DEF:黑客的狂欢,限于技术掣肘的DeFi如何破局?_defibox币有价值吗

2020年3月Compound推出“借贷挖矿”模式,让沉寂多时的币圈再次燥动起来。一位参与过DeFi挖矿的“矿工”表示,为了抢到头矿,他把注押在未经测试的代码上,“不管安不安全,先把头矿抢了。”开发者们更急,为了快速上线主网,从新发布的代码中获得最大收益,他们直接略过了安全审计的步骤。那些稳如泰山的黑客们,也开始把握机会,凭借自身技术实力,伺机攻击那些没有做好安全预防措施的DeFi们。进入11月,发生在DeFi协议上的攻击一起接着一起,DeFi们俨然沦为黑客的取款机。据PeckShield统计,截至目前共发生8起与DeFi相关的安全事件,包括YearnFinance、Percent.finance、CheeseBank、OriginProtocol、Akropolis、ValueDeFi、YFV、88mph,造成损失逾2100万美元。惊险时分:24小时发生两起攻击事件损失近800万美元

CryptoQuant CEO:这次下跌的主要原因是宏观环境动荡不安:2月27日消息,CryptoQuant首席执行官Ki Young Ju发推称:“Coinbase上的BTC在48000美元的位置有大量流出。美国机构投资者仍在购买BTC。我认为这次下跌的主要原因是宏观环境动荡不安,例如10年期美国国债,而不是巨鲸的存入、矿工抛售以及缺乏机构需求。”[2021/2/27 17:58:48]

11月17日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击(Re-entrancyattack),造成价值770万美元的损失。随后,11月18日,PeckShield监控到DeFi固定利率借贷协议88mph存在代码漏洞,一名攻击者利用该漏洞铸造了价值10万美元MPH代币。据悉,88mph于11月16日上线主网,上线仅48小时就遭到了攻击。在88mph协议中,用户可通过存入加密资产赚取固定利息,并获得其原生代币MPH,也可通过购买浮动利率的债券来获取MPH代币。上线仅48小时后即遭伏击

刘东风:这次疫情将促进传统出版单位对区块链等新技术的关注:陕西师范大学出版总社董事长兼社长刘东风发文指出,这次疫情对出版界的大考,可说是直接瞄准了读者的切身急需,促使各社集中推送全新的优质内容,提供公益服务、免费阅读等,在一定程度上影响了读者阅读和认识,带动着数字阅读市场和融媒服务环境的共建。这些都会促进传统出版单位更加关注和研究大数据、云计算、区块链、人工智能等新技术在出版领域应用的现实,关注5G背景下融媒开发新变化,拓展传统出版边界,加快推动数字出版融合转型发展。(中国新闻出版广电报)[2020/2/28]

PeckShield通过追踪和分析发现,首先,攻击者调用DInterest::deposit()函数将稳定币储存在资金池中,此时,存款者会收到一个新的depositID,它相当于非同质化通证,同时MPHMinter合约会开始铸造MPH代币;

声音 | 火币七爷:火币受到AWS这次事故影响 正在协调恢复:TP-LINK安防服务发布公告称,由于云服务专用光纤线路被外界不当施工挖断,导致其部分地区相关云服务受到较大影响。火币全球站CEO七爷针对此事在朋友圈表示:AWS这次事故影响了一大批企业,火币也在其中,正协调对方尽快恢复[2019/6/2]

随后,调用fundAll()函数购买浮动利率的债券,在此步骤中,用户可获得MPH代币和一个fundingID;

声音 | 肖磊:这次推动比特币价格暴涨的,是那帮富人:财经专栏作家肖磊发文表示,在主流资产里面,年初至今表现最好的资产是原油,目前的涨幅超过40%,但跟比特币这个异类相比,似乎还是逊色了很多,比特币目前的价格,比年初价格高出95%。他认为,如果硬要给比特币价格的上涨寻找原因,可以列出无数个理由,但大部分投资者,或者说站在这个市场之外去看,应该来说普遍的解释可能是投机情绪的上升。肖磊指出,比特币诞生的逻辑,跟期货、保险等类似,它增加了一种选择,用来应对未来的某些不确定性。首先是信用货币的不确定性,其次是金融服务机构的不确定性,第三个是国家壁垒的不确定性。他表示,比特币作为一种社会资源,它的流向,注定是从中产阶级手里,流向超级富豪手里。这个是符合科斯产权理论的,最终来看,谁能用好它,或者说,它在谁的手里,发挥的价值最高,它就是谁的。肖磊最后表示,这一轮比特币价格的上涨,不是极客们的乌托邦畅想,也不是草根散户的暴富美梦,而是国际诸多的富人俱乐部,开始向超级富豪们提供比特币服务。[2019/5/13]

接下来,攻击者将步骤1和步骤2所获得的depositID及fundingID传入earlywithdraw()函数提取在这两步中所存入的资产。也就是说,攻击者将步骤1中原本要锁仓1年的加密资产被提前取出,此时攻击者不会获得任何利息,因此步骤2中提供的资金也原路退回,并且MPHMinter会销毁在步骤1中铸造的所有MPH代币。值得注意的是,在第2步中所铸的MPH代币并没有被销毁。攻击者利用这点,以0成本获得了步骤2所铸造的价值10万美元的MPH代币。

通过重复操作这三个步骤,攻击者铸造了价值10万美元的MPH代币,并将其存入UniswapV2:MPH4池中。利用另一漏洞侥幸逃过一劫

事实上,MPHMinter合约还有一个漏洞,而开发者利用此漏洞侥幸逃过一劫,使得此次攻击暂未造成任何经济损失。首先,开发者调用takeBackDepositorReward将所获MPH代币从UniswapV2:MPH4转移到govTreasury,该函数没有设置门槛,任何人都可调用此函数将MPH代币转移到govTreasury中。

由于攻击者将获得的MPH代币存入了UniswapV2:MPH4池子当中,而88mph项目方自己掏空了该池子,然后做了快照,因此暂未造成任何经济损失。

PeckShield相关负责人表示:“黑客们的攻击可能会毁灭或‘杀死’一个项目,DeFi们不要存在侥幸心理,应该做好充分的预防措施。如果对此不了解,应该找专业的审计机构对代码进行彻底地审计和研究,防范各种可能发生的风险。”开发者编写的每一段代码,就如同工业生产中的螺丝钉一般,即使很微小,却与DeFi行业的兴衰成败紧密相连。DeFi的生态仍处于早期发展阶段,但区块链的核心价值在于普世的信任,如果DeFi们仍一味追求快速上线主网,忽视代码的审计安全,最终只能将社区成员的信任消磨殆尽,成为没有灵魂的躯壳。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:42ms