LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > 黑客开始攻击 DeFi 智能合约

黑客开始攻击 DeFi 智能合约

2020-02-13 忆江南 来源:区块链网络

2019 年被业内人士视为 DeFi 元年。区块链上的借贷市场已经成为了最流行的去中心化金融(DeFi)应用场景,通过 MakerDAO、Compound 以及 dYdX 产生的借贷总额已经超过了 6 亿美金, DeFi 市场用户增长从数千增长至年末近 18 万人次。

据 DAppTotal 数据显示,截至 12 月 31 日,DeFi 项目整体锁仓价值为 8.74 亿美元,其中 MakerDAO 锁仓价值为 3.1 亿美元,占比 35.35%,EOSREX 锁仓价值为 1.95 亿美元,占比 22.33%,Edgeware 锁仓价值为 1 亿美元,占比 11.50%,Compound,Synthetix、dYdX、Nuo 等其他 DeFi 类应用共占比30.82%。

除了大家熟知的借贷市场,稳定币和去中心化交易所也是 DeFi 广泛应用的两大市场,与借贷市场并称为 DeFi 三驾马车。

但是,DeFi 产品大都基于智能合约和交互协议搭建,代码普遍开源,资产完全在链上,因此也极容易成为黑客攻击的重心,据 PeckShield(派盾)数据统计,2019 年共发生 7 起典型的 DeFi 攻击事件,黑客以攻击 DeFi 智能合约为主要手段。

MakerDao、AirSwap 在安全公司帮助下及时修复漏洞

北京时间 2019 年 05 月07 日,区块链安全公司 Zeppelin 对以太坊上的 DeFi 明星项目 MakerDAO 发出安全预警,宣称其治理合约存在安全漏洞。

当日,经 PeckShield 独立研究发现,确认了该漏洞的存在(PeckShield 将其命名为 itchy DAO),具体而言:由于该治理合约实现的投票机制(vote(bytes32))存在某种缺陷,允许投票给尚不存在的 slate(但包含有正在投票的提案)。等用户投票后,攻击者可以恶意调用 free()退出,达到减掉有效提案的合法票数,并同时锁死投票人的 MKR 代币。

简单来说,就是黑客能透过这种攻击造成以下可能影响:1,恶意操控投票结果;2,因为黑客预先扣掉部份票数,导致真正的投票者有可能无法解除锁仓。

PeckShield 全程追踪了 MKR 代币的转移情况,并多次向社区发出预警,呼吁 MKR 代币持有者立即转移旧合约的 MKR 代币。

次日,PeckShield 和 Maker 公司同步了漏洞细节,05 月 10 日凌晨,MakerDAO公开了新版合约。Zeppelin 和 PeckShield 也各自独立完成了对其新合约的审计,确定新版本修复了该漏洞。因为反应迅速,在这次漏洞中,用户并无损失。

另外一起智能合约漏洞,发生在 2019 年 09 月 13 日。AirSwap 团队公布了一个 AirSwap 智能合约中存在致命的漏洞,这一漏洞可以使得用户的资产在某些情况下被对手恶意吃单『偷盗』。

PeckShield 安全人员深入分析 AirSwap 智能合约后发现,这一漏洞只对最近上线的 Wrapper 有影响。这一漏洞可使用户的资产被攻击者恶意偷盗,受此次影响的账号一共有 18 个,其中有部分账号有数万至数十万美元的资产。

随后,PeckShield 安全人员独立分析了漏洞细节,并与 AirSwap 团队沟通细节和修复的方案, 同时将该漏洞命名为“ ItchySwap”。

AirSwap 团队在发现该问题后第一时间下线合约,并将 AirSwap网站回退到之前使用的合约,从合约上线到问题修复整个过程仅持续了 24 小时,也没有造成用户损失。

此外,还有一点值得我们注意:除了传统中心化交易所,DeFi 平台也正在成为黑客洗钱的新渠道。PeckShield(派盾)旗下的 CoinHolmes在去年10月就曾监测到,2019 年 1 月黑客从 Cryptopia 交易所盗走的部分资产流入了 Uniswap 去中心化交易所和 “DeFi 银行 ”Compound, 主要目的是利用 DeFi 借贷平台进行混淆资金洗钱。


虽然行业损失金额不大,但却透露出一个危险信号,黑客已经盯上 DeFi 领域了。一旦 DeFi 平台的资产抵押规模和受众群体再上一个量级,这个领域很可能会是继 DApp 之后的下一个安全事件多发区。

—-

编译者/作者:忆江南

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...