WEB:金色观察 | TRM Labs：2022年DeFi和跨链桥攻击总结_web3.0币种有哪些

文/TRMLabs，译/金色财经xiaozou

根据TRM?Labs对黑客事件的回顾，针对DeFi项目和跨链桥的黑客攻击让加密货币生态系统今年成为黑客攻击创纪录的一年。截至2022年11月，被盗资金已超过36亿美元。

DeFi和非DeFi黑客攻击窃取的总金额

几个数字

3.5:1——这是针对DeFi的黑客攻击与非DeFi攻击的比例。?

80——这是今年由于DeFi攻击导致的加密货币被盗总额的百分比，数额高达30亿美元。

11x——跨链桥黑客攻击平均规模大约是非跨链桥攻击的11倍。针对DeFi支持的跨链桥黑客攻击虽不如针对其他目标的黑客攻击那么常见，但平均规模要大得多。

金色午报 | 12月19日午间重要动态一览:7:00-12:00关键词：灰度、 詹克团、银行、FinCEN

1.媒体：詹克团与吴忌寒正式达成协议，詹克团正式回归；

2.分析师Alex?Krüger：FinCEN拟议中的加密监管改革只会影响美国公司；

3.南非金融监管机构指控投资公司MTI比特币交易欺诈行为；

4.灰度以太坊信托基金现已完成发行份额拆分；

5.MakerDAO发起有关添加Aave、UNI-V2-DAI-ETH为抵押品的一系列执行投票；

6.美国法官否决任命受托人监督加密贷款机构Cred重组的动议；

7.银行函证区块链服务平台发布；[2020/12/19 15:46:17]

13——这是截至2022年11月，TRM?Labs检测到的跨链桥黑客攻击数量，失窃金额近20亿美元。

金色相对论 | William：以太坊2.0实现“二次方分片”的难度相当大，暂停分片化执行是比较务实的做法:11月27日消息，在今日举行的金色相对论中，针对“对以太坊现在的“表现”有什么直观感受？此外对于新的“路线图”，是否支持？”的问题，OKEx首席分析师William表示，我对存款合约质押量的加速感到惊讶，因为在两周前的11月17日，质押进度只有20%，如果按当时线性增长，可能需要等到明年才能满足要求，但在过去的一周内其进度迅速加快，并最终在最后一天完成。我是比较支持新的路线图的，新路线图中谈到暂时不再强调Phase2 的重要性，这是比较务实的做法，我一直很疑惑以太坊的“二次方分片”的实际扩展性效果，包括它能否按时实现。总的来说，实现“二次方分片”的难度相当大，所以搁置Phase2，我认为暂停分片化执行是比较务实的做法。[2020/11/27 22:20:32]

9/10——截至当前，2022年10个最大的黑客攻击中有9个是针对DeFi的，其中有5个是针对跨链桥的。如能预防最大的9次DeFi攻击，将使65%的资金免于被盗。

印度储备银行副行长：稳定币对政策主权构成生存威胁:金色财经报道，印度储备银行副行长表示，稳定币对政策主权构成生存威胁，并且只对少数国家有用。考虑到对稳定币的担忧，央行数字货币（CBDC）对每个国家来说都是更好的“稳定解决方案”。稳定币对美国和欧洲等经济体有利，稳定币可能与这些国家的货币挂钩。但在印度这样的国家，它们有可能取代卢比在当地经济中的使用，这在一定程度上要归功于政府通过向私人参与者发行货币而获得的利润。[2023/7/12 10:50:48]

金额巨大和安全漏洞使DeFi成为极具吸引力的目标

据Defilama数据，DeFi的总锁定价值在过去两年里呈爆炸式增长，从2020年10月的约100亿美元增长到2022年11月的420亿美元。Defilama数据同样显示，在11月底的7天里，桥交易量约为13亿美元。

Zhu Su：将推出长视频播客系列，讨论生活和心理健康等:11月28日消息，三箭资本联合创始人Zhu Su发推文表示，其将和一个名为Cliff的好友很快将推出一个长视频播客系列，讨论生活、信仰系统和心理健康。

Cliff是Zhu Su相识十多年的好友，曾在加入三箭资本一年后离开，自此5年未联系过。Zhu Su称：“今年6月，三箭资本暴雷后，他给我发信息，让我来巴厘岛见他。我无法理解生活的意义。当我们再次成为最好的朋友时，得到的东西失去了，失去的东西又得到了。当秋天天气变得凉爽时，生活又重新开始了。”

此前7月份消息，三箭资本已根据美国破产法第15章向纽约法院申请破产保护。虽然Zhu Su仍未透露其位于何地，但仍在推特上持续发声，近日，他表示其正在考虑建立一个全新的投资交易公司，公司也许是一家既投资加密资产又投资传统资产的全天候基金。[2022/11/28 21:06:23]

除了规模庞大外，DeFi项目和跨链桥的其他两个关键特征使它们成为潜在黑客的理想目标，也更容易遭受攻击：

复杂性：DeFi生态系统复杂且相互关联，这让黑客以开发人员无法预料或测试的方式利用漏洞。例如，在闪电贷款攻击中，黑客可以使用与目标无关的服务来操纵资产价格或放大攻击对主要目标的影响。

透明度：DeFi项目自然非常重视透明度，通常构建在开源代码之上。这使得任何人，无论是安全研究人员还是黑客，都可以查看代码并搜寻可利用的漏洞。

一些黑客还声称，可以在不违反法律的情况下操纵和攻击DeFi项目。这可能导致潜在攻击者将DeFi项目视为比CeFi目标风险更低的项目。

2022年10月，基于Solana的平台MangoMarkets损失了约1.15亿美元，原因是有个团队操纵了其价格预言机。自称为黑客领袖的AvrahamEisenberg后来透露了自己的身份，并将其团队活动描述为“利润丰厚的交易策略”，而非黑客行为。Eisenberg是否会被起诉，目前尚不清楚。

MangoMarkets黑客发布推文称其行为是合法的

DeFi黑客攻击包括基础设施攻击、代码漏洞攻击和协议攻击

到目前为止，基础设施攻击、代码漏洞攻击和协议攻击占今年黑客窃取资金总量的大部分。一些黑客还组合使用这些攻击类型来窃取资金。

基础设施攻击让黑客侵入目标的安全控件，进行未经授权的交易，例如将资金从受害者地址发送到黑客所控地址。这种攻击类型的常见方法有窃取私钥、助记词，及前端攻击。

针对智能合约的代码漏洞攻击使攻击者能够在未经授权的情况下从DeFi协议中移除资金。在智能合约代码漏洞攻击中，黑客可能会使用已发现的漏洞对协议展开攻击。今年早些时候，Solana的wormhole桥成为黑客攻击的目标，导致该DeFi协议中超过3亿美元被盗取。

协议攻击是一种业务逻辑攻击，主要结果是攻击者可以操纵代币的价格，并创造套利机会，在一个市场低买，在另一个市场高卖。闪电贷款和治理操纵是其中最常见的协议攻击类型。

CeFi的失败可能助长DeFi攻击

最近FTX和其他备受瞩目的中心化加密公司的失败，可能会使人们对DeFi解决方案越来越感兴趣。如果投资者因此大批涌向DeFi，可能会进一步助长黑客的攻击动机。

为了降低这种风险，DeFi项目应该求助于传统的bug赏金计划、智能合约安全审计和商业安全解决方案。

传统的bug赏金计划给黑客和安全研究人员发放奖励，激励他们发现漏洞并将漏洞报告给DeFi项目。然后就可以在攻击利用该漏洞之前修补该漏洞。相比之下，加密赏金计划在攻击后向黑客支付资金鼓励其归还一定比例的被盗资金，这实际上会激励黑客的攻击行为。

安全审计可以发现DeFi项目顶梁柱——智能合约——中的漏洞，允许项目在黑客得以利用这些漏洞之前将其修复。但是，审计并不是万无一失的，应该与其他安全控件和策略合并使用。

新的商业解决方案正在开发，以提高整个DeFi生态系统的安全性。特别是当与现有的控件相结合时，创新的安全产品可能会提供更好的DeFi安全性，尽管现在判断其效力还为时过早。

当结合使用时，这些控件和技术可以缩小DeFi协议的攻击面。随着DeFi的不断增长，黑客将寻求更大胆的方法来利用其弱点和漏洞——因此，保持持续的警惕性必不可少。

标签：WEBWEB3DEFNETweb3.0币种有哪些WEB3COIN99DEFI币Callisto Network

DYDX热门资讯