原文作者:BlockSec
介绍
随着DeFi的发展不断重塑金融格局,安全始终是DeFi生态面临的一大挑战,安全问题每年造成数十亿美元的资产损失。
根据 Chainalysis 的数据,2023 年 DeFi 黑客攻击导致超过 $11 亿美元的资产损失。尽管这一数字低于 2022 年,但 2023 年出现了新的 DeFi 攻击趋势。例如,一些长期安全运行的知名协议(如 Curve 和 KyberSwap)也受到了攻击。此外,还出现了针对 Flashbots Relay 等基础设施漏洞的复杂攻击。
安全事件仪表板数据显示,2024年上半年,共发生50多起黑客攻击事件,造成$100,000以上的损失。
近期黑客攻击事件(来源:安全事件仪表板)
? https://app.blocksec.com/explorer/security-incidents
安全性对于 DeFi 协议的发展至关重要。一些协议管理着数十亿美元的用户资产,安全事件可能给用户造成重大损失。虽然在某些情况下,被盗资金可以(部分)恢复(例如欧拉攻击),但我们不能完全寄希望于此。每一次攻击事件都在削弱用户对 DeFi 的信心。
尽管业界已经提出了许多增强安全性的措施,但 DeFi 安全性仍有很大的改进空间。从积极的一面来看,代码审计已经成为社区共识,大多数协议在上线前都会进行审计,这有助于降低智能合约漏洞导致的攻击风险。然而,仅靠代码审计还远远不足以解决所有安全问题。代码审计无法防止合约升级、配置更改和外部依赖引入的漏洞导致的攻击。鉴于这些限制,一些协议已经开始采用更主动的解决方案,比如运行监控和攻击检测系统。
在本文中,我们将回顾协议从发布前、发布后到攻击响应可以采取的安全措施,以了解 DeFi 安全的全貌。我们将详细介绍每种安全措施及其主要供应商/产品,以及它们的优缺点。我希望本文可以帮助社区更好地了解 DeFi 安全的现状,并为创新的安全解决方案带来灵感。
DeFi 安全全景
DeFi 协议的安全措施应贯穿协议从上线前到上线后的整个生命周期,确保协议本身和运行过程中的安全。此外,提前部署针对潜在攻击的预防措施和应对方案也至关重要。为了帮助读者清晰地了解目前有哪些 DeFi 安全解决方案,我们将相关厂商(产品)分为以下几类。
发布前的安全
协议上线前可以采取的安全措施包括代码审计、形式化验证、安全测试等。
代码审计服务竞赛
代码审计是社区公认的保障协议安全的做法,在这个过程中,安全公司会对冻结代码进行半自动化审核,即自动扫描代码中常见的漏洞,再对复杂的漏洞进行人工审核,代表性的审计公司有OpenZeppelin、ChainSecurity、BlockSec等。
此外,还有审计竞赛平台。与直接提供审计服务的审计公司不同,这些平台公开发布审计需求,吸引社区中的安全研究人员参与审计竞赛,并向发现协议漏洞的参赛者发放奖励。审计竞赛平台包括Code 4 rena、SHERLOCK、Cantina、Secure 3等。各个平台在漏洞严重程度、发放奖励和参与标准等方面存在一些差异。
代码审计是协议安全的第一道防线,但它也存在一定的局限性,这也是为什么很多经过知名公司审计的协议依然没能避免黑客攻击的原因。
-
首先,静态代码审计无法解决协议依赖性导致的安全问题,而DeFi 协议的可组合性加剧了这一问题。
-
第二,在代码审计过程中,有些问题没有得到足够的重视。例如精度丢失是一个普遍存在的问题,可能被审计人员和协议方忽视。直到百财和渠道金融事件发生后,社区才充分认识到精度丢失的安全影响。
-
最后,高质量的代码审计仍是一种稀缺资源,需要具备安全、金融、计算机等多学科知识的复合型人才,目前很少有大学能够持续、大规模地提供这样的人才。因此,虽然一些协议已经经过审计,但提供审计服务的审计人员在专业性方面还存在不足。
形式化验证
形式化验证使用数学方法根据某些形式化规范或属性来证明系统的正确性或不正确性。形式化验证可以确保 DeFi 协议的行为符合形式化规范。例如,Certora 开发的 Prover 可以对 DeFi 协议进行形式化验证。开发人员提供规则(规范),Prover 会探索每一种可能的程序状态,将结果与规则进行比较,并识别出漏洞。
形式化验证最大的优势在于能够从数学上证明管理数十亿资产的DeFi协议的正确性,然而实际应用中的一些限制阻碍了其广泛应用。
-
首先,开发人员需要提供规范,这要求他们有协议预期行为的详细文档,而大多数开发人员并不是该领域的专家。
-
其次,协议的频繁升级可能需要更新规范并重新评估协议,有些协议可能无法投入那么多的时间和精力。
尽管存在这些限制,我们仍然认为协议应该进行形式化验证,尤其是那些新协议、没有经过时间考验、管理着大量用户资产的协议。但如何增强形式化验证的可操作性,提高其采用率仍然是一个巨大的挑战。
安全测试
安全测试通过测试用例来发现协议中的潜在问题,与通过数学方法证明协议正确性的形式化验证相比,安全测试一般使用具体的输入数据(而非形式化验证中的符号输入),因此效率更高但全面性稍差。
Foundry 是一个流行的智能合约开发和测试框架。开发人员可以在 Foundry 中进行测试,还可以对 DeFi 协议进行差异测试、不变性测试和差异测试。其他安全测试工具包括 Tenderly 和 Hardhat。
发布后安全
协议上线后可以采取的安全措施,包括漏洞赏金、攻击检测和运行监控等。
漏洞赏金
Bug Bounty 在协议和安全研究人员之间搭建了一座桥梁。协议在 Bug Bounty 平台上公布了赏金计划,详细说明了赏金范围和奖励金额。安全研究人员通过报告协议的零日漏洞获得奖励。Immunefi 是一个具有代表性的 Web3 Bug Bounty 平台。
攻击检测
攻击检测平台通过扫描交易来识别恶意交易。具体来说,这些平台会扫描与协议交互的每一笔交易以查找恶意行为,并在识别出恶意交易后触发警报。
例如,BlockSec Phalcon 会扫描每一个内存池和链上交易,通过分析交易的行为特征来识别恶意行为(如恶意合约、恶意提案)。它就像一个保安,不眠不休地监控每一笔交易的每一个细节,以防出现异常动静。它从这些交易中提取行为模式,并使用金融模型(类似于银行用来检测欺诈的模型)来识别潜在的攻击。类似的系统还包括 Hypernative 和 Hexagate 提供的产品。此外,Ironblocks Venn 安全网络提供了一个去中心化的基础设施,可以聚合来自多个来源的检测结果。
运行监控
顾名思义,运行监控框架监控协议上线后的运行安全。例如,实时跟踪管理员密钥变更、智能合约的部署和更新,自动检测拉取请求中的安全漏洞。OpenZeppelin Defender 平台帮助开发者安全地编写、部署和运行智能合约。BlockSec Phalcon 可以监控合约升级、安全钱包交易(如发起、新签署和执行)、访问控制和治理相关风险。此外,通过实时监控系统 Forta Network,用户可以创建机器人监控协议或订阅现有机器人以接收网络钓鱼等安全威胁警报。
攻击响应
攻击发生后自动触发或紧急采取的安全措施,包括攻击阻断、自动响应、作战室、攻击原因分析、攻击者资金流向追踪等。
在这五项应对措施中,攻击阻断尤为值得关注,因为项目方可以提前部署,在攻击发生前进行阻断,将损失降为零。自动化响应平台也有助于减少攻击造成的损失。
建立作战室、分析攻击原因、追踪资金流向等都是攻击发生后的应对措施,虽然有助于减少损失,防止未来再次发生类似攻击,但很可能已经造成难以挽回的重大损失,此外项目声誉受损、用户信任丧失等负面影响可能更为深远。风险看似无处不在,防不胜防,但项目方不必被动应对,可以提前部署预防措施,这也是比较值得推荐的做法。
攻击阻断
攻击检测是了解黑客攻击的重要渠道,但要想对抗黑客攻击,光靠检测是远远不够的。因为如果没有自动化的攻击阻断能力,往往来不及采取人工应对措施。以 KyberSwap、Gamma Strategies 和 Telcoin 攻击为例,这些协议在攻击发生几分钟甚至几小时后才采取应对措施。在此期间,黑客发起了多笔攻击交易,窃取了巨额资产。7 月份的 Velocore 和 Rho 攻击导致 Linea 和 Scroll 链暂停运营,引发了用户对 L2 链中心化问题的关注。
攻击阻断可以自动阻止黑客攻击,它依赖于两个核心技术: 早期检测和自动抢占。 早期检测是指在交易上链前,在交易还在内存池阶段时,就能识别出哪些交易是攻击交易。自动抢占是指在攻击交易上链前,提交抢占交易,中止协议,从而阻止攻击交易的执行。这种方式将攻击阻断在真正发生之前,从而避免损失。
在这个类别中,BlockSec Phalcon是唯一一款具备这些核心技术的产品。当黑客发起攻击交易后,Phalcon的攻击监测引擎可以提前检测到该交易,向用户推送攻击警报,并自动暂停协议,将损失降至0。该产品的攻击阻断能力在过去20多次白帽救援中得到验证,挽救了超过$2000万的资产。
自动响应
除了攻击拦截平台之外,Phalcon、Hexagate、Hypernative等平台也可以在攻击发生时自动做出响应。
用户订阅此类平台后,可以针对各类协议风险设置监控和应对措施,若某笔交易触及监控规则,系统会自动启动用户事先设置的应对措施(如暂停协议),以减少损失。但部分平台并没有攻击检测引擎,系统无法直接识别攻击交易并告知用户,而是需要用户自定义哪些条件才能将交易判定为攻击。由于攻击交易的特征非常复杂,用户(往往是合约开发者)可能没有足够的安全知识,这对用户来说非常具有挑战性。
作战室
当一个协议面临攻击时,建立War Room尤为重要,这有助于协议了解情况,及时与社区同步信息,并有效整合资源采取应对措施,这需要多个领域专家的密切合作。
SEAL 911 旨在帮助用户、开发者和安全研究人员在紧急情况下直接联系值得信赖的安全专家。用户可以通过 SEAL 911 Telegram Bot(https://t.me/seal_911_bot)访问该服务,并在项目受到攻击时快速设置作战室以应对安全挑战。
攻击原因分析
当协议受到攻击时,确定问题的根本原因至关重要,例如智能合约内部的漏洞及其利用方式。分析攻击交易需要借助一些工具, Phalcon 浏览器 、OpenChain和Tenderly都是不错的选择。
资金流向追踪
资金流向追踪是指在链上追踪攻击者的初始资金和攻击收益,找到相关地址和实体,如果这些资产流向中心化实体(例如中心化交易所等机构实体),可以联系执法机构协助冻结资金。
Chainalysis、TRM Labs、ARKHAM、ELLIPTIC 和 MetaSleuth 是该领域的代表性公司 / 产品。例如,MetaSleuth 可以自动跟踪跨链资金流向并提供丰富的地址标签。ARKHAM 建立了一个社区,协议方可以发布调查赏金,以激励社区成员协助追踪攻击者资金的流向。
安全教育资源
知识是最好的防线。除了上述提到的安全厂商和产品,还有一个对 DeFi 安全至关重要的角色:教育平台。这些平台提供的资源或信息可以帮助 DeFi 从业者和用户深入了解安全知识、提高安全意识、培养安全技能,对 DeFi 安全的发展起到了重要的推动作用。我们向这些平台致敬,并分享以下值得关注的平台。
-
课程: 专注于以太坊安全的 Discord 社区,并定期举办智能合约安全竞赛 Secureum RACE
? https://x.com/TheSecureum
-
安全事件仪表板: 该平台实时汇总和更新损失金额超过$10万的攻击事件,并提供损失金额、受影响链、漏洞类型、攻击原因分析、PoC等详细信息
? https://app.blocksec.com/explorer/security-incidents
-
责令: 它被称为 DeFi 新闻的暗网,提供对 DeFi 漏洞、黑客和骗局的深入分析。
? https://rekt.news/
-
RugDoc: DeFi 安全和教育社区。平台提供项目风险评估信息,还有介绍 DeFi 生态系统和技术的平台 RugDocWiKi。
? https://rugdoc.io/
-
DeFiHackLabs: 致力于帮助 Web2 安全人才进入 Web3 领域的 Web3 安全社区,拥有超过 2000 名会员,全球近 200 名白帽黑客,DeFiHackLabs 仓库提供丰富的学习资源。
? https://x.com/DeFiHackLabs
-
索洛迪特: 该平台收集了Web3审计公司的过去的审计报告。
? https://solodit.xyz/
-
以太网: 这是一款基于 Web3/Solidity 的游戏,玩家需要识别以太坊合约中的漏洞,类似于 CTF。
? https://ethernaut.openzeppelin.com/
结论
安全问题每年造成数十亿美元的损失,长期来看对 DeFi 生态构成严重威胁。目前大部分安全措施都是针对项目上线前的安全问题。然而安全领域没有灵丹妙药,在协议发展的不同阶段,都应该有相应的措施来保证其安全性,并贯穿协议的整个生命周期。
我们希望项目上线后业界能够认识到安全的重要性,并采取措施监控协议风险、自动阻断攻击。
我们也希望DeFi生态能够形成安全第一的共识,更好地保障用户资产的安全。
本文来源网络:一文看懂DeFi生态安全
加密货币交易所Gate.io宣布与国际米兰足球俱乐部(以下简称“国米”)达成合作,成为其官方球衣袖子赞助商。国米是世界上最负盛名的足球俱乐部之一,也是本赛季意甲联赛的卫冕冠军。从2024/25赛季开始,Gate.io将成为国米官方球衣袖子赞助商,其标志将出现在俱乐部男女一线队以及U20青年队的比赛球衣袖子上。此次合作体现了两个品牌对技术驱动愿景、社区中心价值观和持久胜利精神的共同信念。此次合作将专注于改善球迷体验,并致力于为俱乐部全球球迷群体提供创新服务和互动参与机会。…
简体中文 
English 
繁體中文 
Русский 
Español 
日本語 
ไทย 
Tiếng Việt 
العربية 
한국어 
Bahasa Indonesia 
हिन्दी 
اردو 
Türkçe