在过去的两年里,我们观察到 DeFi 生态系统中发生了一些安全事件。毫不奇怪,一些被多家公司审计过的合约也遭到了攻击[1]。事实上,这些案例表明,虽然合约审计有帮助,但它并不能保证已审计的合约不存在漏洞。
我们认为,除了合约审计之外,还应该有更主动的方法来减轻对 DeFi 生态系统的威胁。我们在过去几个月内部讨论了这一想法,并基于我们对 DeFi 世界的深刻见解开发了一个系统,用于主动阻止正在进行的攻击(请参阅我们团队的研究发现[2][3])。我们已于二月中旬启动了该系统的 Alpha 测试。
在 2022 年 3 月 5 日下午 04:35:19(UTC 时间),我们的系统监测到一次待发生的攻击(交易哈希为 0xc161973ed0e43db78763aa178be311733d4ffb77948d824ed00443803d22739c),攻击者为 0xC711374BaC07Df9bB9dbAC596451517cEcBf0F0f。我们的系统立即发送了一笔交易(0xf3bd801f5a75ec8177af654374f2901b5ad928abcc0a99432fb5a20981e7bbd1),并成功阻止了攻击。随后,我们联系了项目方,并将被盗的代币(0x31bff8989e9d627331435df9fed118f988b50bd1ab3b6056600ce86ccf0275ea)返还给了其部署者账户(0x67368f4c89dda2a82d12d3a703c32c35ff343bf6)。
尽管被追回的代币数量不多(与许多事件中的损失相比),但我们相信这是保障区块链生态系统安全的重要方向。这个具体的例子证明了它是可行的。然而,我们可能还会面临一些技术挑战,例如如何提高阻止攻击的成功率,以及如何让这项工作适用于 PoS 区块链。目前,我们正在内部开发一些令人兴奋且前景光明的技术,这些技术根植于我们对区块链生态系统,尤其是安全领域的深刻理解。
敬请期待。
关于 BlockSec
BlockSec 团队专注于区块链生态系统的安全,并与领先的 DeFi 项目合作,保障其产品的安全。该团队由顶尖的安全研究人员以及来自学术界和业界的经验丰富的专家组成。团队的核心创始人因其在安全和隐私领域的研究成果,被授予最有影响力学者奖(2012-2021 年排名第四)。他们已在著名会议上发表了多篇区块链安全论文,报告了多个 DeFi 应用的零日攻击,并发布了高影响力安全事件的详细分析报告。
-
Twitter: https://twitter.com/BlockSecTeam
