什么是DeFi？黑客為何偏愛攻擊DeFi項(xiàng)目？

區(qū)塊鏈技術(shù)的誕生為傳統(tǒng)金融、數(shù)據(jù)隱私、供應(yīng)鏈、跨境匯款等應(yīng)用領(lǐng)域帶來革命性的突破。其中，「去中心化金融（DeFi）」是這兩年最為火熱的應(yīng)用之一。

DeFi是指基于區(qū)塊鏈的金融服務(wù)體系，與現(xiàn)有金融體系不同，用戶的資金不會(huì)存放在第三方機(jī)構(gòu)中，而是通過各種智能合約實(shí)現(xiàn)協(xié)議和信任，最大程度減少風(fēng)險(xiǎn)。它提供了完整的開源生態(tài)系統(tǒng)，包括貸款、交易、資產(chǎn)管理和支付等金融服務(wù)。

DeFi攻擊事件頻發(fā)，主要原因是攻擊者可以獲取巨額資產(chǎn)?？珂滍?xiàng)目不僅僅有鏈上智能合約，還有鏈下代碼，無論哪一部分出問題，都會(huì)被黑客利用。

DeFi涉及的安全問題都有哪些？

2022年第一季度，區(qū)塊鏈領(lǐng)域發(fā)生了超過30起典型安全事件，損失金額超過12億美元，增長(zhǎng)率為823%。其中，DeFi項(xiàng)目仍是黑客攻擊的重點(diǎn)領(lǐng)域，主要涉及的安全問題包括：閃電貸攻擊、私鑰泄露、智能合約重入攻擊、Rugpull等。

閃電貸攻擊是在一筆鏈上交易中完成借款和還款，無需抵押。攻擊者可以在借款和還款間加入其他鏈上操作，以極低的成本撬動(dòng)巨額資金，結(jié)合其他漏洞進(jìn)行套利、價(jià)格操縱等攻擊。

私鑰泄露是指由于項(xiàng)目方遭受傳統(tǒng)網(wǎng)絡(luò)安全或社會(huì)工程學(xué)攻擊，私鑰泄露，黑客可進(jìn)行轉(zhuǎn)賬、提取等任意操作。

智能合約重入攻擊是在存在外部合約調(diào)用的項(xiàng)目中，如果外部合約調(diào)用發(fā)生在賬本更新之前，存在重入風(fēng)險(xiǎn)，攻擊者可以通過重入攻擊威脅項(xiàng)目資金安全。

Rugpull是指項(xiàng)目方突然撤出支持、DEX流動(dòng)性池或放棄一個(gè)項(xiàng)目，毫無征兆地將投資者的資金卷走，是一個(gè)DeFi領(lǐng)域典型的退出騙局。

如何避免被黑客攻擊？

經(jīng)安全團(tuán)隊(duì)梳理和總結(jié)，盡管70%的受攻擊項(xiàng)目通過第三方安全公司的審計(jì)，但未審計(jì)的30%項(xiàng)目被攻擊后，損失金額達(dá)7.2億美元，占第一季度總損失金額的60%。

因此，DeFi項(xiàng)目上線前的審計(jì)依舊重要。在未經(jīng)審計(jì)的項(xiàng)目中，50%的攻擊手法都是利用合約漏洞。盡早審計(jì)和及時(shí)修復(fù)代碼漏洞，可以避免項(xiàng)目上線后受攻擊帶來的嚴(yán)重?fù)p失。

DeFi是一個(gè)機(jī)會(huì)，為投資者和開發(fā)商提供了許多發(fā)展前景。由于其受歡迎程度，該領(lǐng)域也成為黑客的重點(diǎn)攻擊對(duì)象。

安全性仍然是DeFi生態(tài)系統(tǒng)面臨的重大挑戰(zhàn)，因此DeFi項(xiàng)目方應(yīng)做好前置預(yù)防工作，引入一整套全生命周期的安全解決方案，完善安全防護(hù)機(jī)制。在選擇項(xiàng)目時(shí)，應(yīng)留意該項(xiàng)目是否經(jīng)過安全審計(jì)。

熱點(diǎn)：區(qū)塊鏈