,但用户也可以采取其他措施来避免进一步的不利影响。其中最常见的包括使用硬件钱包、通过“burner”钱包使用小额资金,以及避免点击可疑链接或与网络钓鱼诈骗互动。
结论
整个加密领域的风险比比皆是,DeFi也不例外。尽管DeFi协议确实提供了比传统金融更高的收益机会,但它们容易受到更大风险的影响,而且模式非常不同。尽管跟踪所有这些风险肯定很复杂,但牢记这些风险,尤其是在您存入大量资金的情况下。
随着加密规模的不断扩大,黑客事件的影响也变得越来越大,但该行业正在建立最佳实践以更好地降低这些风险。尽管成本高昂,但现在更多的协议选择了审计,不使用多重签名来管理存款的情况也越来越少。随着开发人员从以前的攻击中吸取教训,用于价格的预言机也更具弹性。作为开源,加密可以为这些攻击提供透明的洞察力,从而强化整个行业。最终,风险可能会贯穿整个加密领域,但越来越多的开发人员和用户都可以采取措施来减轻风险。
本文链接:http://www.slxf119.com/17567.html 转载需授权!
网友评论