分析:DeFi平台“仅具有其所拥有的代码一样安全”

在整个2019年和2020年,围绕DeFi平台的讨论都将成为加密货币世界的中心。在以太坊网络之上构建了一波新应用程序。还专门为托管DeFi应用程序创建了其他网络。

FMLS 2020迄今为止最多样化的受众群体-金融与创新相遇

对于许多人来说,DeFi代表了(和代表)比特币承诺的自然演变:去中心化的金融平台,提供以前仅限于传统银行业的各种金融服务:提供和接受贷款,货币兑换,付款–清单继续。

由于DeFi平台上缺乏KYC支票,因此DeFi的概念曾经并且尤其吸引加密货币世界:DeFi的梦想代表了向没有银行账户的人提供金融服务并允许任何想要在银行以外运营的人的机会。金融监管机构有权这样做。

然而,就如梦想般实现启用DeFi的未来一样,道路上也发生了一些巨大的变化。

dForce漏洞利用是持续存在的漏洞模式中的最新示例

DeFi最大的卖点之一就是DeFi平台非常安全的想法:由于它们不是中心化的,并且不依赖任何单一的第三方进行操作,因此它们被认为非常安全。但是,实际上并非总是如此。

的确,最近的历史中有很多事例表明,尽管DeFi平台可能不会像中心化平台那样面临安全漏洞的风险,但是它们肯定不会完全免受伤害。

DeFi平台上最新的安全漏洞案发生在本周早些时候,dForce DeFi平台的一个分支Lendf.me被利用了2500万美元。

在这种特殊情况下-就像在过去一年中发生的大多数(如果不是全部)其他DeFi骇客一样-由于平台软件中的漏洞,资金可以从平台中删除。

具体来说,“主要原因 [was] 加密货币衍生产品交易所Interdax的首席产品官兼联合创始人Jose Llisterri解释说,这是ERC-777标准和dForce协议中的一项漏洞。

Interdax联合创始人兼首席产品官Jose Llisterri。

“被称为重新进入攻击,它允许黑客在余额更新之前,使用其回调机制以称为’imBTC”的ERC-777令牌反复提供和提取余额;”换句话说,“黑客操纵了Lendf.Me合约的会计账簿,使他们能够注册imBTC令牌而无需将其存储。”

通过使用这种特殊策略,黑客能够盗取价值2500万美元的各种加密货币。在一件怪异的事件中,黑客最终归还了被盗的资金,但此事件仍然引起了很大的震动。

利斯特里(Llisterri)解释说:“ Lendf.me合约没有任何重新进入保护措施,通常用于保护合约免受这些攻击。”

围绕重新进入攻击的保护措施不足,导致了重新部署

这不是无防护的平台第一次成为重入攻击的受害者:“ Lendf.me骇客的执行也类似于2016年6月的DAO漏洞,两者均基于重入攻击,利斯特里说。

为什么dForce的协议中没有这些保护措施? Llisteri解释说:“ dForce显然是从Uniswap智能合约中获取了代码,该合约具有已知漏洞,并在2019年ConsenSys审计中进行了详细说明。”

金融科技公司Humaniq的首席技术官Anton Mozgovoy向Finance Magnates解释说dForce的协议还有其他问题:“ Lendf.me被指控从另一个DeFi平台Compound那里复制代码,这可能是指示开发流程质量的指标”,换句话说,构建协议的开发人员可能没有尽职调查。

金融科技公司Humaniq的首席技术官Anton Mozgovoy说:“ DeFi平台的安全性与其所拥有的代码一样安全。”

但是,无论代码是否被盗,重新进入攻击以及对DeFi平台的其他利用,都变得越来越常见:“我们已经看到了协议级别的漏洞如何影响去中心化平台上的安全风险,例如约瑟·利斯特里(Jose Llisterri)解释说,2020年1月的bZx漏洞利用以及最近的Bisq和Lendf.me。

这更普遍地突出了有关DeFi平台的更大问题:“没有像非区块链软件应用程序那样的质量保证流程,” Anton Mozgovoy解释说。 “在部署代码之前,你的代码必须100%正确,否则它很容易受到攻击。”

换句话说,“ DeFi平台的安全性与其所拥有的代码一样安全。”

因此,根据Komodo首席技术官Kadan Stadelmann的说法,至关重要的是,DeFi平台应采取尽可能多的步骤来确保其平台不具有任何可利用的漏洞。他说:“ DeFi平台不应提供任何类型的中央攻击面。”

Komodo首席技术官Kadan Stadelmann。

Stadelmann解释说:“通过不提供任何中心化攻击点,黑客只能针对特定的节点和网络参与者。”换句话说,“他们的攻击将针对单个个人,而不是直接针对整个DeFi平台。”

“例如,在一个真正去中心化的网络中,如果一个用户的智能手机存在安全漏洞,并且黑客设法攻击了其中一个智能手机,则网络中的其他智能手机将不会受到损害。”

DeFi是“一项需要完善的巨大技术质押。”

但是,这说起来容易做起来难–毕竟,DeFi仍处于早期阶段。整个加密货币行业仍处于早期阶段。

因此,尽管许多开放源代码和权力下放的狂热者可能会赞扬DeFi平台,但很可能是该生态系统在安全性和可用性方面需要时间赶上其中心化对手:的确,“整体上某些生态系统(乔斯·利斯特里(Jose Llisterri)对《金融大亨》表示。

确实,“中心化平台的安全措施各不相同,但主要基于大型金融公司使用的成熟系统,” Llisterri说。

“大多数中心化交易的黑客行为都是由于热钱包周围的安全性松懈(屏蔽的多重签名解决了这个问题)或诸如盗用等内部问题所致。”

DeFi平台并非完全“不信任”

当然,“中心化平台涉及信任的要素,因为他们会托管你的资产,这就是为什么加密货币用户应始终在他们使用的平台上进行研究的原因,” Llisteri继续说道。

但是,“去中心化平台也具有信任感(除非你有能力阅读智能合约的代码)。”

他说:“尽管用户不必在资产保管方面信任平台,但存在一种信任因素,因为没有任何漏洞可以使平台遭受攻击。” “你必须确保他们的代码库没有任何漏洞,或者使用的第三方库是否会打开任何攻击媒介。”

“鉴于中心化交易所和中心化平台已经存在了很长时间,因此,提高安全性的空间更大,而DeFi仍处于初期阶段,并且将经历相同的过程。这些漏洞利用提供了从错误中吸取教训的机会,并使DeFi更加安全,可以防止将来发生更多的攻击。”

用户如何知道DeFi平台是否安全?

但是,与此同时,用户如何安全?

一切都归结为理解:“哇用户与DeFi平台进行交互,而中心化平台则非常不同,” Llisteri说。

“用户与去中心化应用程序(或DApp)进行交互,以访问连接到其数字货币包的DeFi服务。当用户将其钱包连接到DApp时,将要求该用户批准访问其令牌,从而允许DApp与该钱包进行交互。”

“此处的安全问题是,大多数DApp用户都授予对该令牌中所有资产的访问权限。因此,如果DApp一开始就容易受到攻击或受到恶意攻击,攻击者可以滥用这些特权,未经他们的同意即窃取用户的所有财产。

因此,用户可以采取预防措施,例如持有与不同平台进行交互的独立钱包:理想情况下,受损的DeFi平台将无法访问所有用户的资金。

与中心化平台进行交互时,可以采取类似的预防措施,尽管中心化平台通常无法以相同的方式访问用户资金:“在中心化平台上,提供商将为你控制资产并代表你采取行动,即你告诉交易所买卖比特币,”利斯特里说。 “在这种情况下,平台的安全性和团队的信誉是主要风险。”

问题的简单事实是,“某些DeFi平台建立在未经审核,测试不足的代码库的基础上,或者盲目使用了引入攻击媒介的第三方库。”

“随着DeFi协议中存储了更多的价值,黑客将更有动力寻找这些攻击媒介并利用未经审核的代码库。”

DeFi平台未投保

这是一个严重的问题-DeFi平台的普通用户可能没有一种可靠的方法来检查与其交互的DeFi平台和dApp的安全性。

考虑到这一点特别重要,因为“ DeFi平台是非监管的且不受监管的”,Anton Mozgovoy解释说。

“这意味着,如果一家受监管的银行由于袭击而面临资金损失,则政府和保险公司将向所有者赔偿。”此外,“ DeFi平台大多数时候没有保险矿池,并且可能给利益相关者带来更大的风险。”

那么,用户如何确定与之交互的DeFi平台是安全的?一方面,必须对该平台的软件进行可靠的第三方审核:毕竟,DeFi项目“是公开的,因此其代码是可审核的,” Curv首席执行官伊泰·马林格(Itay Malinger)对《金融巨人》表示。

托管公司Curv的首席执行官Itay Malinger。

实际上,Kadan Stadelmann补充说:“对你使用的DeFi平台是否真正去中心化进行研究是关键。”

用户还可以采取个别的预防措施,以使自己的工作更安全:“同样重要的是,确保你正在使用的任何设备(智能手机,计算机)都已连接到安全网络,以防止发生任何类型的黑客攻击。 ,” Stadelmann说。

尽管DeFi生态系统仍在发展,但中心化可能是一个更安全的选择

但是,如果你不确定DeFi平台的安全性,最好使用受信任的中心化平台。

Jose Llisterri解释说:“去中心化平台各有利弊,但在某些情况下,像交易所这样的中心化平台会更好,因为它们可以提供用户真正想要的东西:一个易于使用的,可扩展的,具有大量交易量和流动性的平台。”

但是,另一方面,DeFi可以提供一定程度的自我主权和可访问性,这在中心化同类服务中是不可能的。

“去中心化的平台虽然主要提供笨拙的用户体验并且相对缺乏流动性,但是却将权力掌握在个人手中。”利斯特里说。 “通过提供传统金融的替代方案,去中心化平台正在帮助人们抵制金融审查制度并收回其货币主权。”

你对DeFi平台的安全性有何看法?在下面的评测中让我们知道。

资讯来源:由0x资讯编译自FINANCEMAGNATES。版权归作者Rachel McIntosh所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢