区块链让DeFi成为可能。事实上,区块链应该是安全的,那么为什么这么多的DeFi平台和应用程序总是被黑客攻击呢?
加密公司CipherTrace在2022年初发布的一份报告显示,分散金融(DeFi)占所有加密黑客攻击的75%以上。此外,在所有重大加密欺诈案件中,DeFi案件的比例达到54%,高于2020年的3%。
首先,什么是区块链?
区块链是一个分布式共享账本,存储不同的数据类型。例如,我们可以使用区块链来记录异构令牌(NFT)的所有权,当然还有加密货币交易。
虽然传统的数据库可以很容易地存储相同的信息,但区块链是独一无二的,因为它没有中央权威机构。绝不会在一个地方由一个集中的管理员来维护,比如Excel电子表格,一个人可以在没有监督的情况下进行修改。
相反,区块链数据库的多个相同副本存在于网络上的多个计算机或节点上。要将另一个“块”添加到“链”中,并在分布式分类账中记录基础交易,需要达成共识。
在将新数据块添加到分类帐之前,大多数节点必须验证新数据的合法性。所以理论上,几乎不可能有人从事欺诈交易。这是因为威胁必须入侵每一个节点,改变账本的每一份拷贝,才能避免被发现。
虽然这不一定不可能,但对于黑客来说是一个巨大的挑战。此外,当您在投资组合中添加一层权益证明(PoS)或工作量证明(PoW)交易验证方法时,欺骗系统就变得极其困难。
POS(流行于Algorand、EOS和Tezos)使用随机选择的矿工来验证交易。另一方面,POW使用竞争性验证方法来确认交易。一旦交易被确认,一个新的区块将被添加到区块链。
因此,分散的公共区块链可以是高度安全的,因为网络上的每个人都必须验证交易是否合法执行。那么,为什么加密黑客频频上头条呢?答案就在跨链桥。
什么是跨链桥?
通过链桥连接两个不同的区块链,并允许用户从一个区块链发送、接收或交换加密货币,如加密货币,而无需任何中介或中央授权。
虽然听起来很简单,但其实不然。跨桥不像把美元换成欧元(很简单)。一个容易理解的类比是:试图把你银行账户里的航空里程换成美元。
区块链桥的存在是为了在燃气费或交易费较高、交易快速、隐私得到改善、公用事业得到优化、通过互操作性增强用户体验时,为用户提供选择。
它还为用户提供了选择的自由,并鼓励公平竞争。如果一个网络比另一个更快或更便宜,您可以简单地以更低的成本切换和移动数字资产。因此,cross-chain构成了PancakeSwap等平台的基础,用户可以在其中将以太坊(ETH)等加密货币快速“兑换”为币安(BNB)。
然而,交叉链桥(和侧链桥)有时可以颠覆DeFi的整个概念。大多数跨链桥依赖于各种外部验证者(例如:打包令牌或第三方托管,它们可能不是去中心化和无信任的)和集中式联盟来促进资产转移。
是什么让跨链桥不堪一击?
跨链网络带来极大的安全隐患。因为由不同实体开发的多个链是相连的,所以必须在更广的网络中有效地防止攻击。
本质上,这使得黑客可以通过简单地将代币从一个链移动到另一个链来窃取资金。此外,DeFi平台是犯罪分子攻击的理想目标,因为它提供了快速回报、隐私和匿名性,执法(仍然)相对落后。
然而,我们不得不应对如此多的安全漏洞(如多链、聚网、Thorchain和虫洞)。原因是创始人没有把安全当回事,没有发现错误。例如,从ETH到BNB的交换需要以太坊、币安和跨链桥中的交换代理。ETH和BNB可能是安全的,但如果桥接代理是薄弱环节,它将无济于事。
当托管人通过未经测试的安全实践和设计不良的系统保护数百万甚至数十亿美元时,保护用户资金至少可以说是一个挑战。
虫洞桥攻击
虫洞跨链桥攻击是历史上第二大加密黑客攻击,造成超过3亿美元(或12万ETH)的损失。怎么发生的?
虫洞允许用户在雪崩、币安智能链、以太坊、多边形、索拉纳和特拉链中桥接资产。因此,用户可以在区块链之间转移资产,桥通过锁定事务和将打包版本(例如wETH)铸造到最终链中来实现转移。
索拉纳的软件功能不是最新的。一些黑客发现并利用了这个可以避免的技术疏忽。例如,威胁可以通过在指令中注入恶意的“sysvar account”来规避“验证签名”的过程。结果,他们能够破解这个跨链协议,因为它无法验证所有的“验证者帐户”,从而使攻击者能够欺骗验证者签名并凭空铸造多达120,000个ETH。
在这种情况下,跨链违规的根本原因是“验证签名”的过程,因为合同有一个过时的功能,无法验证sysvar账户的合法性。这些漏洞提醒人们,DeFi仍处于起步阶段,这些项目本质上都是实验。
虫洞桥攻击后我们还能相信DeFi吗?虽然我们不能完全信任任何技术,但随着DeFi的发展和成熟,黑客欺骗节点或使其离线的难度会越来越大。这是因为加密技术只会在每一个问题的解决和每一次迭代中变得更好。
用户如何用加密保护自己?
随着加密货币成为主流,网络犯罪也越来越流行。为了提高区块链安全性和加强跨链环境,无论是新手还是老手,都必须严格遵循最佳实践来降低风险。
进行尽职调查
研究至关重要。了解区块链开发团队是否有积极透明的绩效记录。如果过去的DeFi项目有安全事故的历史,那么他们可能在内部发布过程中有问题。
找到这些信息并不容易。你必须深入研究加密世界和参与项目的每个人以及所有可能影响预期结果的相关因素。
选择白帽黑客“审核”的协议。
确保他们与已建立的白帽黑客服务合作,以识别和纠正潜在的跨链漏洞。如果团队未能充分解决内部风险和潜在漏洞,您可以期待威胁参与者“磨练”他们。
您可以通过跟踪协议的公告并与Zokyo和Trail of Bit等黑客跟踪服务提供商保持联系来找到这些信息。白帽黑客每天都在让web3变得更好、更安全。通过吸引白帽黑客,DeFi平台还可以鼓励网络内的共识和协议,以提高安全性。
检查上锁仓库的总价值(TVL)
检查协议中锁定了多少加密货币(或存放和锁定的加密资产的总价值)。如果TVL加起来有几十亿美元,而且该协议已经生效很长时间了,那么安全风险可能相对较低。但一如既往,要格外小心。
了解最新消息。
众所周知,加密世界会在一夜之间改变。因此,跟上包括区块链安全事件在内的最新发展是至关重要的。跟踪创始人在做什么,他们是否仍然积极地为项目做贡献。如果团队已经“跑了”,你必须根据你的发现重新制定你的策略。
区块链安全一天比一天好,DeFi还会继续存在。
区块链本身安全性很高,但多个区块链之间的互通可能存在漏洞。尽管跨链桥肯定会带来许多安全挑战,但它们对于互操作性、可伸缩性和增强用户体验是必不可少的。
由于DeFi领域还处于起步阶段,随着每一次安全事件的发生,整个生态系统都在变得越来越好。我们可以从每一次加密黑客事件中吸取教训,让DeFi space变得更加安全和私密。
虽然安全事件过去发生过,将来也一定会发生,但DeFi团队应该化被动为主动,始终把智能合约的安全放在第一位,让自己远离头条。只有不断提高安全性,才能稳固DeFi在行业中的强势地位。
更多信息,点击资讯活动-航天云网,国家工业互联网平台。
