信息來源:安全內(nèi)參
去中心化金融(DeFi)平臺(tái)連接各種加密貨幣區(qū)塊鏈,為借貸、交易和其他金融業(yè)務(wù)提供了去中心化的基礎(chǔ)設(shè)施,能夠幫助客戶以安全便利的方式投資和使用加密貨幣。但是,新發(fā)布的報(bào)告顯示,除了吸引懷揣數(shù)字財(cái)富夢(mèng)想的大批新用戶,網(wǎng)絡(luò)犯罪團(tuán)伙也將此類平臺(tái)當(dāng)成了狩獵場(chǎng),輕易卷走用戶錢包中所有數(shù)字貨幣,吸干整個(gè)市場(chǎng)的血肉獲利。
安全公司Bishop Fox發(fā)現(xiàn),僅2021年一年,網(wǎng)絡(luò)攻擊就給DeFi平臺(tái)造成了18億美元的損失。報(bào)告稱,總共觀察到的65起事件中,90%的損失來自非復(fù)雜攻擊,這表明DeFi行業(yè)總體網(wǎng)絡(luò)安全工作疏漏頗多。
分析師發(fā)現(xiàn),DeFi行業(yè)去年平均每周遭遇五起攻擊,其中大部分(51%)攻擊出自“智能合約”漏洞利用。本質(zhì)上,智能合約就是存儲(chǔ)在區(qū)塊鏈上的交易記錄。
其他主要DeFi攻擊渠道包括加密貨幣錢包、協(xié)議設(shè)計(jì)缺陷,以及所謂的“抽地毯”騙局(誘騙投資人加入新加密貨幣項(xiàng)目,然后拋棄項(xiàng)目卷款跑路,徒留投資人面對(duì)一文不值的加密貨幣)。但報(bào)告稱,所有事件中80%都是使用(或重用)存在漏洞的代碼所導(dǎo)致的。
報(bào)告中寫道:“節(jié)省時(shí)間快速開發(fā)的欲望,或者說,不愿審查或重新構(gòu)建自身代碼的單純懶惰,往往會(huì)造成未測(cè)試脆弱代碼的使用?!?
Bishop Fox高級(jí)安全顧問Dylan Dubeif向媒體透露,事實(shí)上,隨著用戶和DeFi平臺(tái)自身試圖重塑銀行業(yè)務(wù),隨著支持DeFi的復(fù)雜基礎(chǔ)設(shè)施建成,管理人員不能忽視安全基礎(chǔ)的重要性。
“無論你的項(xiàng)目有多創(chuàng)新、多復(fù)雜,都別忽視了哪怕是最細(xì)微、最基礎(chǔ)的安全措施?!彼f,“一個(gè)微不足道的漏洞都能讓你付出最為慘重的代價(jià)?!?
DeFi智能合約漏洞
5月28日,BurgerSwap去中心化交易所遭遇智能合約相關(guān)DeFi攻擊,造成720萬(wàn)美元損失。攻擊利用了眾所周知的幾個(gè)漏洞,令人十分迷惑。其中包括“x*y≥k”檢查缺失,以及重入漏洞攻擊。這些缺陷使攻擊者能夠利用眾所周知的攻擊戰(zhàn)術(shù),例如濫用閃電貸和使用假通證。
報(bào)告稱:“我們必須著重強(qiáng)調(diào),一定要維持反復(fù)審查流程,并在代碼投入生產(chǎn)之前加以測(cè)試。去中心化金融環(huán)境下,即使是最短的一行脆弱代碼,都能導(dǎo)致項(xiàng)目通證被抽干,進(jìn)而整個(gè)項(xiàng)目轟然倒塌?!?
去年八月,Cream Finance遭遇網(wǎng)絡(luò)犯罪團(tuán)伙洗劫,在發(fā)現(xiàn)遇襲之前損失了近2900萬(wàn)美元(Amp Coin 418,311,571枚,以太坊加密貨幣1,308.09枚)。
Cream Finance平臺(tái)使用了$AMP通證,其中引入的智能合約函數(shù)存在重入漏洞,網(wǎng)絡(luò)犯罪團(tuán)伙便是利用該漏洞實(shí)施了攻擊。
事發(fā)時(shí),PhishLabs研究員Joe Stewart指出:“Cream Finance平臺(tái)被攻破,是因?yàn)楣粽呃昧巳藶槭д`(或者內(nèi)部人攻擊)引入的一長(zhǎng)串智能合約漏洞中最新的那個(gè)。忘了在代碼中納入正確的函數(shù)修飾符之類的小事,很容易讓程序員搬起石頭砸自己的腳。Cream Finance智能合約的作者就遭遇了這種情況?!?
Stewart補(bǔ)充道,一旦開始相互交互,智能合約代碼審計(jì)也會(huì)變得更加棘手。
“彼此交互的DeFi合約越來越復(fù)雜(甚至可能跨不同的區(qū)塊鏈),這就導(dǎo)致很難預(yù)測(cè)可致提權(quán)及合約中鎖定資金損失的所有潛在代碼路徑。”Stewart說道。
前端DeFi攻擊
用來創(chuàng)建DeFi數(shù)字錢包和網(wǎng)站接口的代碼也被證明是很容易遭騙子利用的攻擊途徑。
去年12月BadgerDAO遭遇的攻擊中,攻擊者利用CloudFlare漏洞獲取到API密鑰,然后修改了網(wǎng)站的源代碼,將資金轉(zhuǎn)移到他們控制的錢包中。
Badger在事后聲明中寫道:“9月下旬,Cloudflare社區(qū)支持論壇上的用戶報(bào)告稱,未經(jīng)授權(quán)的用戶能夠創(chuàng)建賬戶,還能在電子郵件驗(yàn)證完成之前創(chuàng)建和查看(全局)API密鑰(無法刪除或停用)?!叭缓蠊粽呖梢缘却娮余]件通過驗(yàn)證,并等待賬戶創(chuàng)建完成,從而獲得API訪問權(quán)限?!?
閃電貸DeFi攻擊
正如前文提到的,閃電貸是另一種類型的DeFi攻擊。閃電貸是用于購(gòu)買然后賣出某種加密貨幣的無抵押貸款;可以通過在區(qū)塊鏈上構(gòu)建智能合約來申請(qǐng)。然后合約執(zhí)行貸款和交易,所有一切瞬間完成。
在攻擊中,網(wǎng)絡(luò)犯罪團(tuán)伙可以利用這一功能進(jìn)行價(jià)格操縱。例如,去年五月,DeFi項(xiàng)目PancakeBunny就遭遇了此類攻擊,攻擊者挖掘了大量$Bunny通證,然后轉(zhuǎn)手立即賣出。網(wǎng)絡(luò)犯罪團(tuán)伙不僅能以此卷走大筆財(cái)富,還能在幾分鐘內(nèi)搞垮整個(gè)加密貨幣市場(chǎng)的價(jià)值。
報(bào)告稱:“盡管[這]回想起來可能貌似非常簡(jiǎn)單,但它確實(shí)發(fā)生了,并且?guī)砹瞬恍〉暮蠊??!?
PancakeBunny DeFi是在5月19日被人圍獵的。攻擊者利用平臺(tái)中的漏洞和閃電貸攪亂資金池的平衡,令交易計(jì)算偏向自己。更糟的是,僅僅幾天之后,兩個(gè)分叉(即從同一區(qū)塊鏈開發(fā)的新DeFi社區(qū)),MerlinLabs和Autoshark,也淪為了相同代碼和攻擊方式的獵物。
報(bào)告稱:“盡管這兩個(gè)項(xiàng)目的團(tuán)隊(duì)都清楚自己只是簡(jiǎn)單復(fù)制了PancakeBunny代碼,幾乎沒有改動(dòng),但原始項(xiàng)目遇襲后不過五天和七天,他們?nèi)匀桓髯栽馐芰送瑯拥墓簟!?
DeFi服務(wù)器
存儲(chǔ)加密貨幣錢包私鑰的服務(wù)器也是網(wǎng)絡(luò)犯罪團(tuán)伙的主要目標(biāo)。多起案例中,加密貨幣錢包均因被盜密鑰而遭洗劫,有時(shí)候損失巨大;比如說,某個(gè)錢包就被卷走了約6000萬(wàn)美元的余額。
報(bào)告指出:“只要審核公司的基礎(chǔ)服務(wù)器,加諸具零信任及最小權(quán)限原則的技術(shù)和組織措施(例如多重簽名錢包),這些財(cái)物損失都本可以避免。”
防止DeFi爆破潮
網(wǎng)絡(luò)犯罪活動(dòng)何其多,我們應(yīng)該做點(diǎn)什么?對(duì)于這個(gè)問題的答案,Bishop Fox團(tuán)隊(duì)為直面這一數(shù)字金融新前線的用戶提出了兩點(diǎn)重要建議。第一點(diǎn),不要信任任何系統(tǒng),沒一個(gè)是安全的;第二點(diǎn),謹(jǐn)記投資會(huì)一秒之內(nèi)蒸發(fā)殆盡。
用戶面臨的風(fēng)險(xiǎn)多種多樣。某些情況下,比如PolyNetwork事件中,攻擊者先偷走價(jià)值6.1億美元的加密貨幣,然后又退回,所有人的損失都補(bǔ)了回來。而其他情況下,被黑的DeFi平臺(tái)沒有那么好運(yùn)。
由于沒有責(zé)任標(biāo)準(zhǔn),用戶應(yīng)該為最壞的情況做好準(zhǔn)備。報(bào)告稱:“說到DeFi,我們談?wù)摰氖前彦X投到還在試錯(cuò)的新興加密貨幣金融系統(tǒng)。”
研究人員承認(rèn),在業(yè)務(wù)眾多的情況下,守護(hù)DeFi平臺(tái)尤其困難。
報(bào)告中寫道:“由于DeFi項(xiàng)目的攻擊面不是一般的大,團(tuán)隊(duì)必須確保采取足夠的預(yù)防措施來保護(hù)所有資產(chǎn)。”