?譯者 | 朱先忠

審校 | 孫淑娟

引言

2021年，由于DeFi產(chǎn)品的欺詐和盜竊，導(dǎo)致價(jià)值超過(guò)100億美元的用戶資金被盜。這比去年增長(zhǎng)了7倍。2022年，英國(guó)稅務(wù)局展開(kāi)了20起涉及數(shù)字資產(chǎn)的刑事調(diào)查。這一行動(dòng)是由洗錢(qián)和欺詐行為激增引發(fā)的。根據(jù)另一份報(bào)告，基于加密貨幣的犯罪在2021年創(chuàng)下歷史新高，經(jīng)非法地址收到的貨幣價(jià)值高居140億美元之多。

去中心化金融的平靜存在似乎只是一種幻覺(jué)。盡管這些數(shù)字與加密世界的烏托邦背道而馳；但是，它們?nèi)匀粵](méi)有反映出整個(gè)DeFi應(yīng)用領(lǐng)域的安全性和合法性的全貌。

話雖如此，接下來(lái)，讓我們深入探討一下去中心化金融的安全問(wèn)題和目前已知的常見(jiàn)網(wǎng)絡(luò)騙局。

DeFi歷史回顧

如果這是你第一次閱讀有關(guān)去中心化金融的內(nèi)容，我將根據(jù)我們以前發(fā)布的一篇??博客文章??，帶你了解一下DeFi世界。

去中心化金融或DeFi是一組基于區(qū)塊鏈技術(shù)的專(zhuān)業(yè)應(yīng)用程序和金融服務(wù)。此外，它還經(jīng)常被宣傳為一場(chǎng)旨在使金融去中心化并向所有人開(kāi)放的運(yùn)動(dòng)。

也就是說(shuō)，DeFi交易不需要銀行等中介機(jī)構(gòu)或任何其他類(lèi)型的集中處理。在這方面，DeFi依靠智能合約、加密和區(qū)塊鏈的使用實(shí)現(xiàn)流程和協(xié)議的自動(dòng)化處理，使其比傳統(tǒng)銀行結(jié)構(gòu)更高效、更安全。從形式上講，您甚至可以成為自己的銀行，因?yàn)槟梢栽谫J款、借入資金、保險(xiǎn)和其他方面提供金融服務(wù)，而且無(wú)需文檔類(lèi)操作帶來(lái)的麻煩。

歸納來(lái)看，截止目前DeFi產(chǎn)品包括但不限于以下方面：

• 去中心化交易所（DEX）
• 對(duì)等（peer-to-peer）借貸平臺(tái)
• 穩(wěn)定幣（Stablecoins）
• 預(yù)測(cè)市場(chǎng)，等等

大多數(shù)DeFi產(chǎn)品都構(gòu)建在以太坊上，因?yàn)樵搮^(qū)塊鏈平臺(tái)支持有助于創(chuàng)建高級(jí)智能合約的Solidity編程語(yǔ)言。

在撰寫(xiě)本文時(shí)，去中心化金融持有的加密貨幣數(shù)量已攀升至8000多萬(wàn)美元，這無(wú)疑使其成為一種具有堅(jiān)實(shí)用戶基礎(chǔ)的可行金融現(xiàn)象。然而，DeFi基礎(chǔ)設(shè)施及其監(jiān)管技術(shù)仍在發(fā)展中，這使其極容易受到攻擊、龐氏騙局（指騙人向虛設(shè)的企業(yè)投資，以后來(lái)投資者的錢(qián)作為快速盈利付給最初投資者以誘使更多人上當(dāng)）和其他安全威脅。

因此，在最佳情況下，智能合約可以提供無(wú)與倫比的非定制金融服務(wù)。然而，它們和它們的代碼一樣安全。因此，智能合約經(jīng)常會(huì)受到漏洞的困擾，這些漏洞允許黑客耗盡錢(qián)包。讓我們不要忘記開(kāi)源和可組合性的力量，這可能是好事，也可能是壞事。

頂級(jí)DeFi黑客風(fēng)格

在過(guò)去兩年中，加密貨幣社區(qū)受到了網(wǎng)絡(luò)釣魚(yú)計(jì)劃的襲擊，許多人對(duì)其基礎(chǔ)提出了質(zhì)疑。因此，由于加密貨幣犯罪的增長(zhǎng)，DeFi應(yīng)用程序正越來(lái)越多地與加密貨幣的“拓荒時(shí)代”聯(lián)系在一起。

接下來(lái)讓我們了解一下當(dāng)前廣泛存在的一些攻擊類(lèi)型。

閃電貸款攻擊

閃電貸款是許多流行的DeFi協(xié)議中的一項(xiàng)功能，允許您在沒(méi)有抵押品的情況下借入加密貨幣資產(chǎn)，前提是貸款將在相同的交易塊中償還。

在這種情況下，一個(gè)網(wǎng)絡(luò)竊賊能夠通過(guò)從DeFi協(xié)議中獲得一筆快速貸款來(lái)操縱市場(chǎng)，然后通過(guò)過(guò)度滑移（excess slippage）將所借代幣的價(jià)值推到水下進(jìn)行套利。之后，黑客迅速歸還貸款，并通過(guò)在其他市場(chǎng)上以真實(shí)價(jià)格出售代幣，將利潤(rùn)留給自己。

不妨讓我們重溫一下區(qū)塊鏈項(xiàng)目Cream Finance及其對(duì)黑客的致命吸引力。2021年該公司利用閃電貸款獲得了價(jià)值1.3億美元的流動(dòng)性提供商代幣。當(dāng)年早些時(shí)候，黑客先后在2月份和8月份的其他閃電貸款漏洞中分別獲得了3750萬(wàn)美元和1880萬(wàn)美元。

地毯式騙局和龐氏騙局

地毯式騙局（Rug Pull，一種加密貨幣騙局的通俗術(shù)語(yǔ)）是一種DeFi騙局。區(qū)塊鏈開(kāi)發(fā)商首先抽取項(xiàng)目的代幣，然后放棄項(xiàng)目，帶走投資者資金，留下一個(gè)毫無(wú)價(jià)值的代幣。這類(lèi)騙局的主要類(lèi)型包括流動(dòng)性竊取、限制銷(xiāo)售訂單和傾銷(xiāo)。

根據(jù)區(qū)塊鏈分析公司ChainAnalysis的數(shù)據(jù)，2021年這種特殊類(lèi)型的惡意操作導(dǎo)致受害者損失近30億美元。OneCoin是加密市場(chǎng)有史以來(lái)最大的地毯式騙局之一。因此，開(kāi)發(fā)商從毫無(wú)戒心的投資者那里獲得了40多億美元。魷魚(yú)游戲代幣是另一個(gè)龐氏騙局。《token》是一部受Netflix電視連續(xù)劇啟發(fā)的賺取代幣的電視劇，吸引了43000多名投資者做空。

重入攻擊

上述這類(lèi)網(wǎng)絡(luò)攻擊是Solidity智能合約中最具破壞性的攻擊之一，因?yàn)樗鼤?huì)完全耗盡您的智能合約資金。在這種情況下，攻擊合約調(diào)用受害者合約的方式可以更好地控制代碼執(zhí)行，從而破壞受害者合約并獲得未經(jīng)授權(quán)的訪問(wèn)。當(dāng)受害者的合約無(wú)法更新其狀態(tài)時(shí)，攻擊者調(diào)用提款功能來(lái)輕松賺錢(qián)。

然而，困難在于，由于智能合約的實(shí)施方式不同，可能的場(chǎng)景也不同，因此很難發(fā)現(xiàn)重入漏洞。此外，由于智能合約中沒(méi)有特定的模式，因此無(wú)法準(zhǔn)確識(shí)別此漏洞。使用簡(jiǎn)單而直接的模式進(jìn)行分析可能會(huì)產(chǎn)生誤報(bào)，而嚴(yán)格的模式可能無(wú)法檢測(cè)到是否存在重入漏洞。

重入攻擊最著名的例子是DAO Hack，價(jià)值7000萬(wàn)美元的以太幣被黑客吸掉。

51%攻擊

如果惡意參與者控制了加密貨幣網(wǎng)絡(luò)一半以上的處理能力，則可能會(huì)發(fā)生51%的攻擊可能性。通過(guò)擁有對(duì)網(wǎng)絡(luò)的大多數(shù)控制權(quán)限，此參與者可以進(jìn)行以雙倍方式消費(fèi)代幣、審查交易，甚至完全接管網(wǎng)絡(luò)。

51%的攻擊風(fēng)險(xiǎn)是真實(shí)存在的，并且在過(guò)去針對(duì)較小的加密貨幣網(wǎng)絡(luò)時(shí)代已經(jīng)發(fā)生過(guò)。此外，這種攻擊還允許攻擊某些特定網(wǎng)絡(luò)節(jié)點(diǎn)以阻止新交易被確認(rèn)，就像它是合法網(wǎng)絡(luò)一樣。

這意味著，合法區(qū)塊鏈的增長(zhǎng)速度慢于惡意區(qū)塊鏈的增長(zhǎng)速度，從而允許攻擊者重寫(xiě)分布式賬本的內(nèi)容。目前，51%的攻擊還沒(méi)有被廣泛使用，因?yàn)樗鼈兇鷥r(jià)高昂。

2020年，DeFi平臺(tái)PegNet遭受了51%的攻擊，頂級(jí)礦工曾經(jīng)以欺詐手段在穩(wěn)定幣（Stablecoins）中創(chuàng)造了670萬(wàn)美元。

然而，這些只是困擾DeFi平臺(tái)和應(yīng)用程序的一小部分安全問(wèn)題。

DeFi有那么脆弱嗎？

對(duì)此問(wèn)題的簡(jiǎn)短回答是：非也。

現(xiàn)在，讓我們更深入地了解一下有關(guān)細(xì)節(jié)。密碼學(xué)可謂安全貨幣交易領(lǐng)域的老生常談。DeFi真正顛覆性的概念是完全和徹底的去中心化；其中，受損節(jié)點(diǎn)再次出現(xiàn)。

而DeFi的大部分脆弱性也源于其分散和開(kāi)放的基礎(chǔ)。伴隨著無(wú)限的可能性，作為用戶我們能夠得到完全透明的智能合約；但另一方面，漏洞也成為公眾熟知的知識(shí)。此外，考慮到極其復(fù)雜的DeFi結(jié)構(gòu)，相關(guān)應(yīng)用程序可能涉及跨多個(gè)協(xié)議連接的多個(gè)智能合約；因此，一個(gè)漏洞可能會(huì)拖累無(wú)數(shù)協(xié)議。

但這并不全是厄運(yùn)和悲觀。就像其他新降世的孩子一樣，DeFi需要長(zhǎng)大，展翅飛翔。任何新技術(shù)都有可能存在缺陷，這取決于你的全面權(quán)衡——是否值得利用有關(guān)技術(shù)。在去中心化財(cái)經(jīng)領(lǐng)域，安全性依賴于您所使用的開(kāi)發(fā)技術(shù)。

2P2金融服務(wù)是一條安全選擇之路。

雖然專(zhuān)家和政府正在就DeFi監(jiān)管進(jìn)行辯論，但我們都應(yīng)該遵循買(mǎi)方謹(jǐn)慎的做法——在進(jìn)入該領(lǐng)域之前進(jìn)行盡職調(diào)查。話雖如此，還是讓我們來(lái)了解一下一些目前公認(rèn)的安全實(shí)踐，以便降低DeFi應(yīng)用程序的漏洞率。

如何保護(hù)您的DeFi資產(chǎn)？

雖然目前市場(chǎng)上已經(jīng)存在不少針對(duì)每種黑客風(fēng)格的特定保護(hù)措施，但我特意策劃了當(dāng)下最流行的安全實(shí)踐，以確保您的DeFi資產(chǎn)安全可靠。

利用完整的單元測(cè)試覆蓋率

單元測(cè)試是任何高質(zhì)量項(xiàng)目所必需的重要測(cè)試技術(shù)，包括去中心化的財(cái)務(wù)應(yīng)用等方面。這種類(lèi)型的測(cè)試功能在智能合約的各個(gè)部分都存在問(wèn)題。為什么要為“無(wú)聊”的測(cè)試而煩惱呢？一旦部署，智能合約即成為不可變的；這意味著，您的代碼在進(jìn)入DeFi平臺(tái)之前必須沒(méi)有錯(cuò)誤。最重要的是，合約要求全面測(cè)試覆蓋；這意味著，不應(yīng)該存在任何“灰色”區(qū)域。

智能合約安全審核

完整的單元測(cè)試覆蓋率很高，但它無(wú)法預(yù)測(cè)意外的漏洞或所有可能的交互路徑。相反，安全審計(jì)允許開(kāi)發(fā)人員分析可能被威脅因素操縱的區(qū)域。除了明顯的安全好處外，審計(jì)還可以幫助團(tuán)隊(duì)提高整個(gè)DeFi應(yīng)用程序的效率。然而，審計(jì)可能會(huì)占用大量的財(cái)務(wù)和時(shí)間資源，這可能會(huì)“威嚇”到一些公司。然而，必須阻止重入攻擊和其他類(lèi)型的攻擊。

禁止抄襲

部署智能合約不應(yīng)是手動(dòng)復(fù)制/粘貼。由于網(wǎng)絡(luò)上每個(gè)合約的字節(jié)碼都是公共的，因此很容易將其用于另一個(gè)合約。除非您完成整個(gè)項(xiàng)目（這往往也不是最好的方案）；否則，最終將得到可能與其余部分不兼容的單獨(dú)代碼段。此外，很難在代碼中更改或添加任何內(nèi)容，即使是稍微有意義的內(nèi)容。因此，簡(jiǎn)單的復(fù)制和粘貼對(duì)安全性極為有害，并會(huì)導(dǎo)致您的DeFi應(yīng)用程序受到潛在的攻擊。

結(jié)論

目前，DeFi協(xié)議還是相對(duì)年輕但復(fù)雜的系統(tǒng)，區(qū)塊鏈也是如此。不成熟和進(jìn)步的雙重身份使兩者都容易受到攻擊。因此，在實(shí)施DeFi項(xiàng)目的安全保護(hù)之前，您需要對(duì)可能的威脅和安全策略有一個(gè)全面而準(zhǔn)確的了解。反過(guò)來(lái)，要獲得這種準(zhǔn)確的計(jì)劃需要進(jìn)行全面的安全審計(jì)。如果操作得當(dāng)，DeFi項(xiàng)目有望從脆弱的系統(tǒng)轉(zhuǎn)變?yōu)楠?dú)特、透明和直接的交易應(yīng)用程序，且不必依賴第三方機(jī)構(gòu)的監(jiān)督。

譯者介紹

朱先忠，51CTO社區(qū)編輯，51CTO專(zhuān)家博客、講師，濰坊一所高校計(jì)算機(jī)教師，自由編程界老兵一枚。早期專(zhuān)注各種微軟技術(shù)（編著成ASP.NET AJX、Cocos 2d-X相關(guān)三本技術(shù)圖書(shū)），近十多年投身于開(kāi)源世界（熟悉流行全棧Web開(kāi)發(fā)技術(shù)），了解基于OneNet/AliOS+Arduino/ESP32/樹(shù)莓派等物聯(lián)網(wǎng)開(kāi)發(fā)技術(shù)與Scala+Hadoop+Spark+Flink等大數(shù)據(jù)開(kāi)發(fā)技術(shù)。

原文標(biāo)題：??The Dark Side of DeFi: The Wild West of Decentralization???，作者：Pavel Tantsiura?