当前位置:首页 > 知识 >

DeFi安全:从攻击事件中学到的比特币矿工挖矿经验

2019年以来,DeFi(去中心化金融)逐渐成为区块链的热点,吸引了大量资金涌入各类DeFi项目。自Synthetix项目崭露头角之后,越来越多的DeFi项目纷纷出现。然而,随着DeFi的发展,项目的安全问题也变得非常紧迫。

最近发生的Balancer被攻击事件就是一个例子,攻击者利用Balancer资金池与通缩货币的结合产生漏洞,成功盗取了500,000美元。不到24小时后,Balancer再次遭受攻击,攻击者通过利用Compound的“借贷即挖矿”特性,窃取了资金池中无人认领的Comp币。

对于第一次攻击事件,我们之前已经做了分析,感兴趣的朋友可以参考这篇文章:https://mp.weixin.qq.com/s/ZoqUgtcQ1WevhTgaUD-l_g

对于第二次攻击事件,笔者认为攻击者的行为介于薅羊毛和非法攻击之间,并不能确定是属于非法攻击。

从一方面来看,攻击者确实违背了Balancer合约的设计理念,利用了其代码漏洞获取了本不属于自己的利益。

但是从另一方面来看,攻击者窃取的资金并不是资金池中的本金,而是通过Compound的“借贷即挖矿”特性产生的利润。即使攻击者不进行攻击,Balancer合约本身也没有合理分配这笔钱给用户。

就好像一个超市每天产生的空纸盒,公司并没有明确规定如何处理,通常是堆积到一定程度后,某个员工发现并卖掉,这个员工就会获得利润。假如有一个外来人,他发现这些纸盒能产生收益,于是他就去找工作在超市卖掉纸盒,然后离职去下一个超市。Balancer在第二次事件发生后也没有采取修复措施,这也间接表明了官方的态度,官方可能更倾向于认为这是一种“薅羊毛”行为。

这次事件涉及了三个DeFi项目,分别是Balancer、dydx和Compound。

DeFi指的是“去中心化金融”,旨在利用区块链技术实现传统金融中的借贷、存储和支付等功能,缩短交易时间、减少交易手续费,解决跨国交易等问题。

目前,在DeFi领域中,一些热门项目包括Compound、Maker和dydx等。

在DeFi项目中,许多都是直接将传统金融工具搬到区块链上,例如借贷和存储。但是,区块链与真实世界存在很大差异,它们的底层逻辑也不同。

例如,在传统金融领域,信用是借贷的基本条件,银行会评估一个人的信用来决定是否给予贷款。然而,在封闭的区块链世界中,由于地址无法关联到人,信用属性就不存在。要实现信用,就必须使用预言机来获取真实世界的信息。

但正是由于区块链与现实世界的不同,DeFi可以实现现实世界无法实现的功能。

例如,dydx的闪电贷允许用户进行0抵押的大额借贷,用户只需在一次交易中还清借款即可。如果用户在交易后没有归还借款,交易将被回滚,所以可以规避本金风险。尽管在一次交易中必须还清借款,但智能合约允许用户进行多次操作,用户可以以较低价格大量买入某种代币,然后以较高价格卖出,即使差价很小,在大量本金的基础上也可以获得可观的收益。在传统金融领域,一般很难实现这种操作。然而,有了dydx,任何人都可以获得这一笔“巨额资金”。

新事物总是具有两面性,dydx闪电贷为一般人提供了使用巨额资金的可能性,同时也为潜在黑客提供了帮助。就像Balancer第一次遭受

猜你喜欢

微信二维码

微信