DeFi 世界的安全問題頻發,黑客賞金獵人平台 Immunefi 能夠解決嗎?
面對同樣優秀的 Avalanche 和 Solana,NEAR 是如何在激烈的公鏈競賽中殺出重圍的?作者:老雅痞
三年前,鎖定在 DeFi 的加密貨幣總價值僅有 8 億美元。到 2021 年 2 月,這個數字已經增長到 400 億美元;2021 年 4 月,它達到了 800 億美元的里程碑;而現在,它已經超過 2460 億美元。這個新興賽道捕捉了資本流動性的價值得到快速增長。
從黑客的角度來看,對 defi 生態系統的攻擊是一種理想並且快速的致富手段,這裡顯然成為了各種黑客和欺詐者的遊樂園。CipherTrace 在最新的《加密資產犯罪和反洗錢報告》中指出,截至 7 月底,與 DeFi 相關的黑客事件已經讓用戶們損失了 3.61 億美元。他們的主要手法是什麼?而我們又該如何應對。
DeFi 協議的資金是如何被盜的?
REENTRANCY ATTACK(重入攻擊)
一個鮮明的例子是發生在 2020 年 4 月 19 日的 DForce 黑客事件。
在 defi 協議上,首先智能合約有以下四個提款步驟:
用戶調用合約,準備從合約中提現所有資金。
合約檢查用戶在合約中是否有資金。
合約將用戶在合約中的資金發送給用戶。
合約自行更新,用戶在合約中沒有資金。
重入漏洞允許黑客在合約完全執行之前再次調用合約(「重入」)。在上面的例子中,攻擊者可以在第三步和第四步之間重新進入合約,並在用戶餘額更新之前再次退出。通過重複這個過程,他們可以從合約中提取所有現有的資金,在一個循環中反覆提取資金從而盜取了 2500 萬美元。
FLASH LOAN ATTACK(閃電貸攻擊)
最近,閃電攻擊已經成為最流行的黑客攻擊方法。閃電貸款是一種只在一次區塊鏈交易內有效的貸款,沒有違約風險。它意味著貸款人同意向借款人提供任何金額的貸款,前提是在給定的時間內將該金額歸還貸款人,否則貸款人可以回滾整個交易。黑客規避了貸款機制,這帶來了各種漏洞,如資產價格操縱。
閃電貸款攻擊是對某一平台的智能合約安全性的濫用,攻擊者通常會借入大量不需要抵押的資金。然後他們在一個交易平台操縱加密貨幣資產的價格,並迅速在另一個交易平台轉賣。
智能合約的漏洞
編碼錯誤產生於不小心執行的智能合約安全審計或未檢查的智能合約漏洞和脆弱性。令人遺憾的是,許多區塊鏈項目的創始人決定在測試覆蓋率不足的情況下運行他們的項目,並忽視了安全審計的相關性,這種疏忽導致被攻擊的可能性增加,給投資者帶來損失。
價格預言機(oracle)的操縱:代表例子 Maker Dao
智能合約的執行依賴於價格 oracle 所提供的準確數據。然而,獲得這些價格數據並不像人們希望的那樣安全和可靠。如果 oracle 提供不準確的數據,智能合約將導致交易錯誤的執行。這一事實有利於那些試圖操縱價格對自己有利的黑客。操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊,其本質是對預言機進行操控,造成內外價格差並利用閃電貸等新型金融工具從中套利。
應運而生的 Defi 漏洞賞金平台
傳統的網站和應用程序 Bug 賞金平台,如 HackerOne 和 BugCrowd,在這種舊世界的模式中取得了成功。但現有的 "Web 2.0 "bug 賞金和與區塊鏈和加密貨幣相關的 "Web 3.0 "bug 新時代之間存在巨大差異。在去中心化金融(DeFi)時代,Web 3.0 漏洞懸賞的關鍵性質是與實際貨幣價值相關,而不僅僅是軟件漏洞。
什麼是 Immunefi?
Immunefi 於 2020 年 12 月推出,通過 Bug 賞金提供智能合約安全。更重要的是,他們已經宣稱是世界上首屈一指的 bug 賞金平台! Immunefi 有遏制 DeFi 黑客攻擊問題的野心。為了實現這一目標,它為區塊鏈項目提供諮詢服務、漏洞檢測、項目管理,以及最重要的是,提供一支白帽黑客的軍隊。Immunefi 尋求將 DeFi 協議與黑客聯繫起來,以保護平台和用戶的資產。
什麼是漏洞(Bug) 賞金?
漏洞賞金計劃為發現智能合約和應用程序的潛在漏洞的安全研究人員提供獎勵。此外,賞金激勵白帽黑客發現並向項目報告漏洞,而項目則根據漏洞的嚴重程度向他們支付報酬。
傳統 bug 賞金面臨的困境
- 經濟激勵
雖然世界上把黑客分為白帽黑客和傳統黑客,但大多數人都在灰色地帶活動。舉個例子:有一個發現了可以快速賺取 500 萬美元的漏洞的黑客,他自身在巨大的利益面前會陷入道德的困境,他是做正確的事與有 bug 的平台談判,以此獲得 5 千美元的 bug 賞金?還是他自己對這個 bug 採取行動?如果沒有一個一致的、公平的白帽子獎勵系統,人性黑暗面的誘惑將永遠存在。
- 報告
Defi 項目通常沒有人負責處理 bug 賞金事件。因此,如果一個白帽試圖報告一個漏洞,試圖找到決策人。另外,如果 CTO 收到了來自外部的風險提示,說他們的代碼有缺陷,他們的自尊心很容易佔據上風,賞金獵人並不討好。即使發現 bug 全部過程都被通過適當的渠道報告給公司負責人,也不能保證公司會獎賞。財務部門可能還會與開發團隊對漏洞賞金的價值產生分歧,整個過程可能會陷入一系列的死胡同。
Immunefi 的賞金計劃
Immunefi 平台代表他們的白帽子和項目團隊處理/溝通和談判,這大大提高了效率壓縮了雙方的時間成本,Immunefi 讓黑客保持匿名,並且不要求提供 KYC 文件。
Immunefi 平台已經發布一些有利可圖的賞金,其客戶 Astroport 提供高達 300 萬美元的獎勵。其他引人注目的賞金來自 Celer,價值高達 20 萬美元,xDAI 高達 200 萬美元,Sushi 發布的 125 萬美元賞金。
Immunefi 目前有 7100 萬美元的懸賞金,它想把獵取 bug 的工作從一種愛好變成一種可行的職業。到目前為止,該平台已經支付了 1000 多萬美元,為客戶避免了 200 億美元的資金受到損失。
如何啟動賞金計劃?
在客戶填寫了 Immunefi bug 賞金登記表後,他們會收到一份調查問卷。
Immunefi 開始根據這些問題的答案起草一份 bug 賞金計劃,該草案之後會被發送給客戶進行審查,修改完成後,該程序將被移交給 Immunefi 的運營專家。運營專家與項目團隊合作,確定賞金活動的啟動時間和賞金的公關/營銷細節以及費用和支付如何進行。
在 Immunefi 上發布一個 bug 賞金不需要預付費用。當黑客發現真正的漏洞時,客戶只需在 bug 賞金的基礎上向 Immunefi 支付 10% 的績效費用。
由於 defi 領域的快速發展,隨之而來的安全問題使大多數平台和用戶資金受到損失,這也許可以解釋為什麼 Immunefi,DeFi 的新興 bug 賞金和安全服務平台之一能夠迅速捕捉價值,目前已經融資了 550 萬美元的資金,由 Electric Capital 領投,參與的還有 Blueprint Forest、Framework Ventures、Bitscale Capital、P2P Capital、IDEO Colab、The LAO、BR Capital、3rd Prime Ventures、North Island Ventures 和其他個人投資者。
Amador 在接受 TechCrunch 采訪時補充說:"現實情況是,Web 3 是一個對抗性更強的環境,這意味著漏洞賞金過程的每個部分都與以前不同,從報告的提交和處理,到報告的驗證,再到支付的談判都是如此。傳統的 Web 2 bug 賞金是一種方便的錯誤修復工具,而我們的 Web 3 bug 賞金則是 DeFi 項目的更為關鍵的應急系統。
隨著 DeFi 生態積木不斷豐富壯大,安全問題一直是高懸在頭頂上的達摩克里斯之劍,DeFi 被黑客攻擊的事件仍然不會停止,未來還會繼續發生,這一點無需贅述。
