本系列文章摘錄自 OKX Web3 與 BlockSec 共同策劃的「最新避險攻略」,旨在解決 DeFi 用戶與 DeFi 專案團隊所面臨的安全隱憂。
Q1:能否分享幾個「巨鯨」所遇到的真實 DeFi 風險案例?
BlockSec 安全團隊: DeFi 的魅力在於其穩定且高額的資產回報,吸引了眾多重要參與者,並促使專案方透過爭取大鯨魚(巨鯨)來提升流動性。我們經常在新聞中看到鯨魚在 DeFi 中進行大量存款。然而,這些「鯨魚」在享受穩定回報的同時,也承擔著內在的風險。請密切留意,我們將深入探討公開記錄中的 DeFi 風險案例。
案例一:2022 年 PolyNetwork 事件與「神魚」的百萬美元挑戰
在 2022 年的 PolyNetwork 安全事件中,價值超過 6 億美元的資產遭到攻擊。據傳「神魚」(Cobo 共同創辦人兼執行長)也有 1 億美元捲入其中。雖然攻擊者最終歸還了資產,事件也得到了圓滿解決,且「神魚」還預告要在區塊鏈上立碑紀念,但這段過程想必非常煎熬。雖然有些安全事件結局圓滿,但大多數的情況卻非如此。
案例二:SushiSwap 震撼——0x Sifu 在 2023 年攻擊事件中慘賠 330 萬美元
知名去中心化交易所(DEX)SushiSwap 於 2023 年遭到攻擊,導致知名大戶 0x Sifu 損失慘重,金額超過 330 萬美元。他個人的損失約佔總損失金額的 90%。
案例三:Prisma 被駭——四個錢包損失 80%,400 萬美元未追回
在今年 3 月的 Prisma 安全事件中,總損失金額達 1,400 萬美元。這些損失源自 17 個錢包地址,平均每個錢包損失 82 萬美元。然而,其中四位用戶的損失就佔了總額的 80%。大部分被盜資產至今仍未追回。
歸根結底,DeFi(尤其是主網 DeFi)存在著不可忽視的 Gas 費用,若不計空投獎勵,獲利的前提取決於龐大的資產投入。因此,DeFi 專案中的主要總鎖倉價值(TVL)通常由「鯨魚」貢獻;在某些專案中,2% 的鯨魚即貢獻了 80% 的 TVL。當安全事件發生時,這些鯨魚往往首當其衝。 「世人不能只看見鯨魚盛宴,它們也有被痛擊的時刻。」
OKX Web3 錢包安全團隊: 隨著鏈上世界的繁榮,用戶遇到的 DeFi 風險案例也在增加,而鏈上安全始終是用戶最基本也最重要的需求。
案例一:PlayDapp 被駭——私鑰洩漏導致 3,200 萬美元 PLA 代幣被盜
PlayDapp 私鑰洩漏事件:2024 年 2 月 9 日至 12 日期間,以太坊遊戲平台 PlayDapp 遭到入侵,攻擊者利用洩漏的私鑰進行攻擊。攻擊者未經授權鑄造並竊取了 17.9 億枚 PLA 代幣,造成約 3,200 萬美元的損失。攻擊者在 PLA 代幣中添加了新的鑄造操作員,鑄造了大量 PLA,並將其分散至多個鏈上地址與交易所。
案例二:Hedgey Finance 被駭——合約漏洞遭利用導致 4,470 萬美元損失
Hedgey Finance 攻擊事件。2024 年 4 月 19 日,Hedgey Finance 在以太坊與 Arbitrum 上遭遇嚴重的安全漏洞攻擊,共造成約 4,470 萬美元的損失。攻擊者利用了合約中缺乏用戶輸入驗證的漏洞,獲得了受攻擊合約的授權,進而從中竊取資產。
Q2: 是否可以總結目前 DeFi 中存在的主要風險類型?
OKX Web3 錢包安全團隊: 根據實際案例,我們總結了當前 DeFi 領域常見的四種風險類型。
第一類:網路釣魚攻擊。
網路釣魚攻擊是一種常見的網路攻擊,透過冒充合法實體或個人,欺騙受害者提供敏感資訊(如私鑰、密碼或其他個人數據)。在 DeFi 領域,網路釣魚攻擊通常透過以下方式進行:
· 虛假網站:攻擊者建立與真實 DeFi 專案相似的釣魚網站,誘騙用戶簽署授權或進行轉帳交易。
· 社交工程攻擊:在 Twitter 上,攻擊者使用高仿帳號或駭入專案方的 Twitter/Discord 帳號,發布虛假的促銷活動或空投資訊(實際上是釣魚連結),進而對用戶進行釣魚攻擊。
· 惡意智慧合約:攻擊者發布看起來極具吸引力的智慧合約或 DeFi 專案,誘騙用戶授權存取權限,進而竊取資金。
第二類:Rugpull(捲款跑路)。
Rugpull 是 DeFi 領域獨有的詐騙手法,指專案開發者在吸引大量投資後突然撤資消失,導致投資人的資金被徹底捲走。Rugpull 通常發生在去中心化交易所(DEX)和流動性挖礦專案中。主要表現形式包括:
· 撤走流動性:開發者在流動性池中提供大量流動性以吸引用戶投資,隨後突然撤走所有流動性,導致代幣價格暴跌,投資人蒙受巨大損失。
· 虛假專案:開發者建立一個看起來合法的 DeFi 專案,憑藉虛假承諾和高報酬欺騙用戶投資,但實際上並無任何實際產品或服務。
· 合約權限篡改:開發者利用智慧合約中的後門或權限,隨時修改合約規則或提取資金。
第三類:智慧合約漏洞。
智慧合約是運行在區塊鏈上的自動執行代碼,部署後不可更改。若智慧合約存在漏洞,可能導致嚴重的安全問題。常見的智慧合約漏洞包括:
· 重入攻擊(Reentrancy):攻擊者在先前的呼叫完成前反覆呼叫受漏洞影響的合約,導致合約內部狀態混亂。
· 邏輯錯誤:合約設計或實作上的邏輯漏洞,導致合約出現預期外的行為或弱點。
· 整數溢位(Integer Overflows):合約未正確處理整數運算,導致數值溢位或下溢。
· 價格操控:攻擊者操控預言機(Oracle)的價格數據以進行攻擊。
· 精度損失:由於浮點數或整數的精度處理問題導致計算錯誤。
· 輸入驗證缺失:對用戶輸入的驗證不足,導致潛在的安全隱患。
第四類:治理風險。
治理風險與專案的核心決策及控制機制有關。若被惡意利用,可能導致專案偏離原定目標,甚至引發嚴重的經濟損失與信任危機。常見的風險類型包括:
· 私鑰洩漏
- 部分 DeFi 專案的特權帳號由關聯外部帳戶(EOA)或多重簽名錢包所控制。若這些私鑰洩露或被盜,攻擊者即可隨意操控合約或資金。
· 治理攻擊
-
儘管部分 DeFi 專案採用去中心化治理方案,但仍面臨以下風險:
-
代幣操控:攻擊者透過在短時間內借入大量治理代幣來操控投票結果。
-
權力集中:若治理代幣高度集中於少數人手中,這些人可以透過集中投票權來控制整個專案的決策。
