DeFi行业自诞生起,便饱受黑客攻击困扰。刚刚过去的5月份,DeFi领域发生的安全事件更是达到了一个小高峰。
虽然安全事件层出不穷,蒋旭宪却认为“这是DeFi行业发展必须经历的一个阶段”。
蒋旭宪是区块链安全公司PeckShield创始人兼CEO,他曾专注于安全领域十余年,如今扎根区块链安全行业。他是如何看待BSC上黑客横行,如何理解DeFi行业发展?在DeFi行业不断走向成熟的过程中,PeckShield又将充当什么角色?
为此,巴比特记者对蒋旭宪进行了一次专访。
01BSC安全事件频发,黑客逐利而来
5月,加密货币市场被一层阴霾笼罩,价格暴跌的同时,DeFi领域的黑客攻击越发猖獗。
“DeFi安全事件的发生在5月份达到了一个小高点。”PeckShield创始人蒋旭宪在接受巴比特专访时感慨道。
截止?6月?7日,今年发生的DeFi安全事件损失金额已经超过2020年全年的损失。
PeckShield统计,2020年发生在以太坊链上的DeFi安全事件为60余起,其中闪电贷攻击事件为11起,损失金额逾2.55亿美元。而截至今年?6月初,DeFi协议损失金额已高达5.33亿美元,安全事件超出50起,其中11起为闪电贷攻击事件。区别在于,相比去年攻击事件频发于以太坊,今年币安智能链却成了黑客们肆意掠夺的主要战场。
CFTC委员:加密货币律师对FTX和其他灾难负有责任:金色财经报道,美国商品期货交易委员会(CFTC)委员Christy Goldsmith Romero表示,律师、会计师和其他金融专业人士应该在FTX等加密货币公司内爆之前早就介入,阻止其内部发生的致命错误。FTX的运作方式在有适当的独立治理和把关人的情况下根本不可能实现。守门员应该认真质疑FTX在崩溃前的运营环境。
她认为加密货币行业不应等待立法,她还赞成建立一个独立的自律组织(SRO)来监督任何数字商品的现货市场,建议SRO在交易所之外运作。[2023/1/19 11:19:54]
PeckShield数据显示,2021年BSC链上DeFi安全事件为20余起,闪电贷为8起,DeFi协议损失金额高达3.39亿美元,占今年DeFi协议总损失金额的63.6%。
随着PancakeBunny、BurgerSwap等闪电贷攻击不断在BSC链上发生,我们不禁疑惑,为何黑客的手开始伸向BSC?
“攻击者一般不会针对某个特定链,他们是跟着资金走的,哪里有钱,哪里就有他们的身影。”蒋旭宪直言到,“安全事件数量上升,其实侧面印证BSC的用户或资产规模达到了一定程度。”
鉴于以太坊较为高昂的Gas费用,很多DeFi正在慢慢迁移到相对便宜或用户体验比较友好的生态链上。
“币安智能链给大家提供了一个相对便宜的费用,让一些不能在以太坊上参与某些DeFi项目的用户参与进来。随着BSC上用户活跃度、资产规模提升以后,相关问题也爆发出来了。”蒋旭宪提到。
在DeFi领域,最常见的攻击手段包括有闪电贷攻击、重入攻击、私钥被盗等。
律师预测:美国证券交易委员会很快将针对加密货币交易所:金色财经报道,Watcher.Guru发推称,代表Ripple对美国证券交易委员会提起诉讼的律师预测,该机构很快将针对加密货币交易所。[2022/4/3 14:01:42]
目前,DeFi协议安全事件频发,主要是因为许多项目存在代码复刻。不少协议本身代码与以太坊上的项目有着一定的相关性,它们Fork了代码,但并没有完全理解这些协议背后的逻辑。这体现在运维、管理、与其他协议互动等方面,以及在参数设置、风险控制点,甚至包括在一些预言机价格的使用方案上,他们可能不如原创团队做的到位,这也就为之后的安全事件埋下了“祸根”。
5月20日消息,DeFi收益聚合器PancakeBunny遭到闪电贷攻击,损失超过4500万美元。5月24日,DeFi协议AutoSharkFinance遭受相同漏洞攻击损失了74.5万美元;5月26日,DeFi收益聚合器MerlinLabs也损失68万美元。这类安全事件对于投资者而言,似乎已屡见不鲜。
蒋旭宪坦言道:“这类攻击都基于相同的漏洞,我们称之为‘同源漏洞’或‘同源攻击’,这在BSC上相对容易会发生。”
他指出,很多项目方在Fork代码之后,认为之前的代码做过审计并且长时间没有出现问题,于是在审计自己的项目时,认为只需要对修改的部分内容进行审计即可。这显然形成了一个误区,他们低估了DeFi乐高和组合性带来的安全风险和潜在问题,以往在以太坊出现的各种DeFi漏洞,都有可能在BSC上复现。
另一方面,黑客在进行攻击时也会玩点“小花招”。蒋旭宪提到,黑客通常会选择在大家都比较松懈的时间点进行攻击。据PeckShield统计,攻击更多发生在周六凌晨2点到6点之间。
前Monero首席开发者聘请高级律师以避免被引渡:金色财经报道,7月20日在田纳西州纳什维尔因欺诈指控被捕的前Monero首席开发者Riccardo Spagni(Fluffypony)聘请了加密货币行业的顶级律师Brian Klein,以反对被引渡至南非。Klein已提出动议以允许Spagni保释,直到他的引渡听证会。律师在动议中声称,美国政府“错误陈述了这件事的事实和适用法律”,并称针对Spagni的案件“存在致命缺陷”,原因是缺乏证据并且起诉已“停止、开始和徘徊了十多年”。据悉,Spagni被指控在2009年至2011年期间通过伪造发票并将付款转入他的个人银行账户,从他的前雇主Cape Cookies那里窃取了大约100,000美元。[2021/8/4 1:32:27]
尽管此类攻击层出不穷,蒋旭宪却认为这是DeFi行业发展必须经历的一个阶段。
“如果我们回顾下去年以太坊DeFi安全事件,以及2018年EOS上的安全事件,就会发现在BSC上发生的DeFi事件与它们有许多非常相似的地方。”蒋旭宪说。
02与黑客的较量是一场争分夺秒的“攻防战”
对于PeckShield等安全公司而言,与黑客之间的较量是一场争分夺秒的“攻防战”。
当黑客攻击发生时,PeckShield首先会尽快发出预警。
“我们内部有一个风控的检测机制,任何一个闪电贷攻击发生的时候,就会自动发出预警。”蒋旭宪说,“发出预警之后,我们就会开始找到受到闪电贷攻击影响的协议。”
他提到了一个例子。5月8日晚间,RariCapitalETH池因与AlphaFinance集成存在漏洞遭到了攻击,损失约1500万美元。
比特大陆向前高管控制公司“北京超摩”发律师函:6月16日消息,比特大陆向员工发送《关于保护公司知识产权与保守商业秘密的通知》的邮件,通知称,2021年5月13日,北京比特大陆发律师函件给北京超摩公司,要求其不得侵犯我司的知识产权与商业秘密。2021年6月16日,我司收到超摩公司回复的律师函辩称:范靖、王海超、邹桐三人“不可能存在侵犯你(比特大陆〉知识产权的行为,更不可能给你方造成任何损失。”同一天,超摩公司在网络上面发布了招聘广告,所招聘的岗位和职责与我司几乎完全一致。
通知指出,超摩系列公司系范靖、王海超和邹桐等人所控制。范靖曾担任比特大陆芯片研发总监、董事,王海超曾担任比特大陆CEO、董事。他们二人在过去两年没有展示出应有的担当,最终选择携带我司的商业秘密自立门户,这样的品格不可能在激烈的商战中将克敌制胜并创造未来。请注意保持与超摩公司人员的距离,加强防范意识,避免在正常的社交活动中泄漏了公司的商业秘密,从而给公司造成不可挽回的经济损失,甚至触犯法律。此外,我们还提醒所有员工注意:龙爽、李超和张渠亦是范王邹三人的合伙,请大家也注意保持与他们的距离。[2021/6/16 23:41:33]
据悉,Rari是一个投资组合平台,用户将ETH存入Rari,然后Rari决定将募集到的ETH投资到不同的项目。Rari投资获得的利息将按照用户不同的投资份额按比例分给用户。
当攻击者开始实施攻击,PeckShield首先发现高危地址发生了异动,疑似DeFi协议AlphaFinance合约存在漏洞。随即,它将情况通报了AlphaFinance开发团队,在迅速准确地定位到攻击的对象实际为RariCapital的ETH资金池后,PeckShield再将漏洞根源同步给AlphaFinance开发团队。
声音 | Oliver Arter律师:瑞士加密基金会热潮正在减退:根据Stiftung Schweiz的数据,2017年和2018年在瑞士推出的所有基金会中有10%与数字资产相关。绝大多数基金会,在被称为瑞士的“加密谷”的楚格州建立并注册。楚格如此吸引加密企业的原因是,在这里他们可以更轻松地获得ICO资金。瑞士对加密业务的低税率和宽松监管使其成为区块链和加密业务的避风港。但苏黎世律师事务所Froriep的律师Oliver Arter表示,瑞士加密基金会的热潮如今正在减退。基金会是一种非营利性的区块链组织,它通常在一开始会有大笔资金分散在不同的项目上,但后期,如果想获利,就必须将其和商业活动捆绑在一起,但基金会又并不适合商业运作,所以,最终将导致一系列管理问题。[2019/2/20]
随后,AlphaFinance及时暂停服务,攻击者再次发起攻击的那笔交易回滚,RariCapital团队则从ibETH中提取所有资产避免更多资金受损。最终,PeckShield协助RariCapital避免了600万美元的损失。
这整个过程的时间极短。事后,攻击者们在眼看着就快得手的600万虚拟资产被拦截后,在区块上留下:“Rari=REKTalpha=oksavedrari6m”。
对此,蒋旭宪将项目如何抵御黑客攻击大致总结为三个步骤:事前专业的智能合约安全审计,排查已知的各类漏洞;过程中,第一时间响应安全风险,及时排查封堵安全攻击;最后,则是查漏补缺。
尽管黑客与安全公司之间经常会发生“战斗”,但黑客挑衅的对象往往不是后者,而可能是一些项目方。
2020年11月15日,ValueDeFi协议遭受了闪电贷攻击。事后,黑客在区块上留下一句话“doyoureallyknowflashloan?”有趣的是,攻击者在利用740万美元DAI后,向ValueDeFi退还了200万美元。
除了与黑客斗智斗勇,PeckShield似乎对一些计划跑路的项目方的“小动作”也颇有了解。
“当一些项目方打算‘跑路’时,我们也会及时预警,既是给社区预警,也是给项目方直接提示。”蒋旭宪说。
他笑道,当他们发出预警后,就有一些项目方直接把“跑路”的行动给取消了。
据他表示,目前通过DeFi出来的新协议,可能会藏着一些所谓的“后门”,存在一些特殊账号或需要开启的某些功能。例如,某些打算跑路的协议可能把资产从有“后门”的流动池里面直接转走,但是进行这个操作的时候,实际上可能会需要激活“后门”,比如时间锁等。
“项目方可能会把时间锁关了,但这个行为可能会被我们监控到。”蒋旭宪提到。在监控到之后,PeckShield会实时跟项目方联系,或者对社区发出一些预警。
另外,对于一些攻击者的相关地址,PeckShield也会对其打上黑色标签,一旦有着“黑标签”的地址开始进行转账,系统就会自动将相关的交易地址做好标记。当信息多到一定程度,就能串联起来形成线索,以此做到资金流向“去匿名化”。
通过这种方式,PeckShield曾协助调查了不少区块链犯罪。蒋旭宪指出,协助的工作一般分为三个步骤:追踪和监控资金流向,监控目标地址交易;追踪主体信息,锁定犯罪分子;出具司法鉴定报告。
然而,随着DeFi领域的技术创新衍生出新型?式,对反工作的进行提出新的挑战。
例如,币安智能链上,当黑客攻击成功后,他们会把资产从BSC上跨桥到以太坊上,然后利用以太坊的某些隐私保护协议,使得资产追踪就变得非常困难。
5月30日,PeckShield在推特上表示,“黑客利用去中心化跨链交易协议Anyswap作为将收益转移到以太坊的桥梁。现在有两个待处理的跨桥请求,总共2171.8991个anyETH。”对此,Anyswap回应称,“Anyswap是一种去中心化的跨链协议,我们无能为力。”
“现在资金很多通过跨桥方式转移,这使追踪难度大幅提升。”蒋旭宪有些无奈道。
03DeFi生态壮大、维稳、健全将经历三个阶段
“对于行业发展而言,黑客存在有其必要性。”蒋旭宪客观地说。
他指出,DeFi生态壮大、维稳、健全将经历三个阶段。第一是无知阶段,此时行业忽视安全,各类项目野蛮生长;第二是唤醒阶段,随着安全事件和安全漏洞频现,项目方、平台开始重视起来;第三是警觉阶段,社区主动探寻安全解决方案。
虽然攻击者必然会对项目方和投资者造成安全威胁和财产损失,但其存在却也让行业参与者开始反思现存安全漏洞问题,在一定程度上也会促使生态做得更好。
当然,黑客存在或许有其必要性,但是也并不意味着项目方和安全公司应该放任其作恶。长久以来,怎样防范黑客攻击和保护投资者资产一直是行业难题。
以近期最常见的闪电贷攻击为例。顾名思义,闪电贷讲究一个字“快”。了解DeFi的用户都知道,闪电贷是在单笔交易内能把钱借出去,但必须在单笔交易结束之前把钱还回来,即整个过程必须在一笔交易内完成。
作为无抵押、无担保的贷款方式,蒋旭宪认为闪电贷是一项技术创新。
“有时候我们会建议项目方在做资产进出的时候,不要设置在单笔交易内完成。借贷方需要到下一个区块才能取钱。这么做的一个好处是杜绝了闪电贷。”蒋旭宪说,“缺点是用户在体验上可能会不方便。因为本来一笔能完成的交易,现在必须要发两笔交易。”
另外,他指出,黑客往往会操纵链上的价格来攻击获利。对于项目方而言,可以集成链下价格,通过将链上价格和链下价格互相参考验证,确保价格在一定允许范围之内维持稳定。如果价格明显超出了允许范围,可以得知目前的协议是被操纵的,这时应该“回滚当前用户交易”。
“不过想要凭借某一种技术或一种解决方案以求完美解决所有问题,这并不现实的。”蒋旭宪坦言道。
他表示,新上线的合约应该通过多家全面、专业的智能合约安全审计,排查已知的各类漏洞。在同源攻击发生后,项目应仔细自查自己的代码,减小潜在的安全风险。
“目前。BSC链上被攻击项目出现的漏洞其实都算不上新颖。尽管审计不可能排除所有漏洞,但对已知漏洞却能做到精准定位和修补。在很大程度上能够避免一些攻击。”蒋旭宪说。
项目需要在各方面进行审计排查,而作为行业的重要组成者,投资者应该如何选择项目?
“切勿盲目跟风,只看短期利益。对于投资用户而言,理性思考尤为重要。”蒋旭宪直言道。
他认为,除了知晓项目是否通过多家平台的审计排查,用户也需要擦亮眼睛,去关注项目的原创性。是否复刻了其他项目的代码,是否具备独特的创新,这些都是衡量一个项目安全性和有价值的重要指标。
而随着DeFi行业黑客攻击越发频繁,PeckShield的工作也随之变得更加忙碌。
“目前,一些项目的审计单子已经预定到了2-3个月后。”蒋旭宪说,“大部分是DeFi项目,也有公链项目,不过后者审计时间相对比较长,一般需要3个月左右。”
据其表示,在接单过程中,PeckShield会推掉一些急于在短期内取得审计报告的DeFi项目。在该公司看来,这些客户显然不是认真在做DeFi协议。
“相对来说,我们希望扎根区块链的核心安全,跟着行业趋势,将核心安全问题都理解通透。在稳固资深业务的基础上,也能参与到行业生态发展中。”蒋旭宪告诉巴比特。
在提及DeFi行业发展时,他的眼中露出一丝光芒,纵然黑客横行,似乎也并没有改变他对行业未来的信心。
“总体来说,参与用户量还是变多了,DeFi市场规模正在往上走。虽然接下来会有一段时间的回调,但我认为这是行业自身在调整,是一个必不可少的环节。”蒋旭宪说道。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。