年損失18億美元 去中心化金融遭網絡犯罪重創

去中心化金融（DeFi）平臺連接各種加密貨幣區塊鏈，為借貸、交易和其他金融業務提供了去中心化的基礎設施，能夠幫助客戶以安全便利的方式投資和使用加密貨幣。但是，新發布的報告顯示，除了吸引懷揣數字財富夢想的大批新用戶，網絡犯罪團伙也將此類平臺當成了狩獵場，輕易卷走用戶錢包中所有數字貨幣，吸干整個市場的血肉獲利。

安全公司Bishop Fox發現，僅2021年一年，網絡攻擊就給DeFi平臺造成了18億美元的損失。報告稱，總共觀察到的65起事件中，90%的損失來自非復雜攻擊，這表明DeFi行業總體網絡安全工作疏漏頗多。

分析師發現，DeFi行業去年平均每周遭遇五起攻擊，其中大部分（51%）攻擊出自“智能合約”漏洞利用。本質上，智能合約就是存儲在區塊鏈上的交易記錄。

其他主要DeFi攻擊渠道包括加密貨幣錢包、協議設計缺陷，以及所謂的“抽地毯”騙局（誘騙投資人加入新加密貨幣項目，然后拋棄項目卷款跑路，徒留投資人面對一文不值的加密貨幣）。但報告稱，所有事件中80%都是使用（或重用）存在漏洞的代碼所導致的。

報告中寫道：“節省時間快速開發的欲望，或者說，不愿審查或重新構建自身代碼的單純懶惰，往往會造成未測試脆弱代碼的使用。” 

Bishop Fox高級安全顧問Dylan Dubeif向媒體透露，事實上，隨著用戶和DeFi平臺自身試圖重塑銀行業務，隨著支持DeFi的復雜基礎設施建成，管理人員不能忽視安全基礎的重要性。 

“無論你的項目有多創新、多復雜，都別忽視了哪怕是最細微、最基礎的安全措施。”他說，“一個微不足道的漏洞都能讓你付出最為慘重的代價。”

DeFi智能合約漏洞 

5月28日，BurgerSwap去中心化交易所遭遇智能合約相關DeFi攻擊，造成720萬美元損失。攻擊利用了眾所周知的幾個漏洞，令人十分迷惑。其中包括“x*y≥k”檢查缺失，以及重入漏洞攻擊。這些缺陷使攻擊者能夠利用眾所周知的攻擊戰術，例如濫用閃電貸和使用假通證。

報告稱：“我們必須著重強調，一定要維持反復審查流程，并在代碼投入生產之前加以測試。去中心化金融環境下，即使是最短的一行脆弱代碼，都能導致項目通證被抽干，進而整個項目轟然倒塌。” 

去年八月，Cream Finance遭遇網絡犯罪團伙洗劫，在發現遇襲之前損失了近2900萬美元（Amp Coin 418,311,571枚，以太坊加密貨幣1,308.09枚）。

Cream Finance平臺使用了$AMP通證，其中引入的智能合約函數存在重入漏洞，網絡犯罪團伙便是利用該漏洞實施了攻擊。

事發時，PhishLabs研究員Joe Stewart指出：“Cream Finance平臺被攻破，是因為攻擊者利用了人為失誤（或者內部人攻擊）引入的一長串智能合約漏洞中最新的那個。忘了在代碼中納入正確的函數修飾符之類的小事，很容易讓程序員搬起石頭砸自己的腳。Cream Finance智能合約的作者就遭遇了這種情況。”

Stewart補充道，一旦開始相互交互，智能合約代碼審計也會變得更加棘手。

“彼此交互的DeFi合約越來越復雜（甚至可能跨不同的區塊鏈），這就導致很難預測可致提權及合約中鎖定資金損失的所有潛在代碼路徑。”Stewart說道。

前端DeFi攻擊

用來創建DeFi數字錢包和網站接口的代碼也被證明是很容易遭騙子利用的攻擊途徑。 

去年12月BadgerDAO遭遇的攻擊中，攻擊者利用CloudFlare漏洞獲取到API密鑰，然后修改了網站的源代碼，將資金轉移到他們控制的錢包中。 

Badger在事后聲明中寫道：“9月下旬，Cloudflare社區支持論壇上的用戶報告稱，未經授權的用戶能夠創建賬戶，還能在電子郵件驗證完成之前創建和查看（全局）API密鑰（無法刪除或停用）。“然后攻擊者可以等待電子郵件通過驗證，并等待賬戶創建完成，從而獲得API訪問權限。”

閃電貸DeFi攻擊

正如前文提到的，閃電貸是另一種類型的DeFi攻擊。閃電貸是用于購買然后賣出某種加密貨幣的無抵押貸款；可以通過在區塊鏈上構建智能合約來申請。然后合約執行貸款和交易，所有一切瞬間完成。

在攻擊中，網絡犯罪團伙可以利用這一功能進行價格操縱。例如，去年五月，DeFi項目PancakeBunny就遭遇了此類攻擊，攻擊者挖掘了大量$Bunny通證，然后轉手立即賣出。網絡犯罪團伙不僅能以此卷走大筆財富，還能在幾分鐘內搞垮整個加密貨幣市場的價值。

報告稱：“盡管[這]回想起來可能貌似非常簡單，但它確實發生了，并且帶來了不小的后果。” 

PancakeBunny DeFi是在5月19日被人圍獵的。攻擊者利用平臺中的漏洞和閃電貸攪亂資金池的平衡，令交易計算偏向自己。更糟的是，僅僅幾天之后，兩個分叉（即從同一區塊鏈開發的新DeFi社區），MerlinLabs和Autoshark，也淪為了相同代碼和攻擊方式的獵物。 

報告稱：“盡管這兩個項目的團隊都清楚自己只是簡單復制了PancakeBunny代碼，幾乎沒有改動，但原始項目遇襲后不過五天和七天，他們仍然各自遭受了同樣的攻擊。” 

DeFi服務器

存儲加密貨幣錢包私鑰的服務器也是網絡犯罪團伙的主要目標。多起案例中，加密貨幣錢包均因被盜密鑰而遭洗劫，有時候損失巨大；比如說，某個錢包就被卷走了約6000萬美元的余額。

報告指出：“只要審核公司的基礎服務器，加諸具零信任及最小權限原則的技術和組織措施（例如多重簽名錢包），這些財物損失都本可以避免。”

防止DeFi爆破潮

網絡犯罪活動何其多，我們應該做點什么？對于這個問題的答案，Bishop Fox團隊為直面這一數字金融新前線的用戶提出了兩點重要建議。第一點，不要信任任何系統，沒一個是安全的；第二點，謹記投資會一秒之內蒸發殆盡。 

用戶面臨的風險多種多樣。某些情況下，比如PolyNetwork事件中，攻擊者先偷走價值6.1億美元的加密貨幣，然后又退回，所有人的損失都補了回來。而其他情況下，被黑的DeFi平臺沒有那么好運。 

由于沒有責任標準，用戶應該為最壞的情況做好準備。報告稱：“說到DeFi，我們談論的是把錢投到還在試錯的新興加密貨幣金融系統。”

研究人員承認，在業務眾多的情況下，守護DeFi平臺尤其困難。

報告中寫道：“由于DeFi項目的攻擊面不是一般的大，團隊必須確保采取足夠的預防措施來保護所有資產。”