信息來源：安全內(nèi)參

去中心化金融（DeFi）平臺連接各種加密貨幣區(qū)塊鏈，為借貸、交易和其他金融業(yè)務(wù)提供了去中心化的基礎(chǔ)設(shè)施，能夠幫助客戶以安全便利的方式投資和使用加密貨幣。但是，新發(fā)布的報告顯示，除了吸引懷揣數(shù)字財富夢想的大批新用戶，網(wǎng)絡(luò)犯罪團伙也將此類平臺當(dāng)成了狩獵場，輕易卷走用戶錢包中所有數(shù)字貨幣，吸干整個市場的血肉獲利。

安全公司Bishop Fox發(fā)現(xiàn)，僅2021年一年，網(wǎng)絡(luò)攻擊就給DeFi平臺造成了18億美元的損失。報告稱，總共觀察到的65起事件中，90%的損失來自非復(fù)雜攻擊，這表明DeFi行業(yè)總體網(wǎng)絡(luò)安全工作疏漏頗多。

分析師發(fā)現(xiàn)，DeFi行業(yè)去年平均每周遭遇五起攻擊，其中大部分（51%）攻擊出自“智能合約”漏洞利用。本質(zhì)上，智能合約就是存儲在區(qū)塊鏈上的交易記錄。

其他主要DeFi攻擊渠道包括加密貨幣錢包、協(xié)議設(shè)計缺陷，以及所謂的“抽地毯”騙局（誘騙投資人加入新加密貨幣項目，然后拋棄項目卷款跑路，徒留投資人面對一文不值的加密貨幣）。但報告稱，所有事件中80%都是使用（或重用）存在漏洞的代碼所導(dǎo)致的。

報告中寫道：“節(jié)省時間快速開發(fā)的欲望，或者說，不愿審查或重新構(gòu)建自身代碼的單純懶惰，往往會造成未測試脆弱代碼的使用?！?

Bishop Fox高級安全顧問Dylan Dubeif向媒體透露，事實上，隨著用戶和DeFi平臺自身試圖重塑銀行業(yè)務(wù)，隨著支持DeFi的復(fù)雜基礎(chǔ)設(shè)施建成，管理人員不能忽視安全基礎(chǔ)的重要性。

“無論你的項目有多創(chuàng)新、多復(fù)雜，都別忽視了哪怕是最細微、最基礎(chǔ)的安全措施?！彼f，“一個微不足道的漏洞都能讓你付出最為慘重的代價?！?

DeFi智能合約漏洞

5月28日，BurgerSwap去中心化交易所遭遇智能合約相關(guān)DeFi攻擊，造成720萬美元損失。攻擊利用了眾所周知的幾個漏洞，令人十分迷惑。其中包括“x*y≥k”檢查缺失，以及重入漏洞攻擊。這些缺陷使攻擊者能夠利用眾所周知的攻擊戰(zhàn)術(shù)，例如濫用閃電貸和使用假通證。

報告稱：“我們必須著重強調(diào)，一定要維持反復(fù)審查流程，并在代碼投入生產(chǎn)之前加以測試。去中心化金融環(huán)境下，即使是最短的一行脆弱代碼，都能導(dǎo)致項目通證被抽干，進而整個項目轟然倒塌?！?

去年八月，Cream Finance遭遇網(wǎng)絡(luò)犯罪團伙洗劫，在發(fā)現(xiàn)遇襲之前損失了近2900萬美元（Amp Coin 418,311,571枚，以太坊加密貨幣1,308.09枚）。

Cream Finance平臺使用了$AMP通證，其中引入的智能合約函數(shù)存在重入漏洞，網(wǎng)絡(luò)犯罪團伙便是利用該漏洞實施了攻擊。

事發(fā)時，PhishLabs研究員Joe Stewart指出：“Cream Finance平臺被攻破，是因為攻擊者利用了人為失誤（或者內(nèi)部人攻擊）引入的一長串智能合約漏洞中最新的那個。忘了在代碼中納入正確的函數(shù)修飾符之類的小事，很容易讓程序員搬起石頭砸自己的腳。Cream Finance智能合約的作者就遭遇了這種情況。”

Stewart補充道，一旦開始相互交互，智能合約代碼審計也會變得更加棘手。

“彼此交互的DeFi合約越來越復(fù)雜（甚至可能跨不同的區(qū)塊鏈），這就導(dǎo)致很難預(yù)測可致提權(quán)及合約中鎖定資金損失的所有潛在代碼路徑?！盨tewart說道。

前端DeFi攻擊

用來創(chuàng)建DeFi數(shù)字錢包和網(wǎng)站接口的代碼也被證明是很容易遭騙子利用的攻擊途徑。

去年12月BadgerDAO遭遇的攻擊中，攻擊者利用CloudFlare漏洞獲取到API密鑰，然后修改了網(wǎng)站的源代碼，將資金轉(zhuǎn)移到他們控制的錢包中。

Badger在事后聲明中寫道：“9月下旬，Cloudflare社區(qū)支持論壇上的用戶報告稱，未經(jīng)授權(quán)的用戶能夠創(chuàng)建賬戶，還能在電子郵件驗證完成之前創(chuàng)建和查看（全局）API密鑰（無法刪除或停用）?！叭缓蠊粽呖梢缘却娮余]件通過驗證，并等待賬戶創(chuàng)建完成，從而獲得API訪問權(quán)限。”

閃電貸DeFi攻擊

正如前文提到的，閃電貸是另一種類型的DeFi攻擊。閃電貸是用于購買然后賣出某種加密貨幣的無抵押貸款；可以通過在區(qū)塊鏈上構(gòu)建智能合約來申請。然后合約執(zhí)行貸款和交易，所有一切瞬間完成。

在攻擊中，網(wǎng)絡(luò)犯罪團伙可以利用這一功能進行價格操縱。例如，去年五月，DeFi項目PancakeBunny就遭遇了此類攻擊，攻擊者挖掘了大量$Bunny通證，然后轉(zhuǎn)手立即賣出。網(wǎng)絡(luò)犯罪團伙不僅能以此卷走大筆財富，還能在幾分鐘內(nèi)搞垮整個加密貨幣市場的價值。

報告稱：“盡管[這]回想起來可能貌似非常簡單，但它確實發(fā)生了，并且?guī)砹瞬恍〉暮蠊??！?

PancakeBunny DeFi是在5月19日被人圍獵的。攻擊者利用平臺中的漏洞和閃電貸攪亂資金池的平衡，令交易計算偏向自己。更糟的是，僅僅幾天之后，兩個分叉（即從同一區(qū)塊鏈開發(fā)的新DeFi社區(qū)），MerlinLabs和Autoshark，也淪為了相同代碼和攻擊方式的獵物。

報告稱：“盡管這兩個項目的團隊都清楚自己只是簡單復(fù)制了PancakeBunny代碼，幾乎沒有改動，但原始項目遇襲后不過五天和七天，他們?nèi)匀桓髯栽馐芰送瑯拥墓簟！?

DeFi服務(wù)器

存儲加密貨幣錢包私鑰的服務(wù)器也是網(wǎng)絡(luò)犯罪團伙的主要目標(biāo)。多起案例中，加密貨幣錢包均因被盜密鑰而遭洗劫，有時候損失巨大；比如說，某個錢包就被卷走了約6000萬美元的余額。

報告指出：“只要審核公司的基礎(chǔ)服務(wù)器，加諸具零信任及最小權(quán)限原則的技術(shù)和組織措施（例如多重簽名錢包），這些財物損失都本可以避免。”

防止DeFi爆破潮

網(wǎng)絡(luò)犯罪活動何其多，我們應(yīng)該做點什么？對于這個問題的答案，Bishop Fox團隊為直面這一數(shù)字金融新前線的用戶提出了兩點重要建議。第一點，不要信任任何系統(tǒng)，沒一個是安全的；第二點，謹(jǐn)記投資會一秒之內(nèi)蒸發(fā)殆盡。

用戶面臨的風(fēng)險多種多樣。某些情況下，比如PolyNetwork事件中，攻擊者先偷走價值6.1億美元的加密貨幣，然后又退回，所有人的損失都補了回來。而其他情況下，被黑的DeFi平臺沒有那么好運。

由于沒有責(zé)任標(biāo)準(zhǔn)，用戶應(yīng)該為最壞的情況做好準(zhǔn)備。報告稱：“說到DeFi，我們談?wù)摰氖前彦X投到還在試錯的新興加密貨幣金融系統(tǒng)?！?

研究人員承認(rèn)，在業(yè)務(wù)眾多的情況下，守護DeFi平臺尤其困難。

報告中寫道：“由于DeFi項目的攻擊面不是一般的大，團隊必須確保采取足夠的預(yù)防措施來保護所有資產(chǎn)?！?