本系列文章节选自 OKX Web3 与 BlockSec 联合推出的《最新逃生策略》,旨在探讨 DeFi 用户和 DeFi 项目团队所面临的安全挑战。
Q1:您能否分享一些“巨鲸”在 DeFi 中遇到的真实风险案例?
BlockSec 安全团队: DeFi 之所以吸引人,在于其稳定的高资产回报,这吸引了重要的参与者,并促使项目通过招揽大型“巨鲸”来提高流动性。正如新闻报道的那样,我们经常看到“巨鲸”进行大量的 DeFi 存款。然而,这些“巨鲸”在享受稳定回报的同时,也面临着固有的风险。请关注我们对公开记录的 DeFi 风险情景的深入探讨。
案例一:2022 年 PolyNetwork 事件与“神鱼”的百万美元挑战
2022 年的 PolyNetwork 安全事件中,超过 6 亿美元的资产遭到攻击。据传,“神鱼”(Cobo 联合创始人兼 CEO)也有 1 亿美元的资金卷入其中。尽管最终攻击者归还了资金,事件得到了圆满解决,并且“神鱼”宣布计划在区块链上建立一座纪念碑以纪念此事,但整个过程一定非常煎熬。虽然一些安全事件以圆满结局告终,但大多数情况并非如此。
案例二:SushiSwap 惊魂——“0x Sifu”在 2023 年攻击中损失 330 万美元
2023 年,著名的去中心化交易所(DEX)SushiSwap 遭到攻击,导致一位被称为“0x Sifu”的大型持有者遭受重大损失,损失金额超过 330 万美元。他的个人损失约占总损失的 90%。
案例三:Prisma 漏洞——四个钱包损失 80%,400 万美元未追回
在今年三月的 Prisma 安全事件中,总损失金额达 1400 万美元。这些损失来自 17 个钱包地址,平均每个钱包损失 82 万美元。然而,其中四个用户的损失占总损失的 80%。大部分被盗资产至今仍未追回。
归根结底,DeFi,尤其是主网上的 DeFi,存在不容忽视的 Gas 费用,盈利能力依赖于大量的资产投资,不包括空投奖励。因此,DeFi 项目的主要总锁仓价值(TVL)通常由“巨鲸”贡献,在一些项目中,2% 的“巨鲸”贡献了 80% 的 TVL。当发生安全事件时,这些“巨鲸”不可避免地成为损失的主要承担者。 “不能只看到巨鲸大快朵颐;它们也有被击中的时候。”
OKX Web3 钱包安全团队: 随着链上世界的繁荣,用户遇到的 DeFi 风险案例也日益增多,链上安全始终是用户最基本也是最重要的需求。
案例一:PlayDapp 泄露——因私钥泄露导致 3200 万美元 PLA 代币被盗
PlayDapp 私钥泄露:2024 年 2 月 9 日至 12 日期间,基于以太坊的游戏平台 PlayDapp 发生泄露事件,攻击者利用泄露的私钥。攻击者未经授权铸造并盗取了 17.9 亿个 PLA 代币,导致约 3235 万美元的损失。攻击者在 PLA 代币中添加了一个新的铸造操作员,铸造了大量 PLA,并将其分散到多个链上地址和交易所。
案例二:Hedgey Finance 黑客攻击——因合约漏洞损失 4470 万美元
Hedgey Finance 攻击事件。2024 年 4 月 19 日,Hedgey Finance 在以太坊和 Arbitrum 上遭遇重大安全漏洞,导致约 4470 万美元的损失。攻击者利用了合约中缺乏用户输入验证的缺陷,获得了对易受攻击合约的授权,从而窃取了其中的资产。
Q2:能否总结一下当前 DeFi 中存在的主要风险类型?
OKX Web3 钱包安全团队: 基于实际发生的事件,我们总结了当前 DeFi 领域四种常见的风险类型。
第一种:网络钓鱼攻击。
网络钓鱼攻击是一种常见的网络攻击类型,通过伪装成合法实体或个人,欺骗受害者提供私钥、密码或其他个人数据等敏感信息。在 DeFi 领域,网络钓鱼攻击通常以以下方式进行:
· 虚假网站:攻击者创建与真实 DeFi 项目相似的网络钓鱼网站,诱骗用户签署授权或转移交易。
· 社会工程学攻击:在 Twitter 上,攻击者使用高度模仿的账号或劫持项目方的 Twitter 或 Discord 账号,发布虚假的推广活动或空投信息(实为钓鱼链接),对用户进行网络钓鱼攻击。
· 恶意智能合约:攻击者发布看似诱人的智能合约或 DeFi 项目,欺骗用户授予访问权限,从而窃取资金。
第二种:Rug Pull(跑路骗局)。
Rug Pull 是 DeFi 领域的一种独特骗局,指项目开发者在吸引大量投资后突然撤出资金并消失,导致投资者资金全部损失的情况。Rug Pull 通常发生在去中心化交易所(DEX)和流动性挖矿项目中。主要表现形式包括:
· 流动性撤出:开发者在流动性池中提供大量流动性以吸引用户投资,然后突然撤出所有流动性,导致代币价格暴跌,投资者遭受巨大损失。
· 虚假项目:开发者创建一个看似合法的 DeFi 项目,以虚假承诺和高回报欺骗用户投资,但实际上并没有实际的产品或服务。
· 合约权限操纵:开发者利用智能合约中的后门或权限,随时更改合约规则或提取资金。
第三种:智能合约漏洞。
智能合约是在区块链上运行的自我执行代码,一旦部署便不可更改。如果智能合约存在漏洞,可能导致严重的安全问题。常见的智能合约漏洞包括:
· 重入漏洞:攻击者在上次调用完成之前反复调用易受攻击的合约,导致合约内部状态出现问题。
· 逻辑错误:合约设计或实现中的逻辑错误,导致意外行为或漏洞。
· 整型溢出:合约未能正确处理整型运算,导致溢出或欠溢。
· 价格操纵:攻击者操纵来自预言机的价格以进行攻击。
· 精度损失:由于浮点数或整型精度问题导致的计算错误。
· 输入验证疏忽:用户输入验证不足,可能导致安全问题。
第四种:治理风险。
治理风险与项目的核心决策和控制机制有关。如果被恶意利用,可能导致项目偏离其预期目标,甚至导致严重的经济损失和信任危机。常见的风险类型包括:
· 私钥泄露
- 一些 DeFi 项目的特权账户由 EOA(外部拥有账户)或多重签名钱包控制。如果这些私钥泄露或被盗,攻击者可以随意操纵合约或资金。
· 治理攻击
-
尽管一些 DeFi 项目采用了去中心化治理方案,但仍面临以下风险:
-
代币操纵:攻击者在短时间内通过借入大量治理代币来操纵投票结果。
-
权力集中:如果治理代币高度集中在少数人手中,这些人可以通过集中投票权来控制项目的全部决策。
