?譯者 | 朱先忠

審校 | 孫淑娟

引言

2021年，由于DeFi產(chǎn)品的欺詐和盜竊，導(dǎo)致價值超過100億美元的用戶資金被盜。這比去年增長了7倍。2022年，英國稅務(wù)局展開了20起涉及數(shù)字資產(chǎn)的刑事調(diào)查。這一行動是由洗錢和欺詐行為激增引發(fā)的。根據(jù)另一份報(bào)告，基于加密貨幣的犯罪在2021年創(chuàng)下歷史新高，經(jīng)非法地址收到的貨幣價值高居140億美元之多。

去中心化金融的平靜存在似乎只是一種幻覺。盡管這些數(shù)字與加密世界的烏托邦背道而馳；但是，它們?nèi)匀粵]有反映出整個DeFi應(yīng)用領(lǐng)域的安全性和合法性的全貌。

話雖如此，接下來，讓我們深入探討一下去中心化金融的安全問題和目前已知的常見網(wǎng)絡(luò)騙局。

DeFi歷史回顧

如果這是你第一次閱讀有關(guān)去中心化金融的內(nèi)容，我將根據(jù)我們以前發(fā)布的一篇??博客文章??，帶你了解一下DeFi世界。

去中心化金融或DeFi是一組基于區(qū)塊鏈技術(shù)的專業(yè)應(yīng)用程序和金融服務(wù)。此外，它還經(jīng)常被宣傳為一場旨在使金融去中心化并向所有人開放的運(yùn)動。

也就是說，DeFi交易不需要銀行等中介機(jī)構(gòu)或任何其他類型的集中處理。在這方面，DeFi依靠智能合約、加密和區(qū)塊鏈的使用實(shí)現(xiàn)流程和協(xié)議的自動化處理，使其比傳統(tǒng)銀行結(jié)構(gòu)更高效、更安全。從形式上講，您甚至可以成為自己的銀行，因?yàn)槟梢栽谫J款、借入資金、保險和其他方面提供金融服務(wù)，而且無需文檔類操作帶來的麻煩。

歸納來看，截止目前DeFi產(chǎn)品包括但不限于以下方面：

• 去中心化交易所（DEX）
• 對等（peer-to-peer）借貸平臺
• 穩(wěn)定幣（Stablecoins）
• 預(yù)測市場，等等

大多數(shù)DeFi產(chǎn)品都構(gòu)建在以太坊上，因?yàn)樵搮^(qū)塊鏈平臺支持有助于創(chuàng)建高級智能合約的Solidity編程語言。

在撰寫本文時，去中心化金融持有的加密貨幣數(shù)量已攀升至8000多萬美元，這無疑使其成為一種具有堅(jiān)實(shí)用戶基礎(chǔ)的可行金融現(xiàn)象。然而，DeFi基礎(chǔ)設(shè)施及其監(jiān)管技術(shù)仍在發(fā)展中，這使其極容易受到攻擊、龐氏騙局（指騙人向虛設(shè)的企業(yè)投資，以后來投資者的錢作為快速盈利付給最初投資者以誘使更多人上當(dāng)）和其他安全威脅。

因此，在最佳情況下，智能合約可以提供無與倫比的非定制金融服務(wù)。然而，它們和它們的代碼一樣安全。因此，智能合約經(jīng)常會受到漏洞的困擾，這些漏洞允許黑客耗盡錢包。讓我們不要忘記開源和可組合性的力量，這可能是好事，也可能是壞事。

頂級DeFi黑客風(fēng)格

在過去兩年中，加密貨幣社區(qū)受到了網(wǎng)絡(luò)釣魚計(jì)劃的襲擊，許多人對其基礎(chǔ)提出了質(zhì)疑。因此，由于加密貨幣犯罪的增長，DeFi應(yīng)用程序正越來越多地與加密貨幣的“拓荒時代”聯(lián)系在一起。

接下來讓我們了解一下當(dāng)前廣泛存在的一些攻擊類型。

閃電貸款攻擊

閃電貸款是許多流行的DeFi協(xié)議中的一項(xiàng)功能，允許您在沒有抵押品的情況下借入加密貨幣資產(chǎn)，前提是貸款將在相同的交易塊中償還。

在這種情況下，一個網(wǎng)絡(luò)竊賊能夠通過從DeFi協(xié)議中獲得一筆快速貸款來操縱市場，然后通過過度滑移（excess slippage）將所借代幣的價值推到水下進(jìn)行套利。之后，黑客迅速歸還貸款，并通過在其他市場上以真實(shí)價格出售代幣，將利潤留給自己。

不妨讓我們重溫一下區(qū)塊鏈項(xiàng)目Cream Finance及其對黑客的致命吸引力。2021年該公司利用閃電貸款獲得了價值1.3億美元的流動性提供商代幣。當(dāng)年早些時候，黑客先后在2月份和8月份的其他閃電貸款漏洞中分別獲得了3750萬美元和1880萬美元。

地毯式騙局和龐氏騙局

地毯式騙局（Rug Pull，一種加密貨幣騙局的通俗術(shù)語）是一種DeFi騙局。區(qū)塊鏈開發(fā)商首先抽取項(xiàng)目的代幣，然后放棄項(xiàng)目，帶走投資者資金，留下一個毫無價值的代幣。這類騙局的主要類型包括流動性竊取、限制銷售訂單和傾銷。

根據(jù)區(qū)塊鏈分析公司ChainAnalysis的數(shù)據(jù)，2021年這種特殊類型的惡意操作導(dǎo)致受害者損失近30億美元。OneCoin是加密市場有史以來最大的地毯式騙局之一。因此，開發(fā)商從毫無戒心的投資者那里獲得了40多億美元。魷魚游戲代幣是另一個龐氏騙局?！秚oken》是一部受Netflix電視連續(xù)劇啟發(fā)的賺取代幣的電視劇，吸引了43000多名投資者做空。

重入攻擊

上述這類網(wǎng)絡(luò)攻擊是Solidity智能合約中最具破壞性的攻擊之一，因?yàn)樗鼤耆谋M您的智能合約資金。在這種情況下，攻擊合約調(diào)用受害者合約的方式可以更好地控制代碼執(zhí)行，從而破壞受害者合約并獲得未經(jīng)授權(quán)的訪問。當(dāng)受害者的合約無法更新其狀態(tài)時，攻擊者調(diào)用提款功能來輕松賺錢。

然而，困難在于，由于智能合約的實(shí)施方式不同，可能的場景也不同，因此很難發(fā)現(xiàn)重入漏洞。此外，由于智能合約中沒有特定的模式，因此無法準(zhǔn)確識別此漏洞。使用簡單而直接的模式進(jìn)行分析可能會產(chǎn)生誤報(bào)，而嚴(yán)格的模式可能無法檢測到是否存在重入漏洞。

重入攻擊最著名的例子是DAO Hack，價值7000萬美元的以太幣被黑客吸掉。

51%攻擊

如果惡意參與者控制了加密貨幣網(wǎng)絡(luò)一半以上的處理能力，則可能會發(fā)生51%的攻擊可能性。通過擁有對網(wǎng)絡(luò)的大多數(shù)控制權(quán)限，此參與者可以進(jìn)行以雙倍方式消費(fèi)代幣、審查交易，甚至完全接管網(wǎng)絡(luò)。

51%的攻擊風(fēng)險是真實(shí)存在的，并且在過去針對較小的加密貨幣網(wǎng)絡(luò)時代已經(jīng)發(fā)生過。此外，這種攻擊還允許攻擊某些特定網(wǎng)絡(luò)節(jié)點(diǎn)以阻止新交易被確認(rèn)，就像它是合法網(wǎng)絡(luò)一樣。

這意味著，合法區(qū)塊鏈的增長速度慢于惡意區(qū)塊鏈的增長速度，從而允許攻擊者重寫分布式賬本的內(nèi)容。目前，51%的攻擊還沒有被廣泛使用，因?yàn)樗鼈兇鷥r高昂。

2020年，DeFi平臺PegNet遭受了51%的攻擊，頂級礦工曾經(jīng)以欺詐手段在穩(wěn)定幣（Stablecoins）中創(chuàng)造了670萬美元。

然而，這些只是困擾DeFi平臺和應(yīng)用程序的一小部分安全問題。

DeFi有那么脆弱嗎？

對此問題的簡短回答是：非也。

現(xiàn)在，讓我們更深入地了解一下有關(guān)細(xì)節(jié)。密碼學(xué)可謂安全貨幣交易領(lǐng)域的老生常談。DeFi真正顛覆性的概念是完全和徹底的去中心化；其中，受損節(jié)點(diǎn)再次出現(xiàn)。

而DeFi的大部分脆弱性也源于其分散和開放的基礎(chǔ)。伴隨著無限的可能性，作為用戶我們能夠得到完全透明的智能合約；但另一方面，漏洞也成為公眾熟知的知識。此外，考慮到極其復(fù)雜的DeFi結(jié)構(gòu)，相關(guān)應(yīng)用程序可能涉及跨多個協(xié)議連接的多個智能合約；因此，一個漏洞可能會拖累無數(shù)協(xié)議。

但這并不全是厄運(yùn)和悲觀。就像其他新降世的孩子一樣，DeFi需要長大，展翅飛翔。任何新技術(shù)都有可能存在缺陷，這取決于你的全面權(quán)衡——是否值得利用有關(guān)技術(shù)。在去中心化財(cái)經(jīng)領(lǐng)域，安全性依賴于您所使用的開發(fā)技術(shù)。

2P2金融服務(wù)是一條安全選擇之路。

雖然專家和政府正在就DeFi監(jiān)管進(jìn)行辯論，但我們都應(yīng)該遵循買方謹(jǐn)慎的做法——在進(jìn)入該領(lǐng)域之前進(jìn)行盡職調(diào)查。話雖如此，還是讓我們來了解一下一些目前公認(rèn)的安全實(shí)踐，以便降低DeFi應(yīng)用程序的漏洞率。

如何保護(hù)您的DeFi資產(chǎn)？

雖然目前市場上已經(jīng)存在不少針對每種黑客風(fēng)格的特定保護(hù)措施，但我特意策劃了當(dāng)下最流行的安全實(shí)踐，以確保您的DeFi資產(chǎn)安全可靠。

利用完整的單元測試覆蓋率

單元測試是任何高質(zhì)量項(xiàng)目所必需的重要測試技術(shù)，包括去中心化的財(cái)務(wù)應(yīng)用等方面。這種類型的測試功能在智能合約的各個部分都存在問題。為什么要為“無聊”的測試而煩惱呢？一旦部署，智能合約即成為不可變的；這意味著，您的代碼在進(jìn)入DeFi平臺之前必須沒有錯誤。最重要的是，合約要求全面測試覆蓋；這意味著，不應(yīng)該存在任何“灰色”區(qū)域。

智能合約安全審核

完整的單元測試覆蓋率很高，但它無法預(yù)測意外的漏洞或所有可能的交互路徑。相反，安全審計(jì)允許開發(fā)人員分析可能被威脅因素操縱的區(qū)域。除了明顯的安全好處外，審計(jì)還可以幫助團(tuán)隊(duì)提高整個DeFi應(yīng)用程序的效率。然而，審計(jì)可能會占用大量的財(cái)務(wù)和時間資源，這可能會“威嚇”到一些公司。然而，必須阻止重入攻擊和其他類型的攻擊。

禁止抄襲

部署智能合約不應(yīng)是手動復(fù)制/粘貼。由于網(wǎng)絡(luò)上每個合約的字節(jié)碼都是公共的，因此很容易將其用于另一個合約。除非您完成整個項(xiàng)目（這往往也不是最好的方案）；否則，最終將得到可能與其余部分不兼容的單獨(dú)代碼段。此外，很難在代碼中更改或添加任何內(nèi)容，即使是稍微有意義的內(nèi)容。因此，簡單的復(fù)制和粘貼對安全性極為有害，并會導(dǎo)致您的DeFi應(yīng)用程序受到潛在的攻擊。

結(jié)論

目前，DeFi協(xié)議還是相對年輕但復(fù)雜的系統(tǒng)，區(qū)塊鏈也是如此。不成熟和進(jìn)步的雙重身份使兩者都容易受到攻擊。因此，在實(shí)施DeFi項(xiàng)目的安全保護(hù)之前，您需要對可能的威脅和安全策略有一個全面而準(zhǔn)確的了解。反過來，要獲得這種準(zhǔn)確的計(jì)劃需要進(jìn)行全面的安全審計(jì)。如果操作得當(dāng)，DeFi項(xiàng)目有望從脆弱的系統(tǒng)轉(zhuǎn)變?yōu)楠?dú)特、透明和直接的交易應(yīng)用程序，且不必依賴第三方機(jī)構(gòu)的監(jiān)督。

譯者介紹

朱先忠，51CTO社區(qū)編輯，51CTO專家博客、講師，濰坊一所高校計(jì)算機(jī)教師，自由編程界老兵一枚。早期專注各種微軟技術(shù)（編著成ASP.NET AJX、Cocos 2d-X相關(guān)三本技術(shù)圖書），近十多年投身于開源世界（熟悉流行全棧Web開發(fā)技術(shù)），了解基于OneNet/AliOS+Arduino/ESP32/樹莓派等物聯(lián)網(wǎng)開發(fā)技術(shù)與Scala+Hadoop+Spark+Flink等大數(shù)據(jù)開發(fā)技術(shù)。

原文標(biāo)題：??The Dark Side of DeFi: The Wild West of Decentralization???，作者：Pavel Tantsiura?