DeFi黑客攻击与漏洞利用:常见类型揭秘

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

高风险、高回报是对加密圈的投资收益最准确的概括,但风险除了行情变化外,资产的安全风险也需要注意。

尤其是在DeFi的领域内,相较投资回报风险,DeFi更容易遭到黑客的攻击,从而导致个人的财产收到损失。关于DeFi的风险点,最常被黑客攻击和漏洞有哪些?

1.RugPull

「Rugpull」已成为整个DeFi圈中的常用术语,现在多被用于指许多类型的黑客和漏洞利用,实际上指的是突然从流动性池中移走大部分流动性的一种特定技术。

流动性的突然损失可能会造成代币的死亡螺旋,因为代币持有者会试图尽快出售手中的代币,从而避免造成更多的损失。

Rugpull通常是恶意团队进行攻击的最后一步,也是一种常见的「退出骗局(exitexam)」形式,即当团队试图带着资金逃跑时,协议会删除他们之前所有的社交媒体痕迹。

由于这类型攻击在技术上实施起来非常简单,它通常是低投入项目快速获取现金的首选技术,但并不意味着按照这种方式所获取的利润很低,目前已经有几起主要的恶意攻击导致用户损失了数百万美元。

如MeerkatFinance,该项目在运营了一天之后,就获得了1300万BUSD和7.3万BNB的收益,当时的总收益约为3100万美元。

如果一个项目使用了一个大的流动资金池,那么该项目团队就不应该具有检索这些资产的能力。若项目团队这样做了,那么相当于你把自己的信任完全交给了项目团队。

而MeerkatFinance一开始并没有这个能力,在攻击前不久,MeerkatFinance的部署者「升级」该团队的2个Vaults,并且给他们自己进入Vault留了后门。

怎样避免被Rugpull?

个人可以检查该项目的流动性如何锁定、是否有时间锁,以及有多重签名?

项目的背景调查、项目支持方,以及项目的规划(白皮书)之类的。

尤其是团队成员的熟悉度这方面,如果是熟悉的,是否能在网上获取到相关信息的。现在网上证明个人身份变得愈加困难,因此有不少团伙也会采用一些方式建立他人对项目的信任,从而获取投资者的资产。

从另一个角度来看,如果你找不到任何关于项目方相关人员的信息,团队信息匿名不一定是一件坏事,比如比特币的创始人至今仍是匿名的。

2.闪电贷

近期发生的DeFi黑客事件,大部分都和闪电贷有关系,比如八月时PolyNetwork被盗取6.1亿美元的事件。

也因此,闪电贷给大部分人的印象是负面多于正面。

目前闪电贷交易适用于拥有大账户的鲸鱼用户,闪电贷本身并不是一种恶意工具,它们可在很短的时间内提供大量资金。这些资金可被用来利用代码的漏洞,或者操纵定价并从套利的过程中获利。

闪电贷是一种无抵押、无担保的贷款,它需在区块链交易结束前偿还;如果没有偿还,智能合约则会逆转交易,那么贷款就像从未发生过一样。

由于贷款的智能合约必须在其出借的同一交易中完成,因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。

大多数闪电贷攻击都涉及使用大量资金操纵代币价格。

以上面提到的PolyNetwork被盗取6.1亿的事情来讲,黑客通过在三条不同的链上发起攻击,34分钟损失了6.1亿刀,也是目前历史上被盗取最高的一次(虽然最后白帽已将全部盗取金额归还)。

另外,闪速贷还可用于其他攻击手段,如重入攻击、抢先交易或套利。

3.套利

套利是指利用不同市场之间的价格差异来产生利润。套利的行为,在不成熟的市场是非常常见的,如DeFi和加密货币。随着流动性的增加和市场效率的提高,套利机会因此逐渐减少。

如果一个池子被操纵(比如通过闪电贷)来为套利提供空间,也因此被认为是一种利用,因为流动性提供者最终可能会失去他们的资金,如SaddleFinance一样。

尽管SaddleFinance项目方声称「已经解决了滑点的问题」,但在今年1月的运行过程中,至少有3个主要的套利行为在6分钟内从早期的流动性提供者手中拿走了7.9枚比特币(折合275735美元)。

尽管这只是套利行为,但用户仍因此出现了资金损失。因为项目方无法保护他们免受套利者的伤害,而这些套利者只是在代码的限制内进行买卖。

也因此引出了另外一个问题——DeFi中损失资金算是黑客攻击,还是利用项目方的漏洞?

DeFi的存在对于加密圈而言,仍算是较新的概念,在整个行业内也是一个尝试。这意味着漏

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/16966.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年07月14日
下一篇 2023年07月14日

相关推荐

  • uniswap怎么调gas,项目之Uniswap

    一、怎么洗闪电贷的钱如果我跟你说,有人不需要你任何抵押物,也不需要做任何信用检查就可以借给你几百万美金,你会怎么想?如果我又说,这笔钱只能借给你一秒钟,你又会怎么想?在区块链上的去中心化金融领域,我刚才说的这些并不是逗你玩,而是真实存在的服务。并且已经有人

    2024-12-19 17:00:02
    11 0
  • 币圈ico项目怎么找,ICO未死IEO又起

    一、币圈ICO是什么币圈就是关于数字货币(虚拟货币)发行、交易、炒作以及相关的一切活动,还有参与的个人用户或者机构。数字货币常见的有比特币、莱特币等,这里比特币是人们听说最多的,而且在平时很多人参与比特币的买卖。比特币在2008年由中本聪提出,总数量只有2100万个

    2024-12-19 00:30:02
    11 0
  • dao如何挖矿,boringdao是哪个国家的项目

    一、boringdao是哪个国家的项目一、项目简介BoringDAO是一个完全去中心化的资产桥,以DAO的方式运行,它将允许以太坊等任何拥有智能合约的区块链,成为比特币的Layer2解决方案,使得BTC等资产具备可编程特性。它使用“隧道机制”和三层质押来使BTC、LTC等资产,无缝安全地进入

    2024-12-12 22:30:01
    18 0
  • UNISWAP项目方怎么跑路,区块链什么是机枪池

    一、区块链什么是机枪池***机枪池跑路***开普勒机枪池是不是金融骗局不是。开普勒机枪池是一个去中心化的DeFi收益聚合器,由美国开普勒金融实验室创办,拥有官方的认证,因此不是骗局,目前拥有68位金融分析师,是区块链上的去中心化自治组织。2022年怎样整出火币网的现金??1

    2024-12-08 17:00:02
    25 0
  • 怎么创建defi项目,defi项目是什么意思

    一、DEFI是什么有哪些项目一、什么是DeFiDeFi就是去中心化金融,随着区块链的迅速发展,其应用场景也在不断地丰富,而金融业是其中最有前景的行业。目前,DeFi主要在以太坊网络生态内较为活跃,经过两三年的探索发展,衍生出了稳定币、借贷平台、衍生品、预测市场、保险、支付

    2024-12-03 08:00:01
    34 0
  • 门罗币什么算法,区块链项目中的门罗币Monero是什么

    一、mdc是什么币MDC是门罗币的简称。门罗币是一种加密货币,旨在提供匿名性、可扩展性和安全性。以下是关于门罗币的详细介绍:门罗币是一种开源加密货币,具有强大的隐私保护功能。它采用了先进的密码学技术和去中心化的网络结构,确保了交易的匿名性和安全性。与传统的加密货

    2024-11-30 22:00:01
    36 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载