然而，從一些攻擊事件來(lái)看，DeFi似乎并不是完全去中心化的。

2021年7月14日，波卡數(shù)字收藏品市場(chǎng)平臺(tái)BondlyFinance遭到攻擊，導(dǎo)致373,088,023美元的BONDLY代幣被盜。根據(jù)官方調(diào)查，攻擊者通過(guò)獲取Bondly首席執(zhí)行官的密碼賬戶的訪問(wèn)權(quán)限進(jìn)行了攻擊。這個(gè)密碼賬戶包含了硬件錢(qián)包的助記詞，攻擊者獲取后可以訪問(wèn)BONDLY智能合約和公司錢(qián)包。

有趣的是，攻擊者在四個(gè)月后又以類似的方式攻擊了另一個(gè)DeFi項(xiàng)目。

2021年11月5日，DeFi協(xié)議bZx發(fā)推稱，控制Polygon和BSC的私鑰已被泄露，導(dǎo)致資金損失。根據(jù)官方調(diào)查，其中一個(gè)使用的錢(qián)包參與了BondlyFinance的攻擊。這次漏洞利用與BondlyFinance的攻擊非常類似：黑客獲取了開(kāi)發(fā)人員的密碼，然后操縱智能合約。不久之后，bZx更新的事故報(bào)告表示：“我們聘請(qǐng)了一家名叫Kaspersky的安全公司，該安全公司調(diào)查后認(rèn)為這次攻擊很可能是由朝鮮黑客組織Lazarus執(zhí)行的?！惫粽邔⒈槐I資金分散到多個(gè)地址，并將多種代幣換成ETH，最后通過(guò)Tornado.Cash轉(zhuǎn)出10960ETH，完成以太坊部分的洗錢(qián)。

這兩個(gè)例子與合約無(wú)關(guān)，而是因?yàn)殚_(kāi)發(fā)人員遭到釣魚(yú)攻擊，導(dǎo)致私鑰泄露，進(jìn)而影響了用戶資金。最近，私鑰泄露成為熱門(mén)話題：Levyathan損失150萬(wàn)美元、8ightFinance損失175萬(wàn)美元、VulcanForged損失1.4億美元……這是否意味著實(shí)際掌握著控制權(quán)的是線下實(shí)體（即DeFi開(kāi)發(fā)人員）呢？

除了釣魚(yú)攻擊，前端攻擊也是DeFi安全問(wèn)題的高風(fēng)險(xiǎn)點(diǎn)。

2021年12月2日，去中心化組織BadgerDAO遭遇黑客攻擊，用戶資產(chǎn)在未經(jīng)授權(quán)的情況下被轉(zhuǎn)移。根據(jù)官方報(bào)告，這是由于CloudflareWorkers上的惡意注入代碼片段導(dǎo)致的。攻擊者在未經(jīng)授權(quán)的情況下獲取了項(xiàng)目方在Cloudflare后臺(tái)的APIKey，然后在網(wǎng)站的前端代碼中注入惡意代碼。當(dāng)用戶訪問(wèn)前端網(wǎng)站時(shí)，惡意代碼觸發(fā)，用戶確認(rèn)了惡意交易，代幣被授權(quán)給攻擊者，攻擊者就可以轉(zhuǎn)走代幣。黑客將部分獲利的加密貨幣換成renBTC，并通過(guò)renBTC將約2100BTC跨鏈轉(zhuǎn)移至14個(gè)BTC地址。

盡管DeFi合約一旦部署就不可篡改，理論上不會(huì)受到人為干擾，確保了其去中心化特性，但目前大多數(shù)前端仍然采用傳統(tǒng)架構(gòu)，存在許多潛在威脅。前端的攻擊往往容易被開(kāi)發(fā)者忽視，這使得攻擊者有機(jī)可乘。

2021年9月17日，Sushiswap IDO平臺(tái)Miso的前端遭受攻擊。承包商的一名匿名員工注入了惡意代碼，將拍賣(mài)錢(qián)包地址替換為自己的錢(qián)包地址，導(dǎo)致864.8ETH（約307萬(wàn)美元）被盜。

前端問(wèn)題開(kāi)始影響資金安全，我們必須深思如何在DeFi項(xiàng)目中安全參與。

總的來(lái)說(shuō)，“DeFi是否完全去中心化”這個(gè)問(wèn)題可能會(huì)一直存在。不論是作為用戶、審計(jì)機(jī)構(gòu)還是作為項(xiàng)目方，經(jīng)歷了這么多的DeFi安全事件后，我們是否應(yīng)該將注意力不僅僅聚焦在智能合約上？這個(gè)問(wèn)題的答案不言而喻。

原文鏈接：https://www.8btc.com/media/6720820

轉(zhuǎn)載請(qǐng)注明文章出處

來(lái)源：慢霧科技

熱點(diǎn)：區(qū)塊鏈 區(qū)塊鏈技術(shù) 金融