币非凡 - 区块链|交易所导航 www.bifeifan.com
当前位置:网站首页 > 新闻 > 正文

黑客的狂欢,限于技术掣肘的DeFi如何破局?

admin 2020-11-20 1493 浏览

2020 年 3 月 Compound 推出“借贷挖矿”模式,让沉寂多时的币圈再次燥动起来。一位参与过 DeFi 挖矿的“矿工”表示,为了抢到头矿,他把赌注押在未经测试的代码上,“不管安不安全,先把头矿抢了。”

开发者们更急,为了快速上线主网,从新发布的代码中获得最大收益,他们直接略过了安全审计的步骤。

那些稳如泰山的黑客们,也开始把握机会,凭借自身技术实力,伺机攻击那些没有做好安全预防措施的 DeFi 们。

进入11月,发生在DeFi协议上的攻击一起接着一起,DeFi 们俨然沦为黑客的取款机。PeckShield 统计,截至目前共发生 8 起与 DeFi 相关的安全事件,包括 Yearn FinancePercent.financeCheese BankOrigin ProtocolAkropolis Value DeFi YFV88mph,造成损失逾 2100 万美元

黑客的狂欢,限于技术掣肘的DeFi如何破局? DeFi 技术 黑客 HDCC杠杆平台 HDCC HDCC交易平台app 新闻  第1张

惊险时分:24小时发生两起攻击事件 损失近800万美元

11月17日,PeckShield 监控到 DeFi 协议 Origin Protocol 稳定币 OUSD 遭到攻击,攻击者利用在衍生品平台 dYdX 的闪电贷进行了重入攻击(Re-entrancy attack),造成价值 770万 美元的损失。 OUSD遭“经典重入攻击” 损失770万美元 DeFi安全亟待解决

随后,11月18日,PeckShield 监控到 DeFi 固定利率借贷协议 88mph 存在代码漏洞,一名攻击者利用该漏洞铸造了价值 10 万美元 MPH 代币

据悉,88mph  11  16 日上线主网,上线仅 48 小时就遭到了攻击。在 88mph 协议中,用户可通过存入加密资产赚取固定利息,并获得其原生代币 MPH,也可通过购买浮动利率的债券来获取 MPH 代币。

上线仅48小时后即遭伏击

PeckShield 通过追踪和分析发现,首先,攻击者调用 DInterest::deposit() 函数将稳定币储存在资金池中,此时,存款者会收到一个新的  depositID,它相当于非同质化通证(NFT),同时 MPHMinter 合约会开始铸造 MPH 代币; 黑客的狂欢,限于技术掣肘的DeFi如何破局? DeFi 技术 黑客 HDCC杠杆平台 HDCC HDCC交易平台app 新闻  第2张随后,调用 fundAll() 函数购买浮动利率的债券,在此步骤中,用户可获得 MPH 代币和一个 fundingID (非同质化通证 ); 
黑客的狂欢,限于技术掣肘的DeFi如何破局? DeFi 技术 黑客 HDCC杠杆平台 HDCC HDCC交易平台app 新闻  第3张接下来,攻击者将步骤 1 和步骤 2 所获得的 depositID 及 fundingID 传入 earlywithdraw() 函数提取在这两步中所存入的资产。也就是说,攻击者将步骤 1 中原本要锁仓 1 年的加密资产被提前取出,此时攻击者不会获得任何利息,因此步骤 2 中提供的资金也原路退回,并且 MPHMinter 会销毁在步骤 1 中铸造的所有 MPH 代币。值得注意的是,在第 2 步中所铸的 MPH 代币并没有被销毁。攻击者利用这点,以 0 成本获得了步骤 2 所铸造的价值 10 万美元的 MPH 代币。

黑客的狂欢,限于技术掣肘的DeFi如何破局? DeFi 技术 黑客 HDCC杠杆平台 HDCC HDCC交易平台app 新闻  第4张

通过重复操作这三个步骤,攻击者铸造了价值 10万 美元的 MPH 代币,并将其存入 Uniswap V2: MPH 4 池中。

利用另一漏洞侥幸逃过一劫

事实上,MPHMinter 合约还有一个漏洞,而开发者利用此漏洞侥幸逃过一劫,使得此次攻击暂未造成任何经济损失。

首先,开发者调用 takeBackDepositorReward 将所获 MPH 代币从 Uniswap V2: MPH 4 转移到 govTreasury(相当于 mph 的资金库),该函数没有设置门槛,任何人都可调用此函数将 MPH 代币转移到 govTreasury 中。 

黑客的狂欢,限于技术掣肘的DeFi如何破局? DeFi 技术 黑客 HDCC杠杆平台 HDCC HDCC交易平台app 新闻  第5张由于攻击者将获得的 MPH 代币存入了 Uniswap V2: MPH 4 池子当中,而 88mph 项目方自己掏空了该池子,然后做了快照,因此暂未造成任何经济损失。 
黑客的狂欢,限于技术掣肘的DeFi如何破局? DeFi 技术 黑客 HDCC杠杆平台 HDCC HDCC交易平台app 新闻  第6张PeckShield 相关负责人表示:“黑客们的攻击可能会毁灭或‘杀死’一个项目,DeFi 们不要存在侥幸心理,应该做好充分的预防措施。如果对此不了解,应该找专业的审计机构对代码进行彻底地审计和研究,防范各种可能发生的风险。”

开发者编写的每一段代码,就如同工业生产中的螺丝钉一般,即使很微小,却与 DeFi 行业的兴衰成败紧密相连。

DeFi 的生态仍处于早期发展阶段,但区块链的核心价值在于普世的信任,如果 DeFi 们仍一味追求快速上线主网,忽视代码的审计安全,最终只能将社区成员的信任消磨殆尽,成为没有灵魂的躯壳。

相关推荐

MixMarvel MaryMa:不仅仅是基础设施,NFT领域存在三大问题 | 世界区块链大会·武汉

...

PPIO姚欣:数据在边缘大量产生,架构正在走向边缘计算

...

100+高薪岗位,20+头部企业,招聘站暗流涌动“抢人才”丨世界区块链大会·武汉

...

华为张小军:实现数据的有限共享是区块链的重中之重丨世界区块链大会·武汉

...

观点丨为什么不存在 "Ethereum杀手"?
观点丨为什么不存在 "Ethereum杀手"?

作者 | EricOlszewskiEthereum 社区一直坚持在前沿和冒险的道路上发展。事实上,我们大多数人都同意这样的观点:如果有更好的平台出现,我们会...

9小时前 admin

谈论行情之余我们来看看为什么CBDC的出现会引爆币圈!

暮光论CBDC代表“中央银行数字货币”,这是世界各国政府正在试验的一种新型货币。使CBDC有别于既有货币的是,支持者希望它能使用新的支付技术,特别是区块链,来潜在地提高支付效率和降低成本。这种新型货币...

彭博社:2021年比特币价格可能达到5万美元
彭博社:2021年比特币价格可能达到5万美元

彭博社在本月的加密市场月度报告中表示,2021年比特币价格可能达到5万美元。报告认为,对于比特币来说,目前上涨是阻力最小的路径。到2021年,这种加密货币的价值...

9小时前 admin

如何理解黄金与比特币的价格背离?
  • 如何理解黄金与比特币的价格背离?
  • 如何理解黄金与比特币的价格背离?
  • 如何理解黄金与比特币的价格背离?
  • 如何理解黄金与比特币的价格背离?
Paradigm丨探讨Staking与流动性供应组合的可能性
  • Paradigm丨探讨Staking与流动性供应组合的可能性
  • Paradigm丨探讨Staking与流动性供应组合的可能性
  • Paradigm丨探讨Staking与流动性供应组合的可能性
  • Paradigm丨探讨Staking与流动性供应组合的可能性
美国新法律草案将未经美联储批准发行的稳定币视为非法
美国新法律草案将未经美联储批准发行的稳定币视为非法

暴走时评:美国三位立法者提出了一项法案,该法案将迫使稳定币发行人在发行稳定币之前必须获得美联储的银行章程和批准。在众议员RashidaTlaib的倡导下,在众...

9小时前 admin

下一轮牛市,比特币能涨到20万美元?

在12月1号的文章中,我写到如果机构投资者认为比特币的潜力和价值会赶上甚至超过黄金,那么他们衡量比特币的价格就会用比特币的总市值和黄金的总市值相比,于是就得出一个对比特币价格相对保守的预估:20万美元...

日线双顶还是新一轮走势的开始
日线双顶还是新一轮走势的开始

最近在思考一个问题,市场究竟要以怎样的姿势突破2万美金,似乎越来越多的人认为突破2万是一个板上钉钉的事情。当然也不乏有人说既然场内情绪如此,庄家大概率要把场内的...

9小时前 admin

增量资金与巨鲸在高位换手,大方向没毛病
增量资金与巨鲸在高位换手,大方向没毛病

狂人说以太坊得到了无数机构的青睐,灰度近期的一篇报告中显示,仅投资以太坊的投资者数量显著增加,在第三季度,以太坊平均每周流入的资金为1560万美元,比特币则为5...

9小时前 admin

京东商城支持数字人民币DC/EP支付自营爆品(附攻略)
京东商城支持数字人民币DC/EP支付自营爆品(附攻略)

12月5日,苏州市人民政府联合中国人民银行开展的数字人民币红包试点工作正式启动预约。该试点结合“双十二苏州购物节”,将面向所有符合条件的苏州市民发放总计2000...

9小时前 admin

长江工研院雷天兆:区块链能为数据服务体系带来众多优势 | 世界区块链大会·武汉

...