PeckShield:2020 年DeFi 攻擊事件達60 起,損失逾2.5 億美元


⾄少10 起為閃電貸攻擊。

原文標題:《派盾2020 年年度數字貨幣反洗錢報告之金融革新玩出花式DeFi 攻擊篇》
撰文:PeckShield

DeFi (去中心化金融)正處於一個紛亂的戰國時代。

2020 年被稱為「DeFi 元年」,全球湧現出上百個DeFi 項目展開競爭。這些DeFi 項目裡鎖著超百億的虛擬貨幣資產,對於黑客而言猶如一個個「蜜罐」。

據PeckShield 派盾發布的《2020 年年度數字貨幣反洗錢報告》顯示,2020 年10 月DeFi 攻擊損失達到3380 萬美元,為全年DeFi 攻擊造成損失最多的一個月;11 月, DeFi 攻擊達到10 起,為全年攻擊頻率最高的一個月。

PeckShield:2020 年DeFi 攻擊事件達60 起,損失逾2.5 億美元2020 年DeFi 安全事件及損失統計

吸引黑客的「蜜罐」 衍生新型洗錢方式

2020 年,黑客除了緊盯聚集著絕大多數用戶虛擬資產的交易所、理財錢包等領域,還瞄準了新秀DeFi。

由於DeFi 產品⼤都基於智能合約和交互協議搭建,組合玩法越來越多,代碼普遍開源,資產完全在鏈上,行業規模增長潛力⼤,因⽽成為2020 年黑客重點攻擊的對象。

據《派盾2020 年年度數字貨幣反洗錢報告》顯示,2020 年虛擬貨幣⿊客攻擊事件仍呈爆發的趨勢,達到170 件,較2018 年和2019 年增長了300%;造成經濟損失達到23.3 億美元,較2019 年增長了660%,較2018 年增長了7.2%。

PeckShield:2020 年DeFi 攻擊事件達60 起,損失逾2.5 億美元虛擬貨幣⿊客攻擊類安全事件統計

PeckShield:2020 年DeFi 攻擊事件達60 起,損失逾2.5 億美元虛擬貨幣⿊客攻擊類安全事件造成經濟損失統計

其中,DeFi 攻擊事件達到60 起,損失逾2.5 億美元。這60 起DeFi 攻擊事件中,有⾄少10 起為閃電貸攻擊,包括bZx、Balancer、Harvest、Akropolis、Cheese Bank、Value DeFi 和Origin Protocol 等多個DeFi 項⽬。黑客利⽤閃電貸,以極低的成本撬動巨量資⾦,在多個協議間進⾏價格操縱或套利。

⾄少發生5 起與DeFi 相關的重⼊攻擊,重⼊攻擊是以太坊智能合約上最經典的攻擊⼿段之一,著名的The DAO 被盜事件就是攻擊者運用重⼊攻擊導致以太坊硬分叉,損失價值5000 萬美元以太幣。

一方面,區塊鏈行業的蓬勃發展不斷促使行業聯動性和自律性提高;另一方面,技術創新衍生出新型洗錢⽅式, 虛擬貨幣反洗錢迎來全新挑戰。

9⽉26⽇,交易所KuCoin 被盜價值逾2 億美元的虛擬貨幣。事件發⽣後,KuCoin 與多家中心化虛擬貨幣交易所(CeFi)、項目⽅、安全機構及警⽅聯繫,並採取部分有效措施,竭力追捕被盜資產。截至⽬前,據KuCoin 官⽹顯示已追回85% 被盜資產。

在安全事件發⽣後,交易所聯合CeFi (中⼼化⾦融)及時⽌損,雖然有效地凍結和追回了部分損失的資產,但遭到CeFi 聯凍後,黑客陸續將所盜資產轉向去中⼼化交易所(DEX),包括Uniswap、Kyber 等並進⾏掃蕩式逐⼀清空。

這次黑客攻擊開創了技術結合金融洗錢的先河,給虛擬貨幣交易所反洗錢帶來新的挑戰。

PeckShield 派盾指出,過去黑客攻擊交易所盜取數字貨幣後,只是直接將被盜虛擬資產通過混幣等技術流出交易所,繼而提幣獲利。黑客此次攻擊利用DEX 逐⼀清空,恰恰瞄準了虛擬貨幣市場對新興領域放鬆警惕的地方。

金融革新玩出花式攻擊

自今年11⽉起,閃電貸攻擊頻發,⼀週曾接連發⽣過4 起閃電貸攻擊。閃電貸本是⼀種創新金融⼯具,用於高效提供大額資⾦,促進價值循環。但卻被攻擊者頻頻利用,成為黑客借來⽣「⾦蛋」的雞。

區塊鏈上的閃電貸是⼀種不需要抵押就可以藉貸的貸款⽅式,但貸⽅必須在同⼀區塊內還貸,否則這個交易就會失敗。所以閃電貸對借款平台來說基本是零成本、零風險。 ⽽⿊客就可以利⽤這樣的貸款⽅式,以很⼩的成本借出⼤筆資⾦,然後⽤這筆資⾦去造成⼀些虛擬貨幣的價格波動,再從中漁利。

PeckShield:2020 年DeFi 攻擊事件達60 起,損失逾2.5 億美元bZx 閃電貸攻擊

以bZx 為例,攻擊者通過dYdX 閃貸貸借出10,000 ETH;隨後,攻擊者將其中的5,500 ETH 存⼊ Compound 作為抵押品,貸出112 WBTC,所貸WBTC 在第四步中拋售;隨後攻擊者利⽤ bZx 的槓桿交易功能,做空ETH 購入⼤量WBTC,從而抬⾼ Uniswap 中WBTC 價格;待Uniswap 中的WBTC 價格飆升後(價格為61.4 WETH / WBTC),攻擊者將第二步中通過Compound 借來的112 WBTC 全部在Uniswap 中賣出,並返還相應的WETH。最終攻擊者還款閃電貸,獲利6,871.41 ETH。

PeckShield 派盾認為:「閃電貸本是⼀項⾮常有意義的⾦融創新,是對傳統金融的革新,但是要在保障安全的基礎上鼓勵創新,才能構築DeFi 可持續發展的基石。」

針對DeFi 的安全問題, PeckShield 派盾建議在新合約上線之前要進行全面而專業的智能合約安全審計,排查已知的各類漏洞;另一方面要注意排查與其他DeFi 產品進行組合時的業務邏輯漏洞,避免出現跨合約的邏輯兼容性漏洞; 最重要的是,要設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務,做到第一時間響應安全風險,及時排查封堵安全攻擊。 在攻擊事件發生時,應聯動行業各方力量,搭建一套完善的資產追踪機制,攻擊事件發生後則需做到查缺補漏,完善防禦系統。

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews 立場無關。文章內的信息、意見等均僅供參考,並非作為或被視為實際投資建議。

.



Source link