DeFi黑客攻击与漏洞利用:常见类型揭秘

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

高风险、高回报是对加密圈的投资收益最准确的概括,但风险除了行情变化外,资产的安全风险也需要注意。

尤其是在DeFi的领域内,相较投资回报风险,DeFi更容易遭到黑客的攻击,从而导致个人的财产收到损失。关于DeFi的风险点,最常被黑客攻击和漏洞有哪些?

1.RugPull

「Rugpull」已成为整个DeFi圈中的常用术语,现在多被用于指许多类型的黑客和漏洞利用,实际上指的是突然从流动性池中移走大部分流动性的一种特定技术。

流动性的突然损失可能会造成代币的死亡螺旋,因为代币持有者会试图尽快出售手中的代币,从而避免造成更多的损失。

Rugpull通常是恶意团队进行攻击的最后一步,也是一种常见的「退出骗局(exitexam)」形式,即当团队试图带着资金逃跑时,协议会删除他们之前所有的社交媒体痕迹。

由于这类型攻击在技术上实施起来非常简单,它通常是低投入项目快速获取现金的首选技术,但并不意味着按照这种方式所获取的利润很低,目前已经有几起主要的恶意攻击导致用户损失了数百万美元。

如MeerkatFinance,该项目在运营了一天之后,就获得了1300万BUSD和7.3万BNB的收益,当时的总收益约为3100万美元。

如果一个项目使用了一个大的流动资金池,那么该项目团队就不应该具有检索这些资产的能力。若项目团队这样做了,那么相当于你把自己的信任完全交给了项目团队。

而MeerkatFinance一开始并没有这个能力,在攻击前不久,MeerkatFinance的部署者「升级」该团队的2个Vaults,并且给他们自己进入Vault留了后门。

怎样避免被Rugpull?

个人可以检查该项目的流动性如何锁定、是否有时间锁,以及有多重签名?

项目的背景调查、项目支持方,以及项目的规划(白皮书)之类的。

尤其是团队成员的熟悉度这方面,如果是熟悉的,是否能在网上获取到相关信息的。现在网上证明个人身份变得愈加困难,因此有不少团伙也会采用一些方式建立他人对项目的信任,从而获取投资者的资产。

从另一个角度来看,如果你找不到任何关于项目方相关人员的信息,团队信息匿名不一定是一件坏事,比如比特币的创始人至今仍是匿名的。

2.闪电贷

近期发生的DeFi黑客事件,大部分都和闪电贷有关系,比如八月时PolyNetwork被盗取6.1亿美元的事件。

也因此,闪电贷给大部分人的印象是负面多于正面。

目前闪电贷交易适用于拥有大账户的鲸鱼用户,闪电贷本身并不是一种恶意工具,它们可在很短的时间内提供大量资金。这些资金可被用来利用代码的漏洞,或者操纵定价并从套利的过程中获利。

闪电贷是一种无抵押、无担保的贷款,它需在区块链交易结束前偿还;如果没有偿还,智能合约则会逆转交易,那么贷款就像从未发生过一样。

由于贷款的智能合约必须在其出借的同一交易中完成,因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。

大多数闪电贷攻击都涉及使用大量资金操纵代币价格。

以上面提到的PolyNetwork被盗取6.1亿的事情来讲,黑客通过在三条不同的链上发起攻击,34分钟损失了6.1亿刀,也是目前历史上被盗取最高的一次(虽然最后白帽已将全部盗取金额归还)。

另外,闪速贷还可用于其他攻击手段,如重入攻击、抢先交易或套利。

3.套利

套利是指利用不同市场之间的价格差异来产生利润。套利的行为,在不成熟的市场是非常常见的,如DeFi和加密货币。随着流动性的增加和市场效率的提高,套利机会因此逐渐减少。

如果一个池子被操纵(比如通过闪电贷)来为套利提供空间,也因此被认为是一种利用,因为流动性提供者最终可能会失去他们的资金,如SaddleFinance一样。

尽管SaddleFinance项目方声称「已经解决了滑点的问题」,但在今年1月的运行过程中,至少有3个主要的套利行为在6分钟内从早期的流动性提供者手中拿走了7.9枚比特币(折合275735美元)。

尽管这只是套利行为,但用户仍因此出现了资金损失。因为项目方无法保护他们免受套利者的伤害,而这些套利者只是在代码的限制内进行买卖。

也因此引出了另外一个问题——DeFi中损失资金算是黑客攻击,还是利用项目方的漏洞?

DeFi的存在对于加密圈而言,仍算是较新的概念,在整个行业内也是一个尝试。这意味着漏

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/16966.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年07月14日
下一篇 2023年07月14日

相关推荐

  • tenx是什么,TenX是什么项目

    一、tenx什么意思tenx的意思是天尚行。以下是详细解释:一、基本词义解释tenx作为一个英文词汇,其直接翻译为“天尚行”。在日常语境中,可能是一种产品名称或者某个特定领域的术语。由于该词汇并不属于常见英文词汇,其具体的含义可能需要根据上下文或者特定领域来确定。二、

    2024-11-19 22:00:02
    9 0
  • coinbase有多少币种,coinbase投资的项目有哪些

    一、区块链cny什么意思,区块链是什么术语比特币中国btccnyltc什么意思btc是指比特币(bitcoin),ltc指的是莱特币(litecoin),cny指的是人本民币。btccnyltc的意思是比特币和莱特币的人民币交易,支持比特币、莱特币和人民币之间自由的兑换。比特币是一种“电子货币”,由计算

    2024-11-16 05:00:01
    11 0
  • 区块链为什么要开源,区块链项目开源意味着

    一、为什么中国禁止区块链中国为什么不支持去中心化区块链因为如果去中心化区块链,市场中的资金将会很难监控。金融市场的风险系数就会大幅度增加,不利于经济的稳定。什么是ICO,国家为什么要禁止问题一:ICO是一种区块链行业术语,是一种为加密数字货币/区块链项目筹措资金

    2024-11-15 04:00:01
    16 0
  • 联盟链有哪些,什么是联盟链联盟链项目有哪些

    一、公有链联盟链的基本特征主要有公有链联盟链的基本特征主要有部分去中心化;可控性较强;数据不会默认公开;交易速度很快。公有链是完全去中心化的一种区块链,比特币就属于这种公有链,是完全去中心化的。任何人既可以进行交易也可以读取信息。任何人都可以参与链上的交易

    2024-11-11 15:30:01
    15 0
  • 以太坊有哪些项目,生态那些项目最值得关注

    一、区块链上链项目有哪些国内现在有哪些确实影响社会和生活并已经落地的区块链项目值得一提??说起区块链,可以确切的讲目前并没有一个千万级的落地项目产生,但正因如此,区块链的想象空间就非常大了。目前来讲,各国各大公司都有在布局区块链技术,不过大都是小范围的应用

    2024-11-10 01:00:02
    15 0
  • 如何查看以太坊上的项目,以太坊作为公链项目在中国合法吗受法律保护吗

    一、如何购买以太坊,以太坊国内如何购买目前,国内用户购买以太坊的渠道有很多,下面简单介绍常用的几种:一、场外可盈可乐平台(CoinCola)1、关于可盈可乐可盈可乐是个人与个人之间交易比特币的场外交易平台。可盈可乐隶属于香港CoinCola Limited,由专业的国际化团队研发与

    2024-11-08 23:30:02
    15 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载