DeFi 世界的安全问题频发,黑客赏金猎人平台 Immunefi 能够解决吗?

老雅痞
2022-01-02 16:03:52
收藏
面对同样优秀的 Avalanche 和 Solana,NEAR 是如何在激烈的公链竞赛中杀出重围的?

作者:老雅痞

 

三年前,锁定在 DeFi 的加密货币总价值仅有 8 亿美元。到 2021 年 2 月,这个数字已经增长到 400 亿美元;2021 年 4 月,它达到了 800 亿美元的里程碑;而现在,它已经超过 2460 亿美元。这个新兴赛道捕捉了资本流动性的价值得到快速增长。

从黑客的角度来看,对 defi 生态系统的攻击是一种理想并且快速的致富手段,这里显然成为了各种黑客和欺诈者的游乐园。CipherTrace 在最新的《加密资产犯罪和反洗钱报告》中指出,截至 7 月底,与 DeFi 相关的黑客事件已经让用户们损失了 3.61 亿美元。他们的主要手法是什么?而我们又该如何应对。

 

DeFi 协议的资金是如何被盗的?

 

REENTRANCY ATTACK(重入攻击)

一个鲜明的例子是发生在 2020 年 4 月 19 日的 DForce 黑客事件。

在 defi 协议上,首先智能合约有以下四个提款步骤:

用户调用合约,准备从合约中提现所有资金。

合约检查用户在合约中是否有资金。

合约将用户在合约中的资金发送给用户。

合约自行更新,用户在合约中没有资金。

重入漏洞允许黑客在合约完全执行之前再次调用合约(「重入」)。在上面的例子中,攻击者可以在第三步和第四步之间重新进入合约,并在用户余额更新之前再次退出。通过重复这个过程,他们可以从合约中提取所有现有的资金,在一个循环中反复提取资金从而盗取了 2500 万美元。

 

FLASH LOAN ATTACK(闪电贷攻击)

 

最近,闪电攻击已经成为最流行的黑客攻击方法。闪电贷款是一种只在一次区块链交易内有效的贷款,没有违约风险。它意味着贷款人同意向借款人提供任何金额的贷款,前提是在给定的时间内将该金额归还贷款人,否则贷款人可以回滚整个交易。黑客规避了贷款机制,这带来了各种漏洞,如资产价格操纵。 

闪电贷款攻击是对某一平台的智能合约安全性的滥用,攻击者通常会借入大量不需要抵押的资金。然后他们在一个交易平台操纵加密货币资产的价格,并迅速在另一个交易平台转卖

 

智能合约的漏洞

 

编码错误产生于不小心执行的智能合约安全审计或未检查的智能合约漏洞和脆弱性。令人遗憾的是,许多区块链项目的创始人决定在测试覆盖率不足的情况下运行他们的项目,并忽视了安全审计的相关性,这种疏忽导致被攻击的可能性增加,给投资者带来损失。 

 

价格预言机(oracle)的操纵:代表例子 Maker Dao

 

智能合约的执行依赖于价格 oracle 所提供的准确数据。然而,获得这些价格数据并不像人们希望的那样安全和可靠。如果 oracle 提供不准确的数据,智能合约将导致交易错误的执行。这一事实有利于那些试图操纵价格对自己有利的黑客。操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击,其本质是对预言机进行操控,造成内外价格差并利用闪电贷等新型金融工具从中套利。

 

应运而生的 Defi 漏洞赏金平台

 

传统的网站和应用程序 Bug 赏金平台,如 HackerOne 和 BugCrowd,在这种旧世界的模式中取得了成功。但现有的 "Web 2.0 "bug 赏金和与区块链和加密货币相关的 "Web 3.0 "bug 新时代之间存在巨大差异。在去中心化金融(DeFi)时代,Web 3.0 漏洞悬赏的关键性质是与实际货币价值相关,而不仅仅是软件漏洞。

 

什么是 Immunefi?

 

Immunefi 于 2020 年 12 月推出,通过 Bug 赏金提供智能合约安全。更重要的是,他们已经宣称是世界上首屈一指的 bug 赏金平台! Immunefi 有遏制 DeFi 黑客攻击问题的野心。为了实现这一目标,它为区块链项目提供咨询服务、漏洞检测、项目管理,以及最重要的是,提供一支白帽黑客的军队。Immunefi 寻求将 DeFi 协议与黑客联系起来,以保护平台和用户的资产。

 

什么是漏洞(Bug) 赏金?

 

漏洞赏金计划为发现智能合约和应用程序的潜在漏洞的安全研究人员提供奖励。此外,赏金激励白帽黑客发现并向项目报告漏洞,而项目则根据漏洞的严重程度向他们支付报酬。

 

传统 bug 赏金面临的困境

 

  1. 经济激励

虽然世界上把黑客分为白帽黑客和传统黑客,但大多数人都在灰色地带活动。举个例子:有一个发现了可以快速赚取 500 万美元的漏洞的黑客,他自身在巨大的利益面前会陷入道德的困境,他是做正确的事 与有 bug 的平台谈判,以此获得 5 千美元的 bug 赏金?还是他自己对这个 bug 采取行动?如果没有一个一致的、公平的白帽子奖励系统,人性黑暗面的诱惑将永远存在。

  1. 报告

Defi 项目通常没有人负责处理 bug 赏金事件。因此,如果一个白帽试图报告一个漏洞,试图找到决策人。另外,如果 CTO 收到了来自外部的风险提示,说他们的代码有缺陷,他们的自尊心很容易占据上风,赏金猎人并不讨好。即使发现 bug 全部过程都被通过适当的渠道报告给公司负责人,也不能保证公司会奖赏。财务部门可能还会与开发团队对漏洞赏金的价值产生分歧,整个过程可能会陷入一系列的死胡同。

 

Immunefi 的赏金计划

 

Immunefi 平台代表他们的白帽子和项目团队处理/沟通和谈判,这大大提高了效率压缩了双方的时间成本,Immunefi 让黑客保持匿名,并且不要求提供 KYC 文件。

Immunefi 平台已经发布一些有利可图的赏金,其客户 Astroport 提供高达 300 万美元的奖励。其他引人注目的赏金来自 Celer,价值高达 20 万美元,xDAI 高达 200 万美元,Sushi 发布的 125 万美元赏金。

Immunefi 目前有 7100 万美元的悬赏金,它想把猎取 bug 的工作从一种爱好变成一种可行的职业。到目前为止,该平台已经支付了 1000 多万美元,为客户避免了 200 亿美元的资金受到损失。

 

如何启动赏金计划?

 

在客户填写了 Immunefi bug 赏金登记表后,他们会收到一份调查问卷

Immunefi 开始根据这些问题的答案起草一份 bug 赏金计划,该草案之后会被发送给客户进行审查,修改完成后,该程序将被移交给 Immunefi 的运营专家。运营专家与项目团队合作,确定赏金活动的启动时间和赏金的公关/营销细节以及费用和支付如何进行。

在 Immunefi 上发布一个 bug 赏金不需要预付费用。当黑客发现真正的漏洞时,客户只需在 bug 赏金的基础上向 Immunefi 支付 10% 的绩效费用。

由于 defi 领域的快速发展,随之而来的安全问题使大多数平台和用户资金受到损失,这也许可以解释为什么 Immunefi,DeFi 的新兴 bug 赏金和安全服务平台之一能够迅速捕捉价值,目前已经融资了 550 万美元的资金,由 Electric Capital 领投,参与的还有 Blueprint Forest、Framework Ventures、Bitscale Capital、P2P Capital、IDEO Colab、The LAO、BR Capital、3rd Prime Ventures、North Island Ventures 和其他个人投资者。

Amador 在接受 TechCrunch 采访时补充说:"现实情况是,Web 3 是一个对抗性更强的环境,这意味着漏洞赏金过程的每个部分都与以前不同,从报告的提交和处理,到报告的验证,再到支付的谈判都是如此。传统的 Web 2 bug 赏金是一种方便的错误修复工具,而我们的 Web 3 bug 赏金则是 DeFi 项目的一个更为关键的应急系统。

随着 DeFi 生态积木不断丰富壮大,安全问题一直是高悬在头顶上的达摩克里斯之剑,DeFi 被黑客攻击的事件仍然不会停止,未来还会继续发生,这一点无需赘述。

关联标签
链捕手ChainCatcher提醒,请广大读者理性看待区块链,切实提高风险意识,警惕各类虚拟代币发行与炒作, 站内所有内容仅系市场信息或相关方观点,不构成任何形式投资建议。如发现站内内容含敏感信息,可点击“举报”,我们会及时处理。
ChainCatcher 与创新者共建Web3世界