去中心化金融(DeFi)平台连接各种加密货币区块链,为借贷、交易和其他金融业务提供了去中心化的基础设施,能够帮助客户以安全便利的方式投资和使用加密货币。但是,新发布的报告显示,除了吸引怀揣数字财富梦想的大批新用户,网络犯罪团伙也将此类平台当成了狩猎场,轻易卷走用户钱包中所有数字货币,吸干整个市场的血肉获利。
安全公司Bishop Fox发现,仅2021年一年,网络攻击就给DeFi平台造成了18亿美元的损失。报告称,总共观察到的65起事件中,90%的损失来自非复杂攻击,这表明DeFi行业总体网络安全工作疏漏颇多。
分析师发现,DeFi行业去年平均每周遭遇五起攻击,其中大部分(51%)攻击出自“智能合约”漏洞利用。本质上,智能合约就是存储在区块链上的交易记录。
其他主要DeFi攻击渠道包括加密货币钱包、协议设计缺陷,以及所谓的“抽地毯”骗局(诱骗投资人加入新加密货币项目,然后抛弃项目卷款跑路,徒留投资人面对一文不值的加密货币)。但报告称,所有事件中80%都是使用(或重用)存在漏洞的代码所导致的。
报告中写道:“节省时间快速开发的欲望,或者说,不愿审查或重新构建自身代码的单纯懒惰,往往会造成未测试脆弱代码的使用。”
Bishop Fox高级安全顾问Dylan Dubeif向媒体透露,事实上,随着用户和DeFi平台自身试图重塑银行业务,随着支持DeFi的复杂基础设施建成,管理人员不能忽视安全基础的重要性。
“无论你的项目有多创新、多复杂,都别忽视了哪怕是最细微、最基础的安全措施。”他说,“一个微不足道的漏洞都能让你付出最为惨重的代价。”
DeFi智能合约漏洞
5月28日,BurgerSwap去中心化交易所遭遇智能合约相关DeFi攻击,造成720万美元损失。攻击利用了众所周知的几个漏洞,令人十分迷惑。其中包括“x*y≥k”检查缺失,以及重入漏洞攻击。这些缺陷使攻击者能够利用众所周知的攻击战术,例如滥用闪电贷和使用假通证。
报告称:“我们必须着重强调,一定要维持反复审查流程,并在代码投入生产之前加以测试。去中心化金融环境下,即使是最短的一行脆弱代码,都能导致项目通证被抽干,进而整个项目轰然倒塌。”
去年八月,Cream Finance遭遇网络犯罪团伙洗劫,在发现遇袭之前损失了近2900万美元(Amp Coin 418,311,571枚,以太坊加密货币1,308.09枚)。
Cream Finance平台使用了$AMP通证,其中引入的智能合约函数存在重入漏洞,网络犯罪团伙便是利用该漏洞实施了攻击。
事发时,PhishLabs研究员Joe Stewart指出:“Cream Finance平台被攻破,是因为攻击者利用了人为失误(或者内部人攻击)引入的一长串智能合约漏洞中最新的那个。忘了在代码中纳入正确的函数修饰符之类的小事,很容易让程序员搬起石头砸自己的脚。Cream Finance智能合约的作者就遭遇了这种情况。”
Stewart补充道,一旦开始相互交互,智能合约代码审计也会变得更加棘手。
“彼此交互的DeFi合约越来越复杂(甚至可能跨不同的区块链),这就导致很难预测可致提权及合约中锁定资金损失的所有潜在代码路径。”Stewart说道。
前端DeFi攻击
用来创建DeFi数字钱包和网站接口的代码也被证明是很容易遭骗子利用的攻击途径。
去年12月BadgerDAO遭遇的攻击中,攻击者利用CloudFlare漏洞获取到API密钥,然后修改了网站的源代码,将资金转移到他们控制的钱包中。
Badger在事后声明中写道:“9月下旬,Cloudflare社区支持论坛上的用户报告称,未经授权的用户能够创建账户,还能在电子邮件验证完成之前创建和查看(全局)API密钥(无法删除或停用)。“然后攻击者可以等待电子邮件通过验证,并等待账户创建完成,从而获得API访问权限。”
闪电贷DeFi攻击
正如前文提到的,闪电贷是另一种类型的DeFi攻击。闪电贷是用于购买然后卖出某种加密货币的无抵押贷款;可以通过在区块链上构建智能合约来申请。然后合约执行贷款和交易,所有一切瞬间完成。
在攻击中,网络犯罪团伙可以利用这一功能进行价格操纵。例如,去年五月,DeFi项目PancakeBunny就遭遇了此类攻击,攻击者挖掘了大量$Bunny通证,然后转手立即卖出。网络犯罪团伙不仅能以此卷走大笔财富,还能在几分钟内搞垮整个加密货币市场的价值。
报告称:“尽管[这]回想起来可能貌似非常简单,但它确实发生了,并且带来了不小的后果。”
PancakeBunny DeFi是在5月19日被人围猎的。攻击者利用平台中的漏洞和闪电贷搅乱资金池的平衡,令交易计算偏向自己。更糟的是,仅仅几天之后,两个分叉(即从同一区块链开发的新DeFi社区),MerlinLabs和Autoshark,也沦为了相同代码和攻击方式的猎物。
报告称:“尽管这两个项目的团队都清楚自己只是简单复制了PancakeBunny代码,几乎没有改动,但原始项目遇袭后不过五天和七天,他们仍然各自遭受了同样的攻击。”
DeFi服务器
存储加密货币钱包私钥的服务器也是网络犯罪团伙的主要目标。多起案例中,加密货币钱包均因被盗密钥而遭洗劫,有时候损失巨大;比如说,某个钱包就被卷走了约6000万美元的余额。
报告指出:“只要审核公司的基础服务器,加诸具零信任及最小权限原则的技术和组织措施(例如多重签名钱包),这些财物损失都本可以避免。”
防止DeFi爆破潮
网络犯罪活动何其多,我们应该做点什么?对于这个问题的答案,Bishop Fox团队为直面这一数字金融新前线的用户提出了两点重要建议。第一点,不要信任任何系统,没一个是安全的;第二点,谨记投资会一秒之内蒸发殆尽。
用户面临的风险多种多样。某些情况下,比如PolyNetwork事件中,攻击者先偷走价值6.1亿美元的加密货币,然后又退回,所有人的损失都补了回来。而其他情况下,被黑的DeFi平台没有那么好运。
由于没有责任标准,用户应该为最坏的情况做好准备。报告称:“说到DeFi,我们谈论的是把钱投到还在试错的新兴加密货币金融系统。”
研究人员承认,在业务众多的情况下,守护DeFi平台尤其困难。
报告中写道:“由于DeFi项目的攻击面不是一般的大,团队必须确保采取足够的预防措施来保护所有资产。”
来源:数世咨询