本系列文章节选自 OKX Web3 与 BlockSec 联合策划的《最新逃生策略》(https://www.okx.com/zh-hans/learn/security-special-issue-5 ),旨在探讨 DeFi 用户和 DeFi 项目团队面临的安全问题。
Q1:您能否分享一些巨鲸在 DeFi 中遇到的真实风险案例?
BlockSec 安全团队: DeFi 的魅力在于其稳定的高资产回报,吸引了大量玩家,并促使项目通过拉拢巨鲸来增加流动性。正如新闻报道的那样,我们经常看到巨鲸进行大量的 DeFi 存款。然而,这些“巨鲸”在享受稳定回报的同时,也面临着固有的风险。请密切关注,我们将深入探讨 DeFi 风险的公开记录案例。
案例一:2022 年 PolyNetwork 事件与 Discus Fish 的百万美元挑战
2022 年 PolyNetwork 安全事件中,超过 6 亿美元的资产遭到攻击。据传,“Discus Fish”(Cobo 联合创始人兼首席执行官)也涉及 1 亿美元。尽管攻击者最终归还了资金,事件得到了圆满解决,并且“Discus Fish”宣布计划在区块链上建立一座纪念碑来纪念此事,但整个过程一定非常煎熬。虽然一些安全事件以好的结果告终,但大多数情况并非如此。
案例二:SushiSwap 惊魂——0x Sifu 在 2023 年袭击中遭受 330 万美元的灾难性损失
知名的去中心化交易所(DEX)SushiSwap 在 2023 年遭到攻击,导致一位名为 0x Sifu 的大户遭受了超过 330 万美元的重大损失。他个人的损失约占总损失的 90%。
案例三:Prisma 漏洞——四个钱包损失 80%,400 万美元未追回
在今年 3 月份的 Prisma 安全事件中,总损失金额高达 1400 万美元。这些损失源于 17 个钱包地址,平均每个钱包损失 82 万美元。然而,其中四个用户的损失占总额的 80%。大部分被盗资产尚未追回。
最终,DeFi,尤其是在主网上,需要支付不菲的 Gas 费,盈利能力取决于大量的资产投资,不包括空投奖励。因此,DeFi 项目的主要总锁仓价值(TVL)通常由“巨鲸”贡献,在某些项目中,2% 的巨鲸贡献了 80% 的 TVL。当安全事件发生时,这些巨鲸不可避免地会首当其冲承受损失。 “不能只看到巨鲸大快朵颐;它们也有被攻击的时候。”
OKX Web3 钱包安全团队: 随着链上世界的繁荣,用户遇到的 DeFi 风险案例也在增加,链上安全始终是用户最基本、最重要的需求。
案例一:PlayDapp 漏洞——私钥泄露导致 3200 万美元 PLA 代币被盗
PlayDapp 私钥泄露:2024 年 2 月 9 日至 12 日期间,基于以太坊的游戏平台 PlayDapp 发生了一起漏洞事件,攻击者利用泄露的私钥进行了攻击。攻击者未经授权铸造并盗走了 17.9 亿个 PLA 代币,导致约 3235 万美元的损失。攻击者在 PLA 代币中添加了一个新的铸造运算符,铸造了大量 PLA,并将其分散到多个链上地址和交易所。
案例二:Hedgey Finance 被黑——因合约缺陷导致损失 4470 万美元
Hedgey Finance 攻击事件。2024 年 4 月 19 日,Hedgey Finance 在以太坊和 Arbitrum 上遭受了重大的安全漏洞,导致约 4470 万美元的损失。攻击者利用了合约中缺乏用户输入验证的缺陷,获得了对易受攻击合约的授权,从而盗取了合约中的资产。
Q2:能否总结一下当前 DeFi 中的主要风险类型?
OKX Web3 钱包安全团队: 根据实际发生的事件,我们总结了当前 DeFi 领域的四种常见风险类型。
第一种:网络钓鱼攻击。
网络钓鱼是一种常见的网络攻击类型,它通过伪装成合法实体或个人来欺骗受害者提供敏感信息,如私钥、密码或其他个人数据。在 DeFi 领域,网络钓鱼攻击通常通过以下方式进行:
- 虚假网站: 攻击者创建与真实 DeFi 项目相似的网络钓鱼网站,诱骗用户签署授权或转移交易。
- 社交工程攻击: 在 Twitter 上,攻击者使用高仿账号或劫持项目方的 Twitter 或 Discord 账号,发布虚假促销活动或空投信息(实则为网络钓鱼链接),对用户进行网络钓鱼攻击。
- 恶意智能合约: 攻击者发布看似有吸引力的智能合约或 DeFi 项目,诱骗用户授权访问权限,从而窃取资金。
第二种:Rug Pull(卷款跑路)。
Rug Pull 是 DeFi 领域的一种独特骗局,指的是项目开发者在吸引了大量投资后突然撤资并消失,导致投资者资金被完全卷走的情况。Rug Pull 通常发生在去中心化交易所(DEX)和流动性挖矿项目中。主要表现包括:
- 流动性提取: 开发者在流动性池中提供大量流动性以吸引用户投资,然后突然撤出所有流动性,导致代币价格暴跌,投资者遭受巨额损失。
- 虚假项目: 开发者创建看似合法的 DeFi 项目,以虚假的承诺和高回报欺骗用户投资,但实际上并没有实际产品或服务。
- 合约权限操纵: 开发者利用智能合约中的后门或权限,随时更改合约规则或提取资金。
第三种:智能合约漏洞。
智能合约是在区块链上运行的自我执行代码,一旦部署就不可更改。如果智能合约存在漏洞,可能会导致严重的安全问题。常见的智能合约漏洞包括:
- 重入漏洞: 攻击者在先前调用完成之前重复调用易受攻击的合约,导致合约内部状态出现问题。
- 逻辑错误: 合约设计或实现中的逻辑错误,导致意外行为或漏洞。
- 整数溢出: 合约未能正确处理整数运算,导致溢出或下溢。
- 价格操纵: 攻击者操纵预言机价格以进行攻击。
- 精度损失: 由于浮点数或整数的精度问题导致的计算错误。
- 输入验证疏忽: 用户输入验证不足,可能导致安全问题。
第四种:治理风险。
治理风险与项目的核心决策和控制机制相关。如果被恶意利用,可能会导致项目偏离其预期目标,甚至导致严重的经济损失和信任危机。常见的风险类型包括:
- 私钥泄露
- 一些 DeFi 项目的特权账户由 EOA(外部所有账户)或多重签名钱包控制。如果这些私钥被泄露或盗窃,攻击者就可以随意操纵合约或资金。
- 治理攻击
- 尽管一些 DeFi 项目采用了去中心化治理方案,但它们仍然面临以下风险:
- 代币操纵: 攻击者在短时间内借入大量治理代币来操纵投票结果。
- 权力集中: 如果治理代币高度集中在少数人手中,这些人就可以通过集中投票权来控制项目的整体决策。
