DeFi半年已发生50起安全事件,会成为区块链发展的拦路虎吗?
据统计,仅仅是在 2021 年上半年,整个区块链生态就发生了 78 起较大的安全事件,其中涉及 DeFi 安全 50 起左右。日益增长的安全漏洞事件对于行业用户来说,无疑是一种巨大的威胁,为什么会频繁出现这样的事情,现在有做什么来改进呢?
上周五我们邀请了慢雾安全团队和库神钱包商务总监 Jessica 来我们分享相关内容。以下为内容提要:
DeFi 安全中的常见类型有:精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题等等。
DeFi 安全总是出现最底层的原因还是智能合约。
——慢雾安全团队
区块链行业核心问题就是安全。在保管加密资产方面,建议用户“冷热搭配”,经常使用的小资金放在有实力的大交易平台或者热钱包,大资金一定存放在硬件冷钱包保 管才能确保安全。
短期来看,DeFi 安全事件频发会对投资者产生一定的“劝退”作用,但长期来看,在 DeFi 高额收益的激励下,这类安全事件对 DeFi 赛道的用户参与率影响有限。
——库神钱包 Jessica
01
慢雾 & 库神
白话区块链:欢迎慢雾安全团队和库神商务总监 Jessica 做客白话大咖说,先和大家打个招呼吧?
慢雾安全团队:大家好,我们是慢雾安全团队。慢雾 (SlowMist) 是一家区块链安全公司,成立于 2018 年 1 月,已经服务了全球许多头部或知名的项目,我们做了很多 DeFi 方面的安全审计,这也是我们今天要聊的话题。
库神 Jessica:大家好,我是库神钱包 Jessica。很开心和慢雾团队一起做客白话大咖说。库神于 2016 年 11 月成立,是一家专注于提供区块链资产安全存储解决方案的科技公司。
库神钱包是全球知名高端的冷钱包品牌,拥有行业内最多高净值用户。产品远销日本、韩国、美国、新加坡、俄罗斯等多个国家和地区,在全球高端硬件冷钱包领域市场份额占有重要地位。
02
DeFi 安全常见类型
白话区块链:8 月 10 日当天,Poly Network 遭到了成立以来最严重的攻击,也是历史上最大的去中心化金融安全漏洞,如此巨额的资产损失,引起了圈内人的关注。
之前慢雾团队分析认为,攻击者是通过精心构造的数据修改了以太坊跨链合约中 keeper 为攻击者指定的地址,并非由于 keeper 私钥泄漏导致。这属于 DeFi 中的哪种类型呢,也请给大家详细介绍一下 DeFi 安全常见类型有哪些呢?
慢雾安全团队:Poly Network 这属于任意调用问题:合约存在任意外部调用接口,导致特权函数被调用。
DeFi 安全中的常见类型有:精度计算错误问题、权限过大风险、经济模型缺陷问题、兼容性问题、预言机操控风险、奖励分配缺陷问题、滑点控制缺陷问题等等。
03
钱包可以在哪些方面帮到用户?
白话区块链:在去年年末的时候,就和吴总有做过一场“黑天鹅事件”相关的 AMA,很高兴这一次又可以深入聊一聊。在 DeFi 安全方面,库神作为一家专注于提供加密资产安全存储解决方案的公司,主打硬件钱包。
那么在安全方面,库神近来有什么重要布局吗? 类似于这次的攻击类型,您认为钱包可以在哪些方面帮到用户?
库神 Jessica:近来库神钱包还是以安全为主,不断优化钱包功能,完善用户服务。今年我们推出了最新款库神冷钱包 Pro3+, 此款钱包采用了 CC EAL6+芯片,军事化安全防护,彻底杜绝网络黑客。
新增多种主流 Token,支持 BTC、ETH、XRP、BSV、TRX、LTC、FIL 等以太坊,波场和 EOS 生态币。此外,Pro3+支持隔离验证地址,同费率费用更低,同费用速度更快。
DeFi 从去年开始流行起来,但是资产安全问题也频频出现。库神钱包作为区块链资产的“保护神”,愿意共同建设 DeFi 市场的安全壁垒 , 保护去中心化世界的安全 , 拒绝去中心化的胡作非为。
所以建议大家不要过多的追求高利,而忘了高利下的高风险,应该根据自身情况,把资产做个比例划分,不动的资产放在冷钱包,收获坚守成果。
事实上,库神钱包也一直在做这件事,库神运营马上 5 年了, 截止目前从未出现过任何问题,在行业和使用过库神钱包的用户之间树立了良好的信誉和口碑。
04
DeFi 安全事故总是出现的底层原因
白话区块链:Poly Network 被攻击是整个 DeFi 行业生态安全问题的一个缩影。据统计,2021 年上半年,整个区块链生态共发生 78 起较大的安全事件,涉及 DeFi 安全 50 起。相比传统交易模式,两位觉得 DeFi 安全事故总是出现的底层原因是什么呢?
慢雾安全团队:最底层的原因还是智能合约吧。智能合约并不像传统 APP 可以随时下架,合约一旦部署,便是不可撤回的。合约可能一创建就包含着错误,而错误却无法被修改,导致事故的发生。
库神 Jessica:区块链上的智能合约是基于去信任 (permissionless) 来和用户以及其他智能合约交互的,对于那些设计智能合约的人来说,很难考虑到未来有人可能与他们的合约进行交互的每一种方式。其他人可以构建一种智能合约,以一种原作者不希望看到的方式与合约进行交互。
白话区块链:另外,在整个行业内黑客事件也层出不穷,他们的主要手法有哪些,目前市面上有采取什么措施来防止或者应对 DeFi 安全事故的发生呢?
慢雾安全团队:手法还是很多的,有些手法经常出现,有些很少出现,我例举几个:Rug Pull、闪电贷、套利等等,可以检查项目的流动性是如何锁定的,是否有时间锁,是否有多重签名,用户在参与 DeFi 前最好对项目做做调查,避免被骗。
另外一个就是项目方一定要有自己的安全的意识,上线前最好找业内专业的安全审计公司进行审计,至少可以把一些已知的攻击手法尽量规避掉。
白话区块链:DeFi 因在诸如借贷、支付等金融科技领域,提供了独具创新性的解决方案而备受赞誉,但突出的智能合约安全问题成为了 DeFi 行业的最大挑战。
如果智能合约资产被盗或出现攻击事件,如何让投资者利益损失最小或无损?有哪些安全防护措施?
库神 Jessica:是的,如果智能合约资产被盗或出现攻击事件,首先,早发现早退出,第一时间联系项目所在平台,usdt 联系泰达公司。投资者做好安全防护措施,防范大于未然:
使用硬件钱包参与 DeFi,私钥助记词不触网,学习钱包安全管理;
不盲目冲高 apr 的项目,选择通过专业审计的项目;
不用浏览器搜索 DeFi 网站,核对正确的智能合约地址;
不挖二池,做好对冲策略。
05
判断一个项目是否安全的指标
白话区块链:很多项目在进行全面的外部安全审计、原创的编码和测试网络环境下的模拟测试等步骤后还会存在风险,项目审计意味着什么,判断一个项目是否安全的指标有哪些呢?
慢雾安全团队:很多人会有这样的一个误区,觉得经过审计的项目就是永远安全的,但是所有的 DeFi 协议都存在着变数,就算是一个小小的更新也会导致巨大的问题,而且我们审计的范围是有限的。
安全具体是没有一个指标的,我们首先关注的是智能合约里在计算用户收益时,会不会存在溢出等问题。其次,我们会关注项目方是否留有后门,是否盗取用户资金。
安全,永远都是任重而道远的。
06
用户在加密货币的保管方面需要注意什么?
白话区块链:DeFi 的爆炸性增长使其复杂性呈现指数级别增长,因此加强 DeFi 风险管理是目前 DeFi 生态建设的重中之重。您认为目前用户在加密货币的保管方面,平时操作需要注意什么以防止类似事件导致的资金损失?
库神 Jessica:区块链行业核心问题就是安全!在保管加密资产方面,建议用户“冷热搭配”,经常使用的小资金放在有实力的大交易平台或者热钱包,大资金一定存放在硬件冷钱包保管才能确保安全。
选择有实力的大品牌钱包产品,并且离线保存好私钥和密码,正确渠道下载 app。一个钱包地址一个项目,结束参与及时取消授权。
07
MPC+TEE
白话区块链:看到慢雾之前提到过,由于热钱包还是单私钥的,所以被黑是迟早的事,而 MPC+TEE 不仅可以去单点风险,还可以在关键策略上做好可信难篡改,最后加上资金与业务两大全链路风控系统,可以 99.99% 挡住风险和攻击。请问这是怎么实现的,其中提到的 MPC+TEE 也请详细介绍一下吧?
慢雾安全团队:是的,我们在前不久上线了加密资产安全解决方案,这是慢雾在区块链生态数年一线安全攻防实践积累下,推出的第一个针对加密资产安全的解决方案。
其中给出了线上热资产安全解决方案,这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加,同时,线上的热资产本身的场景需要适应多种链及 Token 种类, 能兼容所有区块链及 **Token 种类的通用多签方案是最好的方式,而目前最成熟的解决方案是 MPC (安全多方计算)。**
MPC 主要针对一组计算的参与者,每个参与者拥有自己的数据,并且不信任其它参与者和任何第三方,在这种前提下,如何对各自私密的数据计算出一个目标结果的过程。
MPC 是一种计算协议,数据持有方可以各自使用自己的数据进行训练,最终通过协议汇总结果。而 TEE 提供安全性更高的执行空间,给可信软件执行,其安全性比操作系统(OS)更强,机能性比安全元件(secure element)更多。
08
是否应该寻求中心化世界的帮助?
白话区块链:在去中心化的环境下,您认为这样的安全事故发生后谁应该承担责任?是否应该寻求中心化世界的帮助?
慢雾安全团队:黑客作为造成 DeFi 安全事件的罪魁祸首,毫无疑问是造成用户资产受损的主体。
以 PolyNetwork 为例,事件发生第一时间,我们就开始研究分析,追踪被盗资产的流向,联合各方面的力量,目前黑客已经归还了 4.27 亿美元,剩下的相信也很快会全部归还,这是一个好的结局。
另外,可以看到中心化、去中心化平台都有非常惨重的被黑案例,都有很多被黑经历,无论是中心化还是去中心化,我们都希望区块链是往安全的方向去进化。
库神 Jessica:到目前为止黑客已经基本归还全部被盗资金,这也是多方努力的结果,随着 DeFi 规模不断发展,加密资产被盗和黑客攻击在所难免,事故发生后应该协同多方力量尽快寻找原因,尽快找到被盗资产去向并弥补损失,必要时寻求中心化平台帮助可是无可厚非的事情。
09
DeFi 未来的发展
白话区块链:随着类似事件越来越多,这不仅让已经参与进来的团队和投资者感到担忧,同时也使 DeFi 与传统金融的结合越来越难,很多人因为风险望而却步,您怎么看待 DeFi 在接下来的发展?
慢雾安全团队:DeFi 作为一个突然爆红的当红炸子鸡,肯定还是有很多风险和未知的事情。
在早期,一个新事物出现一定是会有风险的,但是我们也不能说是因为有攻击发生就去否定这样的方向,任何事都是有两面性,风险与机会是并存的,DeFi 也带来了很多便利性。
整个行业或者 DeFi 方向肯定是会越来越完善。
库神 Jessica:短期来看,DeFi 安全事件频发会对投资者产生一定的“劝退”作用,但长期来看,在 DeFi 高额收益的激励下,这类安全事件对 DeFi 赛道的用户参与率影响有限。
另外,去中心化领域的监管缺失在这次事件中暴露无遗,未来 DeFi 赛道引入第三方监管以及 DeFi 保险项目也是未来的必然趋势。
DeFi 很有可能成为金融系统的新基石,会有成长的阵痛,但我们有足够的理由相信去中心化金融的未来是光明和繁荣的。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場