Defi频遭攻击，去中心化真实可靠吗

然而，从一些攻击事件来看，DeFi似乎并不是完全去中心化的。

2021年7月14日，波卡数字收藏品市场平台BondlyFinance遭到攻击，导致373,088,023美元的BONDLY代币被盗。根据官方调查，攻击者通过获取Bondly首席执行官的密码账户的访问权限进行了攻击。这个密码账户包含了硬件钱包的助记词，攻击者获取后可以访问BONDLY智能合约和公司钱包。

有趣的是，攻击者在四个月后又以类似的方式攻击了另一个DeFi项目。

2021年11月5日，DeFi协议bZx发推称，控制Polygon和BSC的私钥已被泄露，导致资金损失。根据官方调查，其中一个使用的钱包参与了BondlyFinance的攻击。这次漏洞利用与BondlyFinance的攻击非常类似：黑客获取了开发人员的密码，然后操纵智能合约。不久之后，bZx更新的事故报告表示：“我们聘请了一家名叫Kaspersky的安全公司，该安全公司调查后认为这次攻击很可能是由朝鲜黑客组织Lazarus执行的。”攻击者将被盗资金分散到多个地址，并将多种代币换成ETH，最后通过Tornado.Cash转出10960ETH，完成以太坊部分的洗钱。

这两个例子与合约无关，而是因为开发人员遭到钓鱼攻击，导致私钥泄露，进而影响了用户资金。最近，私钥泄露成为热门话题：Levyathan损失150万美元、8ightFinance损失175万美元、VulcanForged损失1.4亿美元……这是否意味着实际掌握着控制权的是线下实体（即DeFi开发人员）呢？

除了钓鱼攻击，前端攻击也是DeFi安全问题的高风险点。

2021年12月2日，去中心化组织BadgerDAO遭遇黑客攻击，用户资产在未经授权的情况下被转移。根据官方报告，这是由于CloudflareWorkers上的恶意注入代码片段导致的。攻击者在未经授权的情况下获取了项目方在Cloudflare后台的APIKey，然后在网站的前端代码中注入恶意代码。当用户访问前端网站时，恶意代码触发，用户确认了恶意交易，代币被授权给攻击者，攻击者就可以转走代币。黑客将部分获利的加密货币换成renBTC，并通过renBTC将约2100BTC跨链转移至14个BTC地址。

尽管DeFi合约一旦部署就不可篡改，理论上不会受到人为干扰，确保了其去中心化特性，但目前大多数前端仍然采用传统架构，存在许多潜在威胁。前端的攻击往往容易被开发者忽视，这使得攻击者有机可乘。

2021年9月17日，Sushiswap IDO平台Miso的前端遭受攻击。承包商的一名匿名员工注入了恶意代码，将拍卖钱包地址替换为自己的钱包地址，导致864.8ETH（约307万美元）被盗。

前端问题开始影响资金安全，我们必须深思如何在DeFi项目中安全参与。

总的来说，“DeFi是否完全去中心化”这个问题可能会一直存在。不论是作为用户、审计机构还是作为项目方，经历了这么多的DeFi安全事件后，我们是否应该将注意力不仅仅聚焦在智能合约上？这个问题的答案不言而喻。

原文链接：https://www.8btc.com/media/6720820

转载请注明文章出处

来源：慢雾科技

热点：区块链 区块链技术 金融