DeFi 是 2020 年加密货币热潮的旗手,而且热度在 2021 年也没有消退。随着越来越多的人将资金投入流动性挖矿,从长远来看,DeFi 仍将继续存在。
您可能认识许多人通过 DeFi 使收入倍增。在加密货币圈子里,找到将资金投入大量资金的人并不罕见 7x or 10x 与流动性农业。闪电贷一直是他们手中的主要工具,使他们能够在规定的时间内在协议之间快速转移资金并铸造黄金。
智能合约在运行 DeFi 中的作用
然而,很少有人意识到智能合约在以自动化方式运行这些强大的应用程序中的作用。智能合约是存储在区块链上的不可变的计算机程序。当满足预定条件时,这些程序将采取行动。借助智能合约,所有利益相关者都可以确定结果,而无需实际参与。
是什么让智能合约成为薄弱环节
智能合约已经成为一项突破性的发现。然而,事情还有另一面。事实证明,智能合约是 DeFi 生态系统中的薄弱环节。开发人员最终可能会编写出糟糕的代码,从而给不法分子提供漏洞来偷窃资金并藏匿协议中锁定的资金。许多 DeFi 项目都是从现有协议中分叉出来的。在这种情况下,现有协议中的错误也会传递给分叉协议。
通常,开发人员的经验和知识不足以编写安全代码。项目往往会雇佣缺乏经验的开发人员来节省成本,却没有意识到这些人制造的一堆错误可能会让他们付出高昂的代价。有时,开发人员可能会故意留下错误,以将资金从协议转移到自己的钱包中。然后,在许多情况下,黑客可能足够聪明,能够发现看似健康的代码中的错误和漏洞,并出其不意地发起攻击。无论错误如何进入代码,它们都可能对项目构成生存威胁。
2021 年 DeFi 泄露概述
纵观 2021 年发生的 DeFi 漏洞,你会惊讶地发现通过智能合约泄露资金的协议数量之多。
向往财务 – 犯罪者利用该协议的闪贷功能进行诈骗 $11 通过智能合约利用价值数百万美元的用户资金。
阿尔法·霍莫拉(Alpha Homora) – 这种杠杆流动性协议成为了 $37.5 百万的剥削。该漏洞涉及使用为可信智能合约释放无抵押贷款的功能。
猫鼬金融 – 币安智能链上该流动挖矿协议的智能合约金库遭到攻击,导致约 13 百万 BUSD 和 73,000 BNB。
付费网络 – 对 PAID 的无限铸币攻击最终导致约 180 亿美元的损失。
易飞 – 对建立在 Polygon 网络之上的 EasyFi 的攻击最终导致攻击者拿走了价值不菲的资产 $75 收据。
力道 – 黑客瞄准 ForceDAO 进行排空 183 来自协议的 ETH。
铀金融 – 当协议进行代币迁移时,它遭受了攻击,导致丢失了 $50 收据。
斯巴达 – 针对这个基于 BSC 的 DeFi 协议的多次闪贷攻击导致了约 $30 收据。
瑞瑞资本 – 黑客耗尽了 Rari Capital 的收益金库和贷款池,造成了损失 $11 收据。
资金如何从 DeFi 协议中被盗
从 DeFi 协议中吸走资金的方式有以下三种:
智能合约漏洞 – 执行流动性和质押等关键功能的智能合约,使其成为黑客的长期目标。智能合约中的错误是造成这些漏洞的主要原因。
短期贷款 – 攻击者使用大量闪电贷来抬高特定稳定币的价格,并在此过程中增加其持有量。但我们不能取消闪电贷,因为它们促进了一些非常有用的 DeFi 功能,如套利、抵押品交换、自我清算等等。
甲骨文操纵 – 去中心化网络只能通过预言机访问外部数据。预言机的作用对于获取安全可靠的数据至关重要。黑客会试图操纵预言机来影响事物,使其对自己有利。就像闪贷一样,你无法摆脱预言机,但你可以做的是将你的协议与去中心化的预言机集成,这通常更值得信赖。
智能合约可能的攻击方式
可能有 几个原因 针对智能合约中的错误和漏洞。这些包括重入、抢先运行、未加密的链上私有数据、不相关的代码、带有硬编码气体量的消息调用、与多个可变长度参数的哈希冲突、意外的以太币余额、存在未使用的变量、印刷错误、带有块的 DoS气体限制、函数类型变量任意跳转、气体破坏不足、继承顺序不正确、违反要求、缺乏适当的签名验证、链属性随机性较弱、签名延展性、调用失败的 DoS、使用已弃用的函数、未受保护的以太坊撤回,等等。开发人员应该了解所有这些实例及其代码描述。
智能合约审核
智能合约在部署之前需要进行彻底的审核。最终报告中解释了所有发现以及建议。智能合约安全级别是根据一组规范(如关键、高、中、低和最低)来衡量的。
正确的审核涉及自动检查和手动检查。自动审核部署的软件可以确定负责每次执行的部分,并探索可能出现错误的位置。手动分析涉及经验丰富的开发人员团队检查每个代码行。他们可能会根据标准漏洞列表进行检查,或根据他们的经验进行探索性检查。
结束了
智能合约是 DeFi 背后的引擎。为了保护 DeFi 项目免受漏洞影响,对合约进行彻底检查势在必行。自动审核和手动审核需要同时进行,以使审核尽可能彻底和准确。
联系 QuillAudits
羽毛笔审计 是一个安全的智能合约审计平台,由 羽毛笔散列
技术。
它是一个审计平台,严格分析和验证智能合约,通过有效的方式检查安全漏洞。 手册 审查 静止 和 动态 分析工具, 气体分析仪 以及 模拟器。 此外,审计过程还包括广泛的 单元测试 以及 结构分析。
我们同时进行智能合约 审计 和 渗透 测试以发现潜力
可能损害平台的安全漏洞 诚信.
如果您需要 援助 在智能合约中 审计, 随意地 伸手 给我们的专家 在这里!
要 的最新 用我们的工作,加入我们 用户社区:-
Twitter | LinkedIn | Facebook | Telegram
来源:https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/
- 2020
- 7
- ACCESS
- 操作
- 优点
- 所有类型
- 分析
- 应用领域
- 套利
- 参数
- 围绕
- 办公室文员:
- 审计
- 自动化
- binance
- 黑色
- blockchain
- BNB
- 繁荣
- 问题
- 虫子
- 种子套餐
- BUSD
- 呼叫
- 资本
- 例
- 原因
- 支票
- 码
- 继续
- 合同
- 合同的
- 成本
- 加密
- data
- 分散
- DEFI
- 开发
- 佣金
- 生态系统
- ETH
- 以太币
- 体验
- 利用
- 农业
- 专栏
- 特征
- Flash
- 自由的
- 功能
- 资金
- 天然气
- 给予
- 黄金
- 黑客
- 哈希
- 高
- 聘请
- 创新中心
- HTTPS
- 影响
- 参与
- IT
- 加入
- 跳
- 键
- 泄漏
- 导致
- 贷款
- 杠杆作用
- Line
- 友情链接
- 流动性
- 清单
- 贷款
- 长
- 主要
- 制作
- 中等
- 百万
- 钱
- 移动
- 网络
- 网络
- 神谕
- 秩序
- 员工
- 关键的
- 平台
- 平台
- 矿池
- 车资
- 私立
- 训练课程
- 项目
- 项目
- 保护
- 协议
- 报告
- 检讨
- 运行
- 运行
- 保安
- 集
- 智能
- 聪明的合同
- 智能合同
- 潜行
- So
- 软件
- 太空
- Spot
- stablecoin
- 质押
- 藏
- 被盗
- 目标
- 测试
- 次
- 象征
- 最佳
- 拱顶
- 企业验证
- 漏洞
- 钱包
- WHO
- 中
- 工作
- 价值
- 写作
- 产量