分析:DeFi平台「僅具有其所擁有的代碼一樣安全」
在整個2019年和2020年,圍繞DeFi平台的討論都將成為加密貨幣世界的中心。在以太坊網路之上構建了一波新應用程序。還專門為託管DeFi應用程序創建了其他網路。
FMLS 2020迄今為止最多樣化的受眾群體-金融與創新相遇
對於許多人來說,DeFi代表了(和代表)比特幣承諾的自然演變:去中心化的金融平台,提供以前僅限於傳統銀行業的各種金融服務:提供和接受貸款,貨幣兌換,付款–清單繼續。
由於DeFi平台上缺乏KYC支票,因此DeFi的概念曾經並且尤其吸引加密貨幣世界:DeFi的夢想代表了向沒有銀行賬戶的人提供金融服務並允許任何想要在銀行以外運營的人的機會。金融監管機構有權這樣做。
然而,就如夢想般實現啟用DeFi的未來一樣,道路上也發生了一些巨大的變化。
dForce漏洞利用是持續存在的漏洞模式中的最新示例
DeFi最大的賣點之一就是DeFi平台非常安全的想法:由於它們不是中心化的,並且不依賴任何單一的第三方進行操作,因此它們被認為非常安全。但是,實際上並非總是如此。
的確,最近的歷史中有很多事例表明,儘管DeFi平台可能不會像中心化平台那樣面臨安全漏洞的風險,但是它們肯定不會完全免受傷害。
DeFi平台上最新的安全漏洞案發生在本周早些時候,dForce DeFi平台的一個分支Lendf.me被利用了2500萬美元。
在這種特殊情況下-就像在過去一年中發生的大多數(如果不是全部)其他DeFi駭客一樣-由於平台軟體中的漏洞,資金可以從平台中刪除。
具體來說,「主要原因 [was] 加密貨幣衍生產品交易所Interdax的首席產品官兼聯合創始人Jose Llisterri解釋說,這是ERC-777標準和dForce協議中的一項漏洞。
Interdax聯合創始人兼首席產品官Jose Llisterri。
「被稱為重新進入攻擊,它允許黑客在餘額更新之前,使用其回調機制以稱為’imBTC」的ERC-777令牌反覆提供和提取餘額;」換句話說,「黑客操縱了Lendf.Me合約的會計賬簿,使他們能夠註冊imBTC令牌而無需將其存儲。」
通過使用這種特殊策略,黑客能夠盜取價值2500萬美元的各種加密貨幣。在一件怪異的事件中,黑客最終歸還了被盜的資金,但此事件仍然引起了很大的震動。
太瘋狂了lendf / dForce黑客正在將所有被黑客入侵的資金退還給管理員:
1000萬美元的ETH
USDT 660萬美元
HBTC 220萬美元
USDC 75萬美元
$38.1萬的HUSD
$137K DAI
$132K MKR
PAX $126K總計略高於2000萬美元。https://t.co/FLkJmv7m2A pic.twitter.com/6oaLgvnZMr
-Haseeb Qureshi(@hosseeb)2020年4月21日
利斯特里(Llisterri)解釋說:「 Lendf.me合約沒有任何重新進入保護措施,通常用於保護合約免受這些攻擊。」
圍繞重新進入攻擊的保護措施不足,導致了重新部署
這不是無防護的平台第一次成為重入攻擊的受害者:「 Lendf.me駭客的執行也類似於2016年6月的DAO漏洞,兩者均基於重入攻擊,利斯特里說。
為什麼dForce的協議中沒有這些保護措施? Llisteri解釋說:「 dForce顯然是從Uniswap智能合約中獲取了代碼,該合約具有已知漏洞,並在2019年ConsenSys審計中進行了詳細說明。」
金融科技公司Humaniq的首席技術官Anton Mozgovoy向Finance Magnates解釋說dForce的協議還有其他問題:「 Lendf.me被指控從另一個DeFi平台Compound那裡複製代碼,這可能是指示開發流程質量的指標」,換句話說,構建協議的開發人員可能沒有盡職調查。
金融科技公司Humaniq的首席技術官Anton Mozgovoy說:「 DeFi平台的安全性與其所擁有的代碼一樣安全。」
但是,無論代碼是否被盜,重新進入攻擊以及對DeFi平台的其他利用,都變得越來越常見:「我們已經看到了協議級別的漏洞如何影響去中心化平台上的安全風險,例如約瑟·利斯特里(Jose Llisterri)解釋說,2020年1月的bZx漏洞利用以及最近的Bisq和Lendf.me。
這更普遍地突出了有關DeFi平台的更大問題:「沒有像非區塊鏈軟體應用程序那樣的質量保證流程,」 Anton Mozgovoy解釋說。 「在部署代碼之前,您的代碼必須100%正確,否則它很容易受到攻擊。」
換句話說,「 DeFi平台的安全性與其所擁有的代碼一樣安全。」
因此,根據Komodo首席技術官Kadan Stadelmann的說法,至關重要的是,DeFi平台應採取儘可能多的步驟來確保其平台不具有任何可利用的漏洞。他說:「 DeFi平台不應提供任何類型的中央攻擊面。」
Komodo首席技術官Kadan Stadelmann。
Stadelmann解釋說:「通過不提供任何中心化攻擊點,黑客只能針對特定的節點和網路參與者。」換句話說,「他們的攻擊將針對單個個人,而不是直接針對整個DeFi平台。」
「例如,在一個真正去中心化的網路中,如果一個用戶的智能手機存在安全漏洞,並且黑客設法攻擊了其中一個智能手機,則網路中的其他智能手機將不會受到損害。」
DeFi是「一項需要完善的巨大技術質押。」
但是,這說起來容易做起來難–畢竟,DeFi仍處於早期階段。整個加密貨幣行業仍處於早期階段。
因此,儘管許多開放源代碼和權力下放的狂熱者可能會讚揚DeFi平台,但很可能是該生態系統在安全性和可用性方面需要時間趕上其中心化對手:的確,「整體上某些生態系統(喬斯·利斯特里(Jose Llisterri)對《金融大亨》表示。
確實,「中心化平台的安全措施各不相同,但主要基於大型金融公司使用的成熟系統,」 Llisterri說。
「大多數中心化交易的黑客行為都是由於熱錢包周圍的安全性鬆懈(屏蔽的多重簽名解決了這個問題)或諸如盜用等內部問題所致。」
DeFi平台並非完全「不信任」
當然,「中心化平台涉及信任的要素,因為他們會託管您的資產,這就是為什麼加密貨幣用戶應始終在他們使用的平台上進行研究的原因,」 Llisteri繼續說道。
但是,「去中心化平台也具有信任感(除非您有能力閱讀智能合約的代碼)。」
他說:「儘管用戶不必在資產保管方面信任平台,但存在一種信任因素,因為沒有任何漏洞可以使平台遭受攻擊。」 「您必須確保他們的代碼庫沒有任何漏洞,或者使用的第三方庫是否會打開任何攻擊媒介。」
我仍然看好DeFi。我一直都知道對於早期採用者來說這是一個高風險的方案。毫無疑問,我們將看到更多此類駭客。還很早,眾所周知,當您退出#Bitcoin區塊鏈的安全性時,您會發現更多的攻擊媒介。
-CryptoRocky(Roc Zacharias)(@CryptoRocky)2020年4月19日
「鑒於中心化交易所和中心化平台已經存在了很長時間,因此,提高安全性的空間更大,而DeFi仍處於初期階段,並且將經歷相同的過程。這些漏洞利用提供了從錯誤中吸取教訓的機會,並使DeFi更加安全,可以防止將來發生更多的攻擊。」
用戶如何知道DeFi平台是否安全?
但是,與此同時,用戶如何安全?
一切都歸結為理解:「哇用戶與DeFi平台進行交互,而中心化平台則非常不同,」 Llisteri說。
「用戶與去中心化應用程序(或DApp)進行交互,以訪問連接到其數字貨幣包的DeFi服務。當用戶將其錢包連接到DApp時,將要求該用戶批准訪問其令牌,從而允許DApp與該錢包進行交互。」
「此處的安全問題是,大多數DApp用戶都授予對該令牌中所有資產的訪問許可權。因此,如果DApp一開始就容易受到攻擊或受到惡意攻擊,攻擊者可以濫用這些特權,未經他們的同意即竊取用戶的所有財產。
因此,用戶可以採取預防措施,例如持有與不同平台進行交互的獨立錢包:理想情況下,受損的DeFi平台將無法訪問所有用戶的資金。
為響應最近的DeFi安全事件,Quantstamp研究工程師Martinet Lee(@martinetlee)向智能合約開發人員提供以下建議:??https://t.co/K1DTIMX7Lz
-Quantstamp(@Quantstamp)2020年4月20日
與中心化平台進行交互時,可以採取類似的預防措施,儘管中心化平台通常無法以相同的方式訪問用戶資金:「在中心化平台上,提供商將為您控制資產並代表您採取行動,即您告訴交易所買賣比特幣,」利斯特里說。 「在這種情況下,平台的安全性和團隊的信譽是主要風險。」
問題的簡單事實是,「某些DeFi平台建立在未經審核,測試不足的代碼庫的基礎上,或者盲目使用了引入攻擊媒介的第三方庫。」
「隨著DeFi協議中存儲了更多的價值,黑客將更有動力尋找這些攻擊媒介並利用未經審核的代碼庫。」
對於DeFi基礎架構而言,如果多個Oracle能帶來所需的魯棒性,互操作性和安全性,則絕不是一個壞主意。您可以看到hack期間@chainlink幫助@bzxHQ的出色工作。但是,如果這只是針對@ethereum的議程,那麼它毫無意義。 https://t.co/jUbXqWXeIb
-DeFi 加密貨幣 Boss(@GibsoonCorp)2020年4月23日
DeFi平台未投保
這是一個嚴重的問題-DeFi平台的普通用戶可能沒有一種可靠的方法來檢查與其交互的DeFi平台和dApp的安全性。
考慮到這一點特別重要,因為「 DeFi平台是非監管的且不受監管的」,Anton Mozgovoy解釋說。
「這意味著,如果一家受監管的銀行由於襲擊而面臨資金損失,則政府和保險公司將向所有者賠償。」此外,「 DeFi平台大多數時候沒有保險礦池,並且可能給利益相關者帶來更大的風險。」
那麼,用戶如何確定與之交互的DeFi平台是安全的?一方面,必須對該平台的軟體進行可靠的第三方審核:畢竟,DeFi項目「是公開的,因此其代碼是可審核的,」 Curv首席執行官伊泰·馬林格(Itay Malinger)對《金融巨人》表示。
託管公司Curv的首席執行官Itay Malinger。
實際上,Kadan Stadelmann補充說:「對您使用的DeFi平台是否真正去中心化進行研究是關鍵。」
用戶還可以採取個別的預防措施,以使自己的工作更安全:「同樣重要的是,確保您正在使用的任何設備(智能手機,計算機)都已連接到安全網路,以防止發生任何類型的黑客攻擊。 ,」 Stadelmann說。
儘管DeFi生態系統仍在發展,但中心化可能是一個更安全的選擇
但是,如果您不確定DeFi平台的安全性,最好使用受信任的中心化平台。
Jose Llisterri解釋說:「去中心化平台各有利弊,但在某些情況下,像交易所這樣的中心化平台會更好,因為它們可以提供用戶真正想要的東西:一個易於使用的,可擴展的,具有大量交易量和流動性的平台。」
但是,另一方面,DeFi可以提供一定程度的自我主權和可訪問性,這在中心化同類服務中是不可能的。
「去中心化的平台雖然主要提供笨拙的用戶體驗並且相對缺乏流動性,但是卻將權力掌握在個人手中。」利斯特里說。 「通過提供傳統金融的替代方案,去中心化平台正在幫助人們抵制金融審查制度並收回其貨幣主權。」
您對DeFi平台的安全性有何看法?在下面的評測中讓我們知道。