区块链让DeFi成为可能。其实区块链应该是安全的,为什么总是有那么多DeFi平台和应用被黑?加密情报公司CipherTrace在2022年初发布的一份报告显示,去中心化金融(DeFi)占所有加密黑客攻击的75%以上。此外,54%的重大加密货币欺诈案件发生在DeFi领域,高于2020年的3%。首先,什么是区块链?区块链是存储不同数据类型的分布式共享分类账。例如,我们可以使用区块链来记录不可替代代币(NFT)的所有权,当然还有加密货币交易。传统数据库可以轻松存储相同的信息,而区块链的独特之处在于没有中心化的权限。它永远不会由一个集中的管理员在一个位置维护,例如Excel电子表格,一个人可以在没有监督的情况下进行更改。相反,区块链数据库的多个相同副本存在于网络上的多台计算机或节点上。要在“链”中添加另一个“块”并将底层交易记录在分布式账本中,需要达成共识。大多数节点必须在将新数据块添加到账本之前验证其合法性。因此,从理论上讲,任何人都几乎不可能进行欺诈交易。这是因为威胁行为者必须侵入每个节点并更改分类帐的每个副本以避免被发现。虽然这不一定是不可能的,但这对黑客来说是一个艰巨的挑战。此外,当您在组合中添加一层权益证明(PoS)或工作量证明(PoW)交易验证方法时,欺骗系统变得极其困难。PoS(在Algorand、EOS和Tezos中很流行)使用随机选择的矿工来验证交易。另一方面,POW使用竞争验证方式来确认交易。一旦交易被确认,一个新的区块将被添加到区块链中。因此,去中心化的公共区块链可以是高度安全的,因为网络上的每个人都必须验证交易是否合法执行。那么为什么加密黑客如此频繁地成为头条新闻呢?问题的答案在于跨链桥。什么是跨链桥?跨链桥连接两个不同的区块链,并允许用户从一个区块链发送、接收或交换加密货币,例如加密货币,而无需任何中介或中央机构。虽然这听起来很简单,但事实并非如此。跨链桥不像美元对欧元的兑换(这很简单),一个简单的类比是:试图用你银行账户中的航空里程兑换美元。区块链桥的存在是为了让用户在高gas或交易费用、快速交易、改进的隐私、优化的实用程序以及通过互操作性增强用户体验方面做出选择。它还为用户提供选择的自由,鼓励公平竞争。如果一个网络比另一个网络更快或更便宜,您可以简单地以更低的成本切换和移动数字资产。因此,跨链构成了PancakeSwap等平台的基础,用户可以在其中快速将以太坊(ETH)等加密货币“交换”为币安(BNB)。然而,跨链桥(和侧链桥)有时会颠覆DeFi的整个概念。大多数跨链桥依赖于各种外部验证器(例如:包装代币或托管,它们可能不是去中心化和无信任的)和中心化联盟来促进资产转移。是什么让跨链桥变得脆弱?跨链网络存在很大的安全风险,由于连接了不同实体开发的多条链,必须在更广泛的网络范围内有效防止攻击。从本质上讲,这使得黑客可以通过简单地将代币从一条链转移到另一条链来窃取资金。此外,DeFi平台是犯罪分子攻击的理想目标,因为它们提供快速回报、隐私和匿名性,而且执法(仍然)相对落后。然而,我们不得不处理如此多的安全漏洞(如MultiChain、PolyNetwork、Thorchain和Wormhole)的原因归结为创始人没有认真对待安全问题并且没有发现漏洞。例如,从ETH兑换成BNB需要以太坊、币安和跨链桥中的兑换代理。ETH和BNB可能是安全的,但如果桥接代理是薄弱环节,则无济于事。当保管人通过未经测试的安全实践和设计不当的系统保护数百万(如果不是数十亿)美元时,至少可以说保护用户资金具有挑战性。虫洞桥攻击虫洞跨链桥攻击是有史以来第二大加密货币黑客攻击,造成的损失超过3亿美元(或120,000ETH),它是如何发生的?Wormhole允许用户桥接Avalanche、币安智能链、以太坊、Polygon、Solana和Terra等链上的资产。因此,用户可以在区块链之间转移资产,而桥通过锁定交易并将包装版本(例如wETH)铸造到最终链来实现转移。Solana的软件功能不是最新的。一些黑客发现并利用了这种容易避免的技术疏忽。例如,威胁行为者能够通过在指令中注入恶意的“sysvar帐户”来规避“验证签名”过程。结果,他们能够破解这个跨链协议,因为它未能验证所有“验证者帐户”,从而允许攻击者欺骗验证者签名并凭空铸造多达120,000ETH。在这种情况下,跨链违规的根本原因是“验证签名”过程,因为合约具有过时的功能,无法验证sysvar帐户的合法性。这些漏洞提醒我们,DeFi仍处于起步阶段,这些项目本质上是实验性的。虫洞桥攻击后我们还能信任DeFi吗?虽然我们不能100%完全信任任何技术,但随着DeFi的发展和成熟,黑客将越来越难以欺骗节点或使其离线。这是因为密码学只会随着每个问题的解决方案和每次迭代而变得更好。加密用户如何保护自己?随着加密货币成为主流,网络犯罪也成为主流。为了提高区块链安全性并加强跨链环境,加密新手和老手都必须严格遵循最佳实践来降低风险。尽职调查是必不可少的。查看区块链开发团队是否拥有积极透明的记录。如果过去的DeFi项目有过安全事件的历史,他们可能在内部启动过程中遇到了问题。找到这些信息并不容易。您必须深入研究加密货币世界并研究参与该项目的每个人以及可能影响预期结果的所有相关因素。选择由白帽黑客“审核”的协议可确保他们与已建立的白帽黑客服务合作,以识别和纠正潜在的跨链漏洞。如果团队未能充分解决内部风险和潜在漏洞,您可以预期威胁参与者会“深入研究”。您可以通过关注协议的公告并与Zokyo和TrailofBit等黑客跟踪服务提供商保持联系来找到这些信息。白帽黑客每天都在让web3变得更好、更安全。通过吸引白帽黑客,DeFi平台还可以鼓励网络内的共识和协议以提高安全性。查看锁定的总价值(TVL)查看协议中锁定了多少加密货币(或存放和锁定的加密资产的总价值)。如果TVL加起来达到数十亿美元,并且该协议已经活跃了很长时间,那么安全风险可能相对较低。但一如既往,要格外小心。随时了解最新消息众所周知,加密世界可以在一夜之间发生变化。因此,跟上包括区块链安全事件在内的最新发展至关重要。跟踪创始人正在做什么,以及他们是否仍在积极为项目做出贡献。如果团队“跑路”了,你必须根据你的发现重新制定战略。区块链安全性一天比一天好,DeFi将继续存在。区块链本身是高度安全的,但多个区块链之间的互操作性可能存在漏洞。虽然跨链桥肯定会带来许多安全挑战,但它们对于互操作性、可扩展性和增强的用户体验至关重要。由于DeFi领域仍处于起步阶段,整个生态系统随着每一次安全事件而变得更好。我们可以从每一个加密黑客中学习,使DeFi空间更加安全和私密。虽然安全事件过去发生过,未来也一定会发生,但DeFi团队应该变被动为主动,始终把智能合约的安全放在首位,让自己远离新闻头条。只有不断提升安全性,才能稳固DeFi在行业中的强势地位。
