?譯者 | 朱先忠

審校 | 孫淑娟

引言

2021年，由于DeFi產(chǎn)品的欺詐和盜竊，導致價值超過100億美元的用戶資金被盜。這比去年增長了7倍。2022年，英國稅務局展開了20起涉及數(shù)字資產(chǎn)的刑事調查。這一行動是由洗錢和欺詐行為激增引發(fā)的。根據(jù)另一份報告，基于加密貨幣的犯罪在2021年創(chuàng)下歷史新高，經(jīng)非法地址收到的貨幣價值高居140億美元之多。

去中心化金融的平靜存在似乎只是一種幻覺。盡管這些數(shù)字與加密世界的烏托邦背道而馳；但是，它們仍然沒有反映出整個DeFi應用領域的安全性和合法性的全貌。

話雖如此，接下來，讓我們深入探討一下去中心化金融的安全問題和目前已知的常見網(wǎng)絡騙局。

DeFi歷史回顧

如果這是你第一次閱讀有關去中心化金融的內容，我將根據(jù)我們以前發(fā)布的一篇??博客文章??，帶你了解一下DeFi世界。

去中心化金融或DeFi是一組基于區(qū)塊鏈技術的專業(yè)應用程序和金融服務。此外，它還經(jīng)常被宣傳為一場旨在使金融去中心化并向所有人開放的運動。

也就是說，DeFi交易不需要銀行等中介機構或任何其他類型的集中處理。在這方面，DeFi依靠智能合約、加密和區(qū)塊鏈的使用實現(xiàn)流程和協(xié)議的自動化處理，使其比傳統(tǒng)銀行結構更高效、更安全。從形式上講，您甚至可以成為自己的銀行，因為您可以在貸款、借入資金、保險和其他方面提供金融服務，而且無需文檔類操作帶來的麻煩。

歸納來看，截止目前DeFi產(chǎn)品包括但不限于以下方面：

• 去中心化交易所（DEX）
• 對等（peer-to-peer）借貸平臺
• 穩(wěn)定幣（Stablecoins）
• 預測市場，等等

大多數(shù)DeFi產(chǎn)品都構建在以太坊上，因為該區(qū)塊鏈平臺支持有助于創(chuàng)建高級智能合約的Solidity編程語言。

在撰寫本文時，去中心化金融持有的加密貨幣數(shù)量已攀升至8000多萬美元，這無疑使其成為一種具有堅實用戶基礎的可行金融現(xiàn)象。然而，DeFi基礎設施及其監(jiān)管技術仍在發(fā)展中，這使其極容易受到攻擊、龐氏騙局（指騙人向虛設的企業(yè)投資，以后來投資者的錢作為快速盈利付給最初投資者以誘使更多人上當）和其他安全威脅。

因此，在最佳情況下，智能合約可以提供無與倫比的非定制金融服務。然而，它們和它們的代碼一樣安全。因此，智能合約經(jīng)常會受到漏洞的困擾，這些漏洞允許黑客耗盡錢包。讓我們不要忘記開源和可組合性的力量，這可能是好事，也可能是壞事。

頂級DeFi黑客風格

在過去兩年中，加密貨幣社區(qū)受到了網(wǎng)絡釣魚計劃的襲擊，許多人對其基礎提出了質疑。因此，由于加密貨幣犯罪的增長，DeFi應用程序正越來越多地與加密貨幣的“拓荒時代”聯(lián)系在一起。

接下來讓我們了解一下當前廣泛存在的一些攻擊類型。

閃電貸款攻擊

閃電貸款是許多流行的DeFi協(xié)議中的一項功能，允許您在沒有抵押品的情況下借入加密貨幣資產(chǎn)，前提是貸款將在相同的交易塊中償還。

在這種情況下，一個網(wǎng)絡竊賊能夠通過從DeFi協(xié)議中獲得一筆快速貸款來操縱市場，然后通過過度滑移（excess slippage）將所借代幣的價值推到水下進行套利。之后，黑客迅速歸還貸款，并通過在其他市場上以真實價格出售代幣，將利潤留給自己。

不妨讓我們重溫一下區(qū)塊鏈項目Cream Finance及其對黑客的致命吸引力。2021年該公司利用閃電貸款獲得了價值1.3億美元的流動性提供商代幣。當年早些時候，黑客先后在2月份和8月份的其他閃電貸款漏洞中分別獲得了3750萬美元和1880萬美元。

地毯式騙局和龐氏騙局

地毯式騙局（Rug Pull，一種加密貨幣騙局的通俗術語）是一種DeFi騙局。區(qū)塊鏈開發(fā)商首先抽取項目的代幣，然后放棄項目，帶走投資者資金，留下一個毫無價值的代幣。這類騙局的主要類型包括流動性竊取、限制銷售訂單和傾銷。

根據(jù)區(qū)塊鏈分析公司ChainAnalysis的數(shù)據(jù)，2021年這種特殊類型的惡意操作導致受害者損失近30億美元。OneCoin是加密市場有史以來最大的地毯式騙局之一。因此，開發(fā)商從毫無戒心的投資者那里獲得了40多億美元。魷魚游戲代幣是另一個龐氏騙局。《token》是一部受Netflix電視連續(xù)劇啟發(fā)的賺取代幣的電視劇，吸引了43000多名投資者做空。

重入攻擊

上述這類網(wǎng)絡攻擊是Solidity智能合約中最具破壞性的攻擊之一，因為它會完全耗盡您的智能合約資金。在這種情況下，攻擊合約調用受害者合約的方式可以更好地控制代碼執(zhí)行，從而破壞受害者合約并獲得未經(jīng)授權的訪問。當受害者的合約無法更新其狀態(tài)時，攻擊者調用提款功能來輕松賺錢。

然而，困難在于，由于智能合約的實施方式不同，可能的場景也不同，因此很難發(fā)現(xiàn)重入漏洞。此外，由于智能合約中沒有特定的模式，因此無法準確識別此漏洞。使用簡單而直接的模式進行分析可能會產(chǎn)生誤報，而嚴格的模式可能無法檢測到是否存在重入漏洞。

重入攻擊最著名的例子是DAO Hack，價值7000萬美元的以太幣被黑客吸掉。

51%攻擊

如果惡意參與者控制了加密貨幣網(wǎng)絡一半以上的處理能力，則可能會發(fā)生51%的攻擊可能性。通過擁有對網(wǎng)絡的大多數(shù)控制權限，此參與者可以進行以雙倍方式消費代幣、審查交易，甚至完全接管網(wǎng)絡。

51%的攻擊風險是真實存在的，并且在過去針對較小的加密貨幣網(wǎng)絡時代已經(jīng)發(fā)生過。此外，這種攻擊還允許攻擊某些特定網(wǎng)絡節(jié)點以阻止新交易被確認，就像它是合法網(wǎng)絡一樣。

這意味著，合法區(qū)塊鏈的增長速度慢于惡意區(qū)塊鏈的增長速度，從而允許攻擊者重寫分布式賬本的內容。目前，51%的攻擊還沒有被廣泛使用，因為它們代價高昂。

2020年，DeFi平臺PegNet遭受了51%的攻擊，頂級礦工曾經(jīng)以欺詐手段在穩(wěn)定幣（Stablecoins）中創(chuàng)造了670萬美元。

然而，這些只是困擾DeFi平臺和應用程序的一小部分安全問題。

DeFi有那么脆弱嗎？

對此問題的簡短回答是：非也。

現(xiàn)在，讓我們更深入地了解一下有關細節(jié)。密碼學可謂安全貨幣交易領域的老生常談。DeFi真正顛覆性的概念是完全和徹底的去中心化；其中，受損節(jié)點再次出現(xiàn)。

而DeFi的大部分脆弱性也源于其分散和開放的基礎。伴隨著無限的可能性，作為用戶我們能夠得到完全透明的智能合約；但另一方面，漏洞也成為公眾熟知的知識。此外，考慮到極其復雜的DeFi結構，相關應用程序可能涉及跨多個協(xié)議連接的多個智能合約；因此，一個漏洞可能會拖累無數(shù)協(xié)議。

但這并不全是厄運和悲觀。就像其他新降世的孩子一樣，DeFi需要長大，展翅飛翔。任何新技術都有可能存在缺陷，這取決于你的全面權衡——是否值得利用有關技術。在去中心化財經(jīng)領域，安全性依賴于您所使用的開發(fā)技術。

2P2金融服務是一條安全選擇之路。

雖然專家和政府正在就DeFi監(jiān)管進行辯論，但我們都應該遵循買方謹慎的做法——在進入該領域之前進行盡職調查。話雖如此，還是讓我們來了解一下一些目前公認的安全實踐，以便降低DeFi應用程序的漏洞率。

如何保護您的DeFi資產(chǎn)？

雖然目前市場上已經(jīng)存在不少針對每種黑客風格的特定保護措施，但我特意策劃了當下最流行的安全實踐，以確保您的DeFi資產(chǎn)安全可靠。

利用完整的單元測試覆蓋率

單元測試是任何高質量項目所必需的重要測試技術，包括去中心化的財務應用等方面。這種類型的測試功能在智能合約的各個部分都存在問題。為什么要為“無聊”的測試而煩惱呢？一旦部署，智能合約即成為不可變的；這意味著，您的代碼在進入DeFi平臺之前必須沒有錯誤。最重要的是，合約要求全面測試覆蓋；這意味著，不應該存在任何“灰色”區(qū)域。

智能合約安全審核

完整的單元測試覆蓋率很高，但它無法預測意外的漏洞或所有可能的交互路徑。相反，安全審計允許開發(fā)人員分析可能被威脅因素操縱的區(qū)域。除了明顯的安全好處外，審計還可以幫助團隊提高整個DeFi應用程序的效率。然而，審計可能會占用大量的財務和時間資源，這可能會“威嚇”到一些公司。然而，必須阻止重入攻擊和其他類型的攻擊。

禁止抄襲

部署智能合約不應是手動復制/粘貼。由于網(wǎng)絡上每個合約的字節(jié)碼都是公共的，因此很容易將其用于另一個合約。除非您完成整個項目（這往往也不是最好的方案）；否則，最終將得到可能與其余部分不兼容的單獨代碼段。此外，很難在代碼中更改或添加任何內容，即使是稍微有意義的內容。因此，簡單的復制和粘貼對安全性極為有害，并會導致您的DeFi應用程序受到潛在的攻擊。

結論

目前，DeFi協(xié)議還是相對年輕但復雜的系統(tǒng)，區(qū)塊鏈也是如此。不成熟和進步的雙重身份使兩者都容易受到攻擊。因此，在實施DeFi項目的安全保護之前，您需要對可能的威脅和安全策略有一個全面而準確的了解。反過來，要獲得這種準確的計劃需要進行全面的安全審計。如果操作得當，DeFi項目有望從脆弱的系統(tǒng)轉變?yōu)楠毺亍⑼该骱椭苯拥慕灰讘贸绦颍也槐匾蕾嚨谌綑C構的監(jiān)督。

譯者介紹

朱先忠，51CTO社區(qū)編輯，51CTO專家博客、講師，濰坊一所高校計算機教師，自由編程界老兵一枚。早期專注各種微軟技術（編著成ASP.NET AJX、Cocos 2d-X相關三本技術圖書），近十多年投身于開源世界（熟悉流行全棧Web開發(fā)技術），了解基于OneNet/AliOS+Arduino/ESP32/樹莓派等物聯(lián)網(wǎng)開發(fā)技術與Scala+Hadoop+Spark+Flink等大數(shù)據(jù)開發(fā)技術。

原文標題：??The Dark Side of DeFi: The Wild West of Decentralization???，作者：Pavel Tantsiura?