立于DeFi头上的“达摩克里斯剑”

原创
1597 天前
17900

今年DeFi 在过去六个月里,也是掀起了一阵发币狂潮,DeFi许多项目也出现了让人拍断腿的行情,当前DeFi中锁定资产总价值超过了40亿美元。成为了当前火热话题。

 

但DeFi目前来说还处于发展前期,很多机制都还需要完善,这让黑客开始盯上了DeFi。

 

7月1日,加密货币项目Vether(VETH)遭到闪贷攻击,黑客仅仅用了0.9 ETH(约合200美元)便盗走了Uniswap平台资金池91万VETH,在6月30日Balancer流动性池便遭到闪电贷攻击损失50万美元,据悉遭遇损失的为STA和STONK两个代币池,目前这两个代币池的流动性已枯竭。

 



事实上在2月份便发生了两次BZX盗窃案。 数据显示,犯罪分子通过该平台赚取了约360000美元的以太币,空手套取百万美金的攻击事件让“闪电贷”进入了大众视线。

 

DeFi项目被盗事件频发,这也让DeFi项目成为投资者口中的“黑客提款机”

 

根据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 32 起较为突出的安全事件,危害程度评级为「中级」,涉及 DeFi  5 起、钱包安全 2 起,公链安全 3 起,交易所相关 2 起,勒索相关 4 起,诈骗跑路 16 起等。

 

7月份便发生了5起 DeFi 相关安全事件,具体如下:

1)便是上文提到的Uniswap平台被盗91万VETH

2)知名区块链安全研究员Sam Sun在小组讨论中表示,自己似乎发现一种盗取yearn.finance yusdc资金池资金的方法。官方回应称这个问题已经得到解决,但依然提示用户暂时不要投入资金。7月26日,yearn.finance公布V2 版本的更新将添加USDC合约的资金池,但V2版本还没有完全部署,尚在实验测试阶段,官方也已经提示该合约仍为实验性质且具有高度风险,建议不要立即投入资金。

3)samczsun在yearn.finance新部署的yVault中发现了一个漏洞,初步分析是由于flashloan 中产生滑点导致。




4)网络安全公司OpenZeppelin已发布Compound的开放式预言机(Open Oracle)集成Uniswap V2的审计报告。指出,开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格,这些价格将以Uniswap V2的市场价格作为基础,发布价格的人只能在一定程度上偏离Uniswap V2的价格(具体由部署者决定),这可以很大程度上限制汇报者操纵预言机的权力。

5)DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局:Uniswap上的伪造代币列表。骗子正试图在目标协议实际推出其加密货币之前,在Uniswap上列出“官方”协议代币。DefiPrime至少确定六个被这些诈骗者锁定的协议:Uniswap、Tornado Cash、BZRX(Fulcrum)、Curve、dYdX 和1inch。甚至已经有人因此受骗。

 



DeFi协议目前主要做的是资产托管或借贷理财服务,作为一种创新技术还尚未成熟,都是开源的,很容易成为黑客眼里的一块肉。且不少开发者低估了漏洞的风险——目前主流的DeFi协议都基于以太坊搭建起来的,以太坊过往出现的各种漏洞,DeFi上都有可能再复现。

 

除了安全隐患之外,市场上还不乏一些蹭热度的伪DeFi项目。

 

让DeFi火爆的原因,在于人对理财的需求以及对掌控自己资产的欲望,这两点便是支撑DeFi走下去的原因。DeFi产品大多集中在去中心化借贷上,借贷是金融的核心需求。在缺乏新的资金入场的情况下,借贷平台的出现,能够盘活现有的存量资金,而且还吸引外部资金。DeFi的故事才刚刚开始。

 

链趣有话说:随着DeFi不断发展,必定还会有许多DeFi项目冒出来,有打算认认真真做事的,也有蹭热点和准备割韭菜的。后者可能割完之后拍拍屁股就走人了,但前者不会,或许真正走在最后的建设者只会剩下一小部分,但不管怎么说,笔者是真心佩服那些真正在建设和推进DeFi的人。


了解更多