區(qū)塊鏈?使 DeFi? 成為可能。事實(shí)上，區(qū)塊鏈應(yīng)該是安全的，那為什么如此多的 DeFi 平臺(tái)和應(yīng)用程序總是遭到黑客攻擊？

加密情報(bào)公司 CipherTrace 在 2022 年年初發(fā)布的一份報(bào)告顯示，去中心化金融 (DeFi) 占所有加密黑客攻擊的 75% 以上。此外，在所有主要加密欺詐案件中，發(fā)生在 DeFi 領(lǐng)域的占比達(dá)到 54%，高于 2020 年的 3%。

首先，什么是區(qū)塊鏈？

區(qū)塊鏈?zhǔn)谴鎯?chǔ)不同數(shù)據(jù)類型的分布式共享賬本。例如，我們可以使用區(qū)塊鏈來(lái)記錄非同質(zhì)代幣 (NFT) 的所有權(quán)，當(dāng)然還有加密貨幣交易。

盡管傳統(tǒng)數(shù)據(jù)庫(kù)可以輕松存儲(chǔ)相同的信息，但區(qū)塊鏈的獨(dú)特之處在于沒(méi)有集中的權(quán)限。它永遠(yuǎn)不會(huì)由中心化管理員在一個(gè)位置進(jìn)行維護(hù)，例如 Excel 電子表格，一個(gè)人可以在沒(méi)有監(jiān)督的情況下進(jìn)行更改。

相反，區(qū)塊鏈數(shù)據(jù)庫(kù)的多個(gè)相同副本存在于網(wǎng)絡(luò)上的多臺(tái)計(jì)算機(jī)或節(jié)點(diǎn)上。要在“鏈”中添加另一個(gè)“塊”并將底層交易記錄在分布式賬本中，需要達(dá)成共識(shí)。

大多數(shù)節(jié)點(diǎn)必須在將新數(shù)據(jù)塊添加到分類帳之前驗(yàn)證新數(shù)據(jù)的合法性。因此，理論上，任何人都幾乎不可能進(jìn)行欺詐交易。這是因?yàn)橥{者必須侵入每個(gè)節(jié)點(diǎn)并更改分類帳的每個(gè)副本以避免被發(fā)現(xiàn)。

雖然這不一定是不可能的，但這對(duì)黑客來(lái)說(shuō)是一個(gè)巨大的挑戰(zhàn)。此外，當(dāng)您將一層權(quán)益證明 (PoS) 或工作量證明 (PoW) 交易驗(yàn)證方法添加到組合中時(shí)，欺騙系統(tǒng)變得極其困難。

POS（在 Algorand、EOS 和 Tezos 中很流行）使用隨機(jī)選擇的礦工來(lái)驗(yàn)證交易。另一方面，POW 使用競(jìng)爭(zhēng)驗(yàn)證方法來(lái)確認(rèn)交易。一旦交易被確認(rèn)，一個(gè)新的區(qū)塊將被添加到區(qū)塊鏈中。

因此，去中心化的公共區(qū)塊鏈可以高度安全，因?yàn)榫W(wǎng)絡(luò)上的每個(gè)人都必須驗(yàn)證交易是否合法執(zhí)行。那么，為什么加密黑客頻頻成為頭條新聞？問(wèn)題的答案在于跨鏈橋。

什么是跨鏈橋？

跨鏈橋連接兩個(gè)不同的區(qū)塊鏈，并允許用戶在沒(méi)有任何中介或中央授權(quán)的情況下從一個(gè)區(qū)塊鏈發(fā)送、接收或交換加密貨幣，例如加密貨幣。

雖然這聽(tīng)起來(lái)很簡(jiǎn)單，但事實(shí)并非如此?？珂湗虿幌衩涝獌稉Q歐元（這很簡(jiǎn)單），一個(gè)易理解的類比是：試圖將您銀行賬戶中的航空里程兌換成美元。

區(qū)塊鏈橋的存在是為了在高 Gas 費(fèi)或交易費(fèi)用、快速交易、改善隱私、優(yōu)化實(shí)用程序以及通過(guò)互操作性增強(qiáng)用戶體驗(yàn)時(shí)為用戶提供選擇。

它還為用戶提供選擇自由并鼓勵(lì)公平競(jìng)爭(zhēng)。如果一個(gè)網(wǎng)絡(luò)比另一個(gè)網(wǎng)絡(luò)更快或更便宜，您可以以更低的成本簡(jiǎn)單地切換和移動(dòng)數(shù)字資產(chǎn)。因此，跨鏈構(gòu)成了 PancakeSwap 等平臺(tái)的基礎(chǔ)，用戶可以在其中快速“交換”以太坊 (ETH) 等加密貨幣為 Binance (BNB)。

然而，跨鏈橋（和側(cè)鏈橋）有時(shí)可以顛覆 DeFi 的整個(gè)概念。大多數(shù)跨鏈橋依賴于各種外部驗(yàn)證器（例如：包裝版代幣或第三方托管，它們可能不是去中心化且免信任的）和中心化聯(lián)盟來(lái)促成資產(chǎn)轉(zhuǎn)移。

是什么讓跨鏈橋易受攻擊？

跨鏈網(wǎng)帶來(lái)了重大的安全風(fēng)險(xiǎn)，由于連接了由不同實(shí)體開(kāi)發(fā)的多個(gè)鏈，必須在更廣泛的網(wǎng)絡(luò)中有效地防范攻擊。

從本質(zhì)上講，這使黑客通過(guò)簡(jiǎn)單地將代幣從一條鏈移動(dòng)到另一條鏈來(lái)竊取資金成為可能。此外，DeFi 平臺(tái)是犯罪攻擊的理想目標(biāo)，因?yàn)樗峁┝丝焖俚幕貓?bào)、隱私和匿名性，而且執(zhí)法方面（仍然）相對(duì)較落后。

然而，我們不得不處理如此多的安全漏洞（如 MultiChain、Poly Network、Thorchain 和 Wormhole），原因歸結(jié)為創(chuàng)始人沒(méi)有認(rèn)真對(duì)待安全性并且沒(méi)有發(fā)現(xiàn)錯(cuò)誤。例如，從 ETH 到 BNB 的交換需要以太坊、Binance 和跨鏈橋中的交換代理， ETH 和 BNB 可能是安全的，但如果橋接代理是薄弱環(huán)節(jié)，這也無(wú)濟(jì)于事。

當(dāng)托管人通過(guò)未經(jīng)測(cè)試的安全實(shí)踐和設(shè)計(jì)不良的系統(tǒng)來(lái)保護(hù)數(shù)百萬(wàn)甚至數(shù)十億美元時(shí)，至少可以說(shuō)，保護(hù)用戶資金是一項(xiàng)挑戰(zhàn)。

Wormhole 橋攻擊

Wormhole 跨鏈橋攻擊是有史以來(lái)第二大加密黑客攻擊，導(dǎo)致?lián)p失超過(guò) 3 億美元（或 120,000 ETH），怎么發(fā)生的？

Wormhole 允許用戶在 Avalanche、Binance Smart Chain、Ethereum、Polygon、Solana 和 Terra 等鏈上橋接資產(chǎn)。因此，用戶可以在區(qū)塊鏈之間轉(zhuǎn)移資產(chǎn)，并且橋通過(guò)鎖定交易并將包裝版本（例如 wETH）鑄造到最終鏈來(lái)實(shí)現(xiàn)轉(zhuǎn)移。

Solana 的軟件功能不是最新的。一些黑客發(fā)現(xiàn)并利用了這種容易避免的技術(shù)疏忽。例如，威脅者能夠通過(guò)在指令中注入惡意的“sysvar 帳戶”來(lái)規(guī)避“驗(yàn)證簽名”過(guò)程。結(jié)果，他們能夠破壞這個(gè)跨鏈協(xié)議，因?yàn)樗茨茯?yàn)證所有“驗(yàn)證者帳戶”，從而使攻擊者能夠欺騙驗(yàn)證者簽名并憑空鑄造多達(dá) 120,000 ETH。

在這種情況下，跨鏈違規(guī)的根本原因是“驗(yàn)證簽名”過(guò)程，因?yàn)楹霞s有一個(gè)過(guò)時(shí)的功能，無(wú)法驗(yàn)證 sysvar 帳戶的合法性。這些漏洞提醒人們，DeFi 仍處于起步階段，這些項(xiàng)目本質(zhì)上是實(shí)驗(yàn)。

在Wormhole 橋攻擊之后我們可以信任 DeFi 嗎？雖然我們不能 100% 完全信任任何技術(shù)，但隨著 DeFi 的發(fā)展和成熟，黑客欺騙節(jié)點(diǎn)或使其離線將變得更加困難。這是因?yàn)榧用芗夹g(shù)只有在每個(gè)問(wèn)題的解決方案和每次迭代中都會(huì)變得更好。

加密用戶如何保護(hù)自己？

隨著加密貨幣成為主流，網(wǎng)絡(luò)犯罪也變得越來(lái)越流行。為了提高區(qū)塊鏈安全性并加強(qiáng)跨鏈環(huán)境，加密新手和老手都必須嚴(yán)格遵循最佳實(shí)踐來(lái)降低風(fēng)險(xiǎn)。

進(jìn)行盡職調(diào)查

進(jìn)行研究至關(guān)重要。了解區(qū)塊鏈開(kāi)發(fā)團(tuán)隊(duì)是否擁有積極透明的業(yè)績(jī)記錄。如果過(guò)去的 DeFi 項(xiàng)目有過(guò)安全事件的歷史，那么他們可能在內(nèi)部發(fā)布過(guò)程中存在問(wèn)題。

查找這些信息并不簡(jiǎn)單。您必須深入研究加密世界并研究參與項(xiàng)目的每個(gè)人以及可能影響預(yù)期結(jié)果的所有相關(guān)因素。

選擇由白帽黑客“審計(jì)”的協(xié)議

確保他們與已建立的白帽黑客服務(wù)合作，以識(shí)別和糾正潛在的跨鏈漏洞。如果團(tuán)隊(duì)未能充分解決內(nèi)部風(fēng)險(xiǎn)和潛在漏洞，您可以期待威脅行為者對(duì)其進(jìn)行“磨練”。

您可以通過(guò)遵循協(xié)議的公告并與黑客追蹤服務(wù)提供商（如 Zokyo 和 Trail of Bit）保持聯(lián)系來(lái)找到此信息。白帽黑客每天都在使 web3 變得更好、更安全。通過(guò)吸引白帽黑客，DeFi 平臺(tái)還可以鼓勵(lì)網(wǎng)絡(luò)內(nèi)的共識(shí)和協(xié)議以提高安全性。

查看鎖倉(cāng)總價(jià)值（TVL）

查看協(xié)議中鎖定了多少加密貨幣（或存放和鎖定的加密資產(chǎn)的總價(jià)值）。如果 TVL 加起來(lái)高達(dá)數(shù)十億美元，并且協(xié)議已經(jīng)活躍了很長(zhǎng)時(shí)間，那么安全風(fēng)險(xiǎn)可能相對(duì)較低。但與往常一樣，要格外小心。

隨時(shí)了解最新消息

眾所周知，加密世界會(huì)在一夜之間發(fā)生變化。因此，跟上包括區(qū)塊鏈安全事件在內(nèi)的最新發(fā)展至關(guān)重要。跟蹤創(chuàng)始人正在做什么，以及他們是否仍在積極為項(xiàng)目做出貢獻(xiàn)。如果團(tuán)隊(duì)已經(jīng)“跑路”，您必須根據(jù)您的發(fā)現(xiàn)重新制定策略。

區(qū)塊鏈安全每天都在變好，DeFi 將繼續(xù)存在

區(qū)塊鏈本身是高度安全的，但在多個(gè)區(qū)塊鏈之間的互操作中可能會(huì)出現(xiàn)漏洞。雖然跨鏈橋肯定會(huì)帶來(lái)許多安全挑戰(zhàn)，但它們對(duì)于互操作性、可擴(kuò)展性和增強(qiáng)用戶體驗(yàn)至關(guān)重要。

由于 DeFi 領(lǐng)域仍處于起步階段，隨著每次安全事件的發(fā)生，整個(gè)生態(tài)系統(tǒng)都在變得越來(lái)越好。我們可以從每起加密黑客事件中學(xué)習(xí)，讓DeFi空間更加安全和隱私。

盡管安全事件過(guò)去發(fā)生過(guò)，而且將來(lái)肯定會(huì)發(fā)生，但DeFi 團(tuán)隊(duì)都應(yīng)該化被動(dòng)為主動(dòng)，永遠(yuǎn)將智能合約的安全性放在第一位，讓自己遠(yuǎn)離頭條新聞。唯有不斷進(jìn)步的安全性，才能穩(wěn)固 DeFi 在行業(yè)中的強(qiáng)大地位。