當前位置：主頁 > 區(qū)塊鏈 > 區(qū)塊鏈技術(shù) > DeFi生態(tài)安全介紹

一文全面解讀DeFi生態(tài)安全全景

2024-09-01 14:34:02 | 來源： | 作者：佚名

安全問題每年造成數(shù)十億美元的損失，是 DeFi 生態(tài)長期面臨的嚴重威脅,目前，大多數(shù)安全措施針對的是項目上線前的安全問題,然而，安全領域沒有“銀彈”,在協(xié)議發(fā)展的不同階段，都應該有相應的措施來保障其安全，并且貫穿協(xié)議的全生命周期

一文全面解讀DeFi生態(tài)安全全景！隨著 DeFi 發(fā)展不斷重塑金融格局，安全始終是 DeFi 生態(tài)面臨的重大挑戰(zhàn)，安全問題每年都造成數(shù)十億美元的資產(chǎn)損失。

一文概覽DeFi生態(tài)安全全景

根據(jù) Chainalysis 的數(shù)據(jù)， 2023 年 DeFi 黑客攻擊導致超過 11 億美元的資產(chǎn)損失。盡管這一數(shù)字較 2022 年有所下降，但 2023 年出現(xiàn)了新的 DeFi 攻擊趨勢。例如，一些長期安全運行的知名協(xié)議，如 Curve 和 KyberSwap，也遭到攻擊。此外，還出現(xiàn)了針對基礎設施漏洞（如 Flashbots Relay）的復雜攻擊。

Security Incident Dashboard 數(shù)據(jù)顯示， 2024 年上半年共發(fā)生超過 50 起造成 10 萬美元以上損失的黑客攻擊事件。

一文概覽DeFi生態(tài)安全全景

近期黑客攻擊事件（來源: Security Incident Dashboard）?? https://app.blocksec.com/explorer/security-incidents

安全對于 DeFi 協(xié)議發(fā)展至關重要。部分協(xié)議管理著數(shù)十億美元的用戶資產(chǎn)，安全事件會給用戶帶來重大損失。雖然在某些情況下，被盜資金可以（部分）追回（例如 Euler 攻擊事件），但我們不能將希望完全寄托于此。每一次的攻擊事件，都在削弱用戶對 DeFi 的信心。

盡管業(yè)界已提出許多增強安全性的措施，但 DeFi 安全仍有很大的提升空間。從積極的一面來看，代碼審計已成為社區(qū)共識，大多數(shù)協(xié)議在上線前都會進行審計，這有助于降低由智能合約漏洞導致的攻擊風險。然而，單靠代碼審計遠遠不足以解決所有安全問題。代碼審計無法防止由合約升級、配置更改和外部依賴引入漏洞所導致的攻擊。鑒于這些局限性，一些協(xié)議開始采用更加主動的解決方案，如運營監(jiān)控和攻擊檢測系統(tǒng)。

在本文中，我們將縱覽協(xié)議從上線前（Pre-Launch）、上線運營（Post-Launch）、到攻擊響應（Attack Response）階段可采取的安全舉措，來了解 DeFi 安全全景。我們將詳細介紹每類安全舉措及其主要的供應商/產(chǎn)品，以及它們的優(yōu)缺點。希望本文能幫助社區(qū)更好地了解 DeFi 安全現(xiàn)狀，為創(chuàng)新的安全解決方案帶來啟發(fā)。

DeFi 安全全景

DeFi 協(xié)議的安全舉措應當貫穿協(xié)議上線前到上線后的全生命周期，確保協(xié)議本身以及運營期間的安全性。此外，針對潛在攻擊提前部署預防措施和響應計劃同樣至關重要。為幫助讀者清楚地了解目前有哪些 DeFi 安全解決方案，我們將相關供應商（產(chǎn)品）分為以下幾類。

Pre-Launch Security

一文概覽DeFi生態(tài)安全全景

協(xié)議上線前可采取的安全措施，包括代碼審計、形式化驗證和安全測試。

代碼審計服務&競賽

代碼審計是社區(qū)公認的保障協(xié)議安全的做法。在此過程中，安全公司會對已凍結(jié)的代碼進行半自動化審查，即自動化掃描代碼中的常見漏洞，再通過人工審查復雜漏洞，代表性的審計公司有 OpenZeppelin、ChainSecurity、BlockSec 等。

此外，還有審計競賽平臺。與直接提供審計服務的審計公司不同，這些平臺公開發(fā)布審計需求，吸引社區(qū)中的安全研究人員參與審計競賽，并將獎勵分配給發(fā)現(xiàn)協(xié)議漏洞的參賽者。審計競賽平臺包括 Code 4 rena、SHERLOCK、Cantina、Secure 3 等，各個平臺在漏洞嚴重級別、分配獎勵和參與標準上都存在一些差異。

代碼審計是協(xié)議安全的第一道防線。然而，它也存在一些局限性，這也是為什么許多由知名公司審計的協(xié)議仍舊未能避免黑客攻擊。

首先，靜態(tài)代碼審計無法解決由協(xié)議依賴引起的安全問題，DeFi 協(xié)議的可組合性更加劇了這一點。
其次，在代碼審計過程中，一些問題沒有受到足夠的重視。例如，精度損失是一個常見問題，可能會被審計員和協(xié)議方忽視。直到 Hundred Finance 和 Channels Finance 事件發(fā)生后，社區(qū)才充分認識到精度損失的安全影響。
最后，高質(zhì)量的代碼審計仍然是稀缺資源，需要具有安全、金融和計算機科學知識的跨學科人才，而目前很少有大學能夠持續(xù)且大規(guī)模地提供此類人才。因此，一些協(xié)議盡管進行了審計，但提供審計服務的審計人員專業(yè)性上是不足的。

形式化驗證

“形式化驗證根據(jù)某種形式規(guī)范或?qū)傩?，使用?shù)學方法證明系統(tǒng)的正確性或不正確性。” 形式化驗證可以確保 DeFi 協(xié)議的行為符合形式規(guī)范。例如由 Certora 開發(fā)的 Prover 可以對 DeFi 協(xié)議進行形式化驗證。開發(fā)者提供規(guī)則（規(guī)范），Prover 將探索每一種可能的程序狀態(tài)，將結(jié)果與規(guī)則進行比較，從而識別漏洞。

形式化驗證的最大優(yōu)勢在于它能夠通過數(shù)學證明管理數(shù)十億資產(chǎn)的 DeFi 協(xié)議的正確性。然而，實際應用中的一些限制阻礙了其廣泛采用。

首先，規(guī)范需要由開發(fā)者提供，這要求開發(fā)者對協(xié)議的預期行為有詳細的文檔說明，而大多數(shù)開發(fā)并非這一領域的專家。
其次，協(xié)議的頻繁升級可能需要更新規(guī)范并重新評估協(xié)議，一些協(xié)議可能無法付出這么多的時間和精力。

盡管存在這些限制，我們?nèi)匀徽J為協(xié)議應該進行形式化驗證，特別是那些尚未經(jīng)過時間檢驗且管理大量用戶資產(chǎn)的新協(xié)議。但是，如何增強形式化驗證的可操作性并提高其采用率，仍然是當下面臨的一個巨大挑戰(zhàn)。

安全測試

安全測試通過測試用例來發(fā)現(xiàn)協(xié)議中存在的潛在問題。相較于通過數(shù)學方法證明協(xié)議正確性的形式化驗證，安全測試一般使用具體的輸入數(shù)據(jù)（而非形式化驗證中的符號輸入），因此效率更高，但全面性略低。

Foundry 是一個頗受歡迎的智能合約開發(fā)測試框架。開發(fā)者可以在 Foundry 中執(zhí)行測試，還能夠?qū)?DeFi 協(xié)議進行差分測試、不變性測試及差異測試。其他安全測試工具還包括 Tenderly 和 Hardhat。

Post-Launch Security

一文概覽DeFi生態(tài)安全全景

協(xié)議上線后可采取的安全措施，包括 Bug Bounty、攻擊檢測和運營監(jiān)控。

Bug Bounty

Bug Bounty 搭建起了協(xié)議和安全研究人員之間的橋梁。協(xié)議在 Bug Bounty 平臺發(fā)布賞金計劃，詳細說明賞金范圍和獎勵金額，安全研究人員通過報告協(xié)議的零日漏洞來獲取獎勵。Immunefi 是一個具有代表性的 Web3 Bug Bounty 平臺。

攻擊檢測

攻擊檢測平臺通過掃描交易識別惡意交易。具體來說，這些平臺會掃描與協(xié)議交互的每筆交易來尋找惡意行為，在識別惡意交易后系統(tǒng)觸發(fā)警報。

例如，BlockSec Phalcon 掃描每一筆內(nèi)存池和鏈上交易，通過分析交易的行為特征來識別惡意行為（如惡意合約、惡意提案）。它就像一位安全衛(wèi)士，不眠不休地監(jiān)控每一筆交易的每一個細節(jié)尋找不尋常的動向。它從這些交易中提取行為模式，并使用金融模型（類似銀行用于檢測欺詐的模型）來識別潛在攻擊。類似的系統(tǒng)還包括 Hypernative 和 Hexagate 提供的產(chǎn)品。此外，Ironblocks 的 Venn Security Network 提供了一個去中心化基礎設施，能夠聚合多個來源的檢測結(jié)果。

運營監(jiān)控

顧名思義，運營監(jiān)控框架監(jiān)控協(xié)議上線后的運營安全。比如，實時掌握管理員密鑰變更情況、智能合約的部署與更新，并自動檢測拉取請求中的安全漏洞。OpenZeppelin Defender 平臺能夠幫助開發(fā)者安全地編寫、部署、運行智能合約。BlockSec Phalcon 能夠監(jiān)控合約升級、Safe 錢包交易（如被發(fā)起、新簽署、執(zhí)行）、訪問控制及治理相關風險。另外，通過實時監(jiān)控系統(tǒng) Forta Network，用戶能夠創(chuàng)建機器人監(jiān)控協(xié)議，或者訂閱現(xiàn)有機器人來接收釣魚等安全威脅警報。

Attack Response

一文概覽DeFi生態(tài)安全全景

攻擊發(fā)生后自動觸發(fā)或緊急采取的安全措施，包括攻擊阻斷、自動響應、War Room、攻擊成因分析以及攻擊者資金流追蹤。

在這五項響應措施中，尤其值得注意的是攻擊阻斷，因為項目方能夠提前部署，在攻擊發(fā)生前阻斷攻擊，將損失降至零，自動響應平臺也有助于減少攻擊造成的損失。

建立 War Room、進行攻擊成因分析和資金流追蹤是攻擊發(fā)生后采取的應對措施，雖然有助于減少損失、防范未來的類似攻擊，但很可能已經(jīng)造成重大損失且難以追回。此外，項目聲譽受損及用戶信任流失可能帶來深遠的負面影響。風險似乎無處不在、防不勝防，但項目方并非只能被動應對，可以提前部署防范措施，這也是更為推薦的做法。

攻擊阻斷

攻擊檢測是獲知黑客攻擊的重要渠道，但如果要對抗黑客攻擊，只有檢測遠遠不夠。因為如果沒有自動化的攻擊阻斷能力，手動采取響應措施往往來不及。以 KyberSwap、Gamma Strategies 和 Telcoin 攻擊事件為例，這些協(xié)議在攻擊的數(shù)分鐘甚至幾小時后才采取了響應措施，黑客在這段時間內(nèi)發(fā)起多筆攻擊交易，盜走巨額資產(chǎn)。七月的 Velocore 和 Rho 攻擊事件則導致 Linea 和 Scroll 全鏈暫停運行，引發(fā)了用戶對 L2 鏈中心化問題的關注。

一文概覽DeFi生態(tài)安全全景

攻擊阻斷能夠自動防范黑客攻擊，這依賴于兩項核心技術(shù)：提前檢測和自動搶跑。提前檢測指的是在交易上鏈之前，還在內(nèi)存池階段時，就能識別出哪些是攻擊交易。自動搶跑則是在攻擊交易上鏈之前，優(yōu)先提交一筆搶跑交易暫停協(xié)議，從而阻止攻擊交易的執(zhí)行。這種方法在攻擊實質(zhì)發(fā)生之前就進行阻斷，從而避免了損失。

在這一類別中，BlockSec Phalcon 是唯一擁有這些核心技術(shù)的產(chǎn)品。黑客發(fā)起攻擊交易后，Phalcon 的攻擊監(jiān)測引擎可以提前檢測到這筆交易，向用戶推送攻擊告警，同時自動搶跑暫停協(xié)議，將損失降低至 0 。該產(chǎn)品的攻擊阻斷能力已在過往的二十多次白帽救援中得到驗證，共挽救了超過 2000 萬美元資產(chǎn)。

自動響應

除了攻擊阻斷平臺外，Phalcon、Hexagate、Hypernative 等平臺也可以在發(fā)生攻擊時自動響應。

訂閱此類平臺后，用戶可以針對各類協(xié)議風險設置監(jiān)控以及響應措施。如果一筆交易命中了監(jiān)控規(guī)則，系統(tǒng)就會自動發(fā)起用戶提前設置的響應措施（如暫停協(xié)議），從而降低損失。不過，部分平臺不具備攻擊檢測引擎，系統(tǒng)無法直接識別攻擊交易并告知用戶，而是需要用戶自定義一筆交易滿足哪些條件下可以判定為攻擊。由于攻擊交易的特征非常復雜，而用戶（往往是合約開發(fā)者）不一定具備足夠的安全知識，這對用戶來說是很有挑戰(zhàn)性的。

War Room

當協(xié)議面臨攻擊時，建立 War Room 顯得尤為關鍵。這有助于協(xié)議掌握情況、與社區(qū)及時同步信息，并有效整合資源以采取應對措施，這需要多領域?qū)＜业拿芮泻献鳌?/p>

SEAL 911 旨在“在緊急情況下，幫助用戶、開發(fā)者和安全研究人員直接聯(lián)系到值得信賴的安全專家”。用戶可以通過 SEAL 911 Telegram Bot（https://t.me/seal_911_bot）獲取這個服務，在項目遭到攻擊時，迅速組建 War Room 應對安全挑戰(zhàn)。

攻擊成因分析

當協(xié)議遭受攻擊時，關鍵是要識別出問題的根源，例如智能合約內(nèi)部的漏洞以及漏洞是如何被利用的。分析攻擊交易需要借助一些工具，Phalcon Explorer、OpenChain 和 Tenderly 都是不錯的選擇。

資金流追蹤

資金流追蹤是指鏈上追蹤攻擊者的初始資金和攻擊獲利，來定位相關的地址和實體。如果這些資產(chǎn)流向了中心化實體（例如，中心化交易所和其他機構(gòu)級實體），可以聯(lián)系執(zhí)法機關幫助凍結(jié)資金。

Chainalysis、TRM Labs、ARKHAM、ELLIPTIC 和 MetaSleuth 是該領域的代表性公司/產(chǎn)品。例如，MetaSleuth 可以自動追蹤跨鏈資金流，并提供豐富的地址標簽。ARKHAM 建立了一個社區(qū)，協(xié)議方可以在此發(fā)布調(diào)查 Bounty 激勵社區(qū)成員協(xié)助追蹤攻擊者的資金流向。

安全教育資源

一文概覽DeFi生態(tài)安全全景

知識是最好的防線。除了前面提到的安全供應商和產(chǎn)品外，還有一類角色對于 DeFi 安全至關重要：教育平臺。這些平臺提供的資源或資訊能夠幫助 DeFi 從業(yè)者和用戶深入理解安全知識、提高安全意識、培養(yǎng)安全技能，為推動 DeFi 安全發(fā)展提供了重要作用。我們對這些平臺致以敬意，并分享以下幾個值得關注的平臺。

SΞCURΞUM：一個專注于以太坊安全的 Discord 社區(qū)，并且定期舉辦智能合約安全競賽 “Secureum RACE”

?? https://x.com/TheSecureum
Security Incidents Dashboard：該平臺匯總并實時更新?lián)p失超過十萬美元的攻擊事件，并提供損失金額、受影響的鏈、漏洞類型、攻擊成因分析和 PoC 等詳細信息

?? https://app.blocksec.com/explorer/security-incidents
Rekt：被稱為 DeFi 新聞的暗網(wǎng)，提供對 DeFi 漏洞利用、黑客攻擊和詐騙行為的深入分析。

?? https://rekt.news/
RugDoc：DeFi 安全和教育社區(qū)。該平臺提供項目風險評估信息，還有一個介紹 DeFi 生態(tài)和技術(shù)的平臺 RugDocWiKi。

?? https://rugdoc.io/
DeFiHackLabs：Web3 安全社區(qū)，致力于幫助 Web2 安全人才進入 Web3 領域，在全球擁有兩千多成員和近兩百位白帽黑客，DeFiHackLabs 的倉庫提供了豐富的學習資源。

?? https://x.com/DeFiHackLabs
Solodit：該平臺收錄了 Web3 審計公司過往的審計報告。

?? https://solodit.xyz/
Ethernaut：一款基于 Web3/Solidity 的游戲，玩家需要識別以太坊合約的漏洞，形式類似于 CTF。

?? https://ethernaut.openzeppelin.com/

結(jié)語

安全問題每年造成數(shù)十億美元的損失，是 DeFi 生態(tài)長期面臨的嚴重威脅。目前，大多數(shù)安全措施針對的是項目上線前的安全問題。然而，安全領域沒有“銀彈”。在協(xié)議發(fā)展的不同階段，都應該有相應的措施來保障其安全，并且貫穿協(xié)議的全生命周期。

我們期待行業(yè)能夠認識到項目上線后安全的重要性，采取措施監(jiān)控協(xié)議風險并自動阻斷攻擊。

我們也希望 DeFi 生態(tài)能夠形成安全第一的共識，從而更好地保護用戶的資產(chǎn)安全。

以上就是腳本之家小編給大家分享的一文全面解讀DeFi生態(tài)安全全景的介紹了，希望大家喜歡！

聲明：文章內(nèi)容不代表本站觀點及立場，不構(gòu)成本平臺任何投資建議。本文內(nèi)容僅供參考，風險自擔！

Tag：DeFi生態(tài)安全

你可能感興趣的文章

幣名
最新價格
24H漲幅
BTC
比特幣

$ 113886.13￥ 819182.93

+0.35%
ETH
以太坊

$ 3483.93￥ 25059.9

+0.05%
XRP
瑞波幣

$ 2.8741￥ 20.6734

-2.06%
USDT
泰達幣

$ 1.0001￥ 7.1937

+0.01%
BNB
幣安幣

$ 750.59￥ 5398.99

-0.29%
SOL
Solana

$ 161.77￥ 1163.61

-0.39%
USDC
USD Coin

$ 1￥ 7.1929

-0.02%
TRX
波場

$ 0.3265￥ 2.3485

+0.09%
DOGE
狗狗幣

$ 0.1979￥ 1.4234

+0.1%
ADA
艾達幣

$ 0.7259￥ 5.2213

+2.43%

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

一文全面解讀DeFi生態(tài)安全全景