无论是传统金融还是数字金融领域,资产安全都是重中之重。但受技术掣肘,一直以来都没有能够有效防范黑客攻击的措施,黑客攻击事件时有发生,行业也因此造成了巨大的资产损失。
在区块链行业,被黑客攻击是常有的事,今年以来,DeFi领域基本每月都会发生几起闪电贷攻击事件。但进入11月以来,DeFi协议遭受闪电贷攻击愈发频繁,攻击事件一起接着一起,而大多数DeFi 协议对黑客攻击以及造成的损失束手无策,这对DeFi的发展带来了严峻的安全考验。
DeFi协议因合约漏洞频繁被攻击
11月,币圈可谓是“几家欢喜几家愁”,BTC、ETH等主流币大涨,点燃了沉寂已久的市场。反观,DeFi领域虽锁仓量一路高歌,DeBank最新(12月1日)数据显示,DeFi的总锁仓量已经超过了170亿美金,但因黑客的频繁“光顾”,很多项目方和用户造成了巨大的损失。
11月12日,DeFi借贷协议Akropolis遭到网络黑客的攻击,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失;11月14日,Value DeFi协议被黑客攻击并盗走740万美元的DAI,随后归还了200万美元;11月17日,Origin Protocol创始人Matthew Liu发文称,Origin Dollar (OUSD) 闪电贷攻击已造成约700万美元损失,并称OUSD黑客攻击主要由合约中重入漏洞引发;11月17日,DeFi平台Cheese Bank最近因黑客攻击遭受了330万美元的损失;11月17日,起源协议Origin Protocol稳定币OUSD遭闪电贷攻击,共损失225万美元的DAI和100万美元的ETH;11月21日,DeFi项目Pickle Finance因其Jar策略中存在的漏洞,被攻击者利用,损失近2000万美元的DAI。
显然,DeFi已经成为黑客攻城略地的主战场,如若攻击事件仍如此频繁,不仅会引发DeFi 用户的恐慌,更有可能使得整个DeFi生态遇冷。
如何有效控制DeFi的安全风险?
从以上的攻击事件不难看出,大多是因合约存在漏洞所致,由于DeFi协议的可组合性让其存在潜在的组合漏洞,这也使其在无形中扩大了被攻击的风险。那项目方该如有效控制风险呢?
Mercurity.Finance核心开发者Kevin表示,大多被攻击的项目基本都是因为缺乏必要的审查,以及用于智能合约中可能存在漏洞的应急程序。项目方应该从三方面来控制风险:首先,内部严控代码质量,项目内部原始编码和模拟测试是确保安全的基础;其次,选择专业的安全审计公司加强外部代码审查,这有助于及时发现在编码阶段可能被忽略的潜在问题。Mercurity.Finance为了确保项目和用户资金安全,其子协议Mercurity Swap在未上线前就通过了成都链安的安全审计。最后,可以实施代码漏洞赏金计划,如邀请白帽黑客社区的成员来做安全漏洞的审查,并发放相应的奖励,这有助于发现和解决大量潜在的安全漏洞,从而减少黑客攻击的风险。
“11月7日,去中心化数字银行 Cheese Bank 因闪电贷攻击损失330 万美元,‘科学家’是如何利用闪电贷攻击Cheese Bank的过程就不赘述了,简单来说,攻击者是通过重置喂价预言机来操纵 UNI_V2 LP 凭证的价格。”Mercurity.Finance核心开发者Kevin表示,为了避免此类事件的发生,Mercurity.Finance采取了多方面措施:只针对主流币种推出借贷产品,不支持小币种;预言机采用DEX和CEX的加权平均价,剔除异常价格,使得攻击者难以控制币价;对大额交易进行报警,及时发现并填补漏洞。
DeFi是无须许可且可组合的,上文提到这也导致了其较大的潜在风险,因为一个协议出了问题就可能影响其他协议,但如果做好安全防控,让各个协议之间既可以灵活插拔独立运行,又可以组合相互赋能,共享品牌、技术、流动性、客户、合作伙伴和社群等基础设施,将有助于形成一个丰富的DeFi生态。