以太坊DeFi中的安全风险

以太坊DeFi中的安全风险

博客1新闻开发人员企业区块链解释事件和会议新闻时事通讯

订阅我们的新闻.

电子邮件地址

我们尊重您的隐私

主页博客Codefi

以太坊DeFi中的安全风险

埃弗里特·穆奇(Everett Muzzy)2020年5月19日发布于2020年5月19日

9

监控和防范风险的方法

对于以太坊DeFi生态系统来说,2020年是关键的一年。除了庆祝超过10亿美元的DeFi锁定和重要的平台里程碑之外,整个行业在新的和已建立的DeFi应用程序中也经常发生次要和重大安全事件.

5次DeFi安全事件 发生在四月: 

  • Uniswap:18日,通过再入攻击媒介盗窃了34万美元

  • Lendf.me:19日,通过再入攻击媒介盗窃了2500万美元;在小组与黑客协商后,资金会重新发行.

  • 曲线:稳定币交换平台透露,他们发现并解决了sUSD储备合约中的错误.

  • PegNet:跨链DeFi平台PegNet在其网络中的4名矿工控制70%的哈希率时遭受了51%的攻击.

  • Hegic:28k美元的流动资金被合同中的错误锁定在到期的期权合同中,为此,团队承诺用自有资金补偿受影响的用户.

Uniswap和Lendf.me –对ERC-777的再入攻击

2月和3月的bZx和Maker事件已被很好地发现,但是我们已经获取了有关Uniswap和Lendf.me协议的最新事件的一些数据和洞察力,特别是围绕ERC-777令牌标准的妥协,使黑客能够4月18日流失了价值2500万美元的加密货币 & 19日.

imBTC令牌是ERC-777令牌,由 Tokenlon, 在0x协议上运行的DEX。在Uniswap和Lendf.me事件中,黑客都利用了由于ERC-777令牌标准与DeFi协议之间不兼容而引起的重入漏洞。广义上讲,重新进入漏洞使黑客能够从本质上重新花费imBTC的初始存款,从而有效地为他们提供了无限的资本来进行交易或借贷。.

Uniswap

攻击之所以成为可能,是因为Uniswap V1在与ERC-777标准进行交互时没有适当的措施来防止这种类型的重入攻击。黑客总共损失了约30万美元的imBTC和ETH(约14.1万美元ETH +约16万美元的imBTC).

有趣的是,Uniswap或整个加密社区都不知道这种攻击媒介。在Uniswap攻击发生前将近整整一年,ConsenSys Diligence – ConsenSys提供的安全审核服务– 确定并发布 ERC-777再入攻击向量。 Uniswap制定了解决攻击媒介的计划,如其 3月23日的博文 关于Uniswap V2的功能.

图1. Uniswap imBTC令牌合约余额

图1. Uniswap imBTC令牌合约余额

Lendf.me

Lendf.me事件利用了借出协议与ERC-777令牌标准之间不完全兼容所提供的相同的重入漏洞,但取得了更大的成功。在4月19日的攻击中,Lendf.me的资金中近100%(超过2400万美元)被耗尽.

与Uniswap事件不同,被盗资金不仅限于ETH和imBTC。尽管大部分失窃资金是WETH(1,080万美元),但USDT和HBTC还是补足了970万美元,其次是至少16个其他代币。下图显示了导致4月19日攻击的Lendf.me上受损资金的资产分布和每月代币数量.

图2.代币类型的损失资金分布

图2.代币类型的损失资金分布

图3. Lendf.Me合同余额

图3. Lendf.Me合同余额

在意外的事件中,Lendf.me黑客将被盗的资金返还给协议,据称是因为它们 意外暴露了IP地址 在袭击中。下面的Sankey图显示了黑客入侵后的资金流向。资金离开Lendf.me合同(绿色),通过处理程序合同(灰色),再到达黑客的地址(黑色)。公开IP后,黑客将资金转移回Lendf.me管理员地址,该地址随后又将资金转移到恢复地址(均为紫色)。该图的最右边(该图流入许多单独的资金流)标志着Lendf.me的时刻。 退还资金 给个人用户.

图4. Lendf.Me事件中的资金流向

图4. Lendf.Me事件中的资金流向

令人惊讶的是,如何将DeFi应用程序链接在一起以形成完整的财务行为周期,以及如何发挥杠杆作用,套利,借贷和交易的动态。 DEX,贷款(也包括Flashloans)和Oracle之间的协同作用为在以太坊上开发更多金融元素开辟了机会,并降低了作为包容性金融世界的较小参与者的障碍.

我们如何保护DeFi资产?

智能合约审核

审计服务能够在协议或功能发布之前通过严格的测试和白帽黑客攻击来识别潜在的合同漏洞。尽管第三方自动化工具可以识别出常见漏洞集,但这些工具与现有审核服务结合使用时最有效.

审计服务ConsenSys Diligence预示了4月份的Uniswap攻击。此外,2020年的事件似乎引发了DeFi开发人员在安全问题上透明化的新时代。来自交易协议Hegic的开发人员 发布了公开的“事后调查” 关于她的代码中的错误,导致一些资金无法使用。 Exchange协议Loopring识别了一个前端漏洞,暂停了交换, 向社区宣布, 并努力解决了这个问题。这种透明性对于在新用户和现有用户之间建立信任以及扩展更安全的DeFi协议网络至关重要.

随着DeFi协议数量,复杂性和互连性的增长,可能会出现更多的安全漏洞和危害。尽管令人遗憾,但是这些事件对于任何新兴技术的安全开发都是至关重要的。我们越可以使用提供给我们的服务和工具来识别和防御这些攻击媒介,人们就越有信心与新兴的开放式金融生态系统进行互动。.

监控和排名工具

利用以太坊区块链的开放性,公众可获得大量与DeFi相关的监控工具,以更自信地与金融应用程序进行交互. Codefi检查 是一个开源工具,用于汇总有关DeFi协议的关键安全信息,包括公共审核,管理员密钥详细信息,oracle依赖项和链上活动。 Codefi的 DeFi分数 是平台风险的价值,可以在各种协议之间进行比较,以便在DeFi应用程序之间进行选择时更好地告知用户决策.

监视网络运行状况:针对个人用户

在借贷平台上,用户的存款是 有被清算的危险 一旦抵押物比率由于价格波动而下降到一定阈值以下。图5显示了在Maker平台上“被咬”的资金数量。在2018年11月和2020年3月,当以太坊价格跌至历史低位时(2018年11月约为110美元/ ETH,2020年3月约为105美元),Maker上的抵押品清算额超过1700万美元.

使用适当的监控工具,用户可以更好地保护自己,防止自己成为借贷平台上自动清算的不愿接受者。对于借贷产品,所需的抵押比率级别(存款资产的价值,借来的资产的分割价值,在大多数情况下以美元衡量)定义了金库所有者的安全线。一旦抵押品价值下降,比率就下降,金库就可以进行清算了。用户可以跟踪抵押物比率,并决定偿还借款或增加存款,以使保管库处于安全状态且不在清算范围之内。如果监视工具能够为各种资产提供实时,可靠的预兆价格信息,从而提醒用户提前采取行动,则监视工具将在用户与借贷协议的可靠交互中发挥重要作用。.

图5.制造商的清算量

图5.制造商的清算量

监视贷款平台的另一个指标是资产流动性池的利用率。通过将未偿债务总额除以流动资金池中的供应量来计算利用率。如果将池中的所有资金都借用而不还清,则利用率达到近100%.

利用率的显着变化可能反映出引起群体反应的市场变化(例如3月ETH价格下跌),或者标志着黑客耗尽资源的风险(例如Lendf.me案)。图6显示了Maker,Lendf.me和其他公司的资产利用率%。在3月,我们可以看到大多数平台的利用率都在飙升,这可能是由于对3月12日的市场事件做出了延迟的反应.

ETH价格下跌导致其中大多数协议的总供应价值(如果有ETH支持)下降,从而导致利用率突然飙升。同时,由于以太币价格导致抵押物比率下降,清算导致大量未偿债务被清算。因此,随着时间的流逝,这些平台中的许多平台的利用率都在下降。.

Lendf.me脱颖而出,成为骇客的利用率图表示例。 4月,我们看到所有令牌的利用率几乎立即飙升至100%,这表明黑客利用了ERC-777重入漏洞.

图6.跨协议的资产利用率

图6.跨协议的资产利用率

在去中心化交易所中,流动资金池规模可以帮助用户确定哪个平台是更具弹性的储备。 DEX是套利链中最重要的门之一,已在bZx中得到证明 案子. Uniswap是使用最频繁的DEX之一,其流动性池连接到许多DeFi / DEX协议接口。图7显示了Uniswap上流动资金池的规模。最严重的一次下降发生在2月18日,这是第二次bZx攻击的时机。 2月18日,Uniswap的流动资金池减少了,因为剥削者通过KyberUniswap储备借入了bZx上的大量WBTC。第二大跌幅发生在3月13日,当时加密货币市场下跌。 3月13日,Uniswap流动资金池下降,因为加密货币持有人担心市场波动并从Uniswap池中撤回了大量流动资金。尽管流动资金池规模显着下降,但是Uniswap很好地克服了过去几个月的漏洞和市场波动-展示了具有更大流动资金池的DeFi协议的弹性.

图7. Uniswap上的流动资金池大小

图7. Uniswap上的流动资金池大小

少数工具-如 pools.fyi –可以帮助DeFi用户找到主要DEX中最大的流动资金池.

监视网络运行状况:针对平台

监控DeFi平台的风险涉及异常检测。通常,异常行为可以分为5种方式:1)大额价值转移; 2)在短时间内交易或调用某个功能(尤其是那些不公开的功能)的频率很高; 3)固定金额的操作,每隔固定的相同时间出现一次(机器人),以及4)在多个平台上进行“超级用户”操作和/或拥有惊人的高额资金.

一旦检测到异常行为,协议团队就可以使用智能合约中设计的某些管理控件,例如:

  1. 制动以终止智能合约或协议的某些/所有功能.

  2. 将待处理会话添加到一些大额交易中.

  3. 还原可疑交易.

要详细说明异常行为的类别:

  1. 大额资金转移

链上发生的大额举动(包括超过阈值的借贷,存款,交易和清算)应触发警报,因为这可能动摇池或平台的稳定性,或表明可疑的动向(资金被黑客入侵,洗钱或攻击后的法定出口)。由于稳定币的价值以法定货币为基准,因此稳定币在大额价值转移中可以发挥特别的指示性作用.

2.在一定时间范围内的频繁动作(包括交易或对特定功能的调用)

频繁的函数调用(尤其是那些未在外部公开的函数调用)可能是攻击的信号。重新进入是消耗资金的一种典型攻击,在同一笔交易中多次递归调用一个函数。在更一般的情况下,如果平台收集有关合同使用情况的正常指标的基准统计信息(即,通常将函数称为“ x”次)并监视数字高得多的交易,则很可能它们会捕获异常行为,例如一旦发生.

图8.制造商的CDP随着时间的推移而打开

图8.制造商的CDP随着时间的推移而打开

图8显示了Maker平台上的高频事件的示例。在2019年第三季度,每日CDP开启量达到8.7k,远高于172 / day的历史平均水平。在接下来的几周和几个月中,又发生了几批高CDP的打开。我们认为这些数据峰值来自 战役 以用户获取为目标,但它确实表明手动推送会留下痕迹,我们可以对其进行监视以保持警觉.

3.固定的行为模式(检测机器人)

个人或团队构建套利机器人以与(某些)DeFi协议进行交互是合法的做法,但是平台开发团队可能会担心机器人对用户基础体验的影响。通过定义指示自动机器人行为的特定规则和模式(每隔固定的固定时间窗口中固定的动作数),便可以构建机制来检测机器人并监视其对池的影响.

4.超级用户(鲸鱼)

DeFi协议用户群中的活跃鲸鱼会对系统的稳定性产生重大影响。因此,另一种用于一般系统安全的方法是了解“超级用户”的行为,并对潜在风险有更深入的思考。.

图9.大型DeFi用户的动作。 Alethio Q1 DeFi报告中的图表。

图9.大型DeFi用户的动作。 Alethio Q1 DeFi报告中的图表.

风险管理产品

基于区块链的保险已经存在了一段时间,但在过去的几个月中已成为焦点. Nexus Mutual –一位区块链保险业的资深人士 行动了 作为bZx攻击受害者的第一响应者-最近 Opyn 在相邻的DeFi行业中已经(重新)成为领先者,作为对受保护资产的对冲期权。根据 街区, 其他一些类似的产品包括Etherisc,iXledger,VouchForMe和aigang。这些小部件可满足类似的需求,同时也可以相互保护,作为额外的保护层-可以通过Opyn选件购买Nexus保险作为“再保险”.

ConsenSys已推出Codefi Compliance,这是一个用于数字资产的自动化,敏捷的法规和合规性平台。 Codefi合规性是Codefi产品套件的一部分,该套件通过优化业务流程和数字化金融工具共同为商业和金融提供动力。作为反洗钱(AML)和反恐融资(CFT)的下一代解决方案,Codefi Compliance可以确保数字资产满足监管要求,而又不影响市场和业务要求,无论其管辖权和设计如何。这是唯一专门针对以太坊资产设计的合规解决方案,由以太坊开发的领导者ConsenSys构建。 Codefi合规性提供了先进的合规性功能,其中包括您的知识交易(KYT)框架,高风险案例管理和实时报告.

意识

尽管已经开发了许多工具和资源来帮助客户更加自信地使用DeFi,但是生态系统需要更高的意识。回顾2月,3月和4月的事件,重要的是要确认DeFi空间是:

  1. 在某些协议中仍然脆弱. 尽管整个生态系统具有相当的弹性,但各个协议仍可能受到严重影响。特别是,有限的流动资金池数量很容易导致价格滑落.

  2. 遵循以太坊的“乐高”架构. DeFi依靠以太坊,并且至少在目前(至少暂时)仍然依赖以太坊价格的健康性和稳定性。特别是在3月的市场活动中证明了这一点.

  3. 一个新生且因此容易受到攻击的生态系统. 正如过去几个月的事件所证明的那样,区块链技术的巨大机遇并不能像传统技术所具有的那样,使它免受同样的存在漏洞和攻击媒介的趋势的侵害。.

但是,所有这些事件的最终结果都是积极的。而且这些攻击对于以太坊社区来说并不是什么新事物,正如在2016年DAO攻击在加密生态系统中掀起的浪潮所证明的那样。攻击使大多数团队和参与者都更加关注不同产品的安全性。有了这种认识,我们相信将开发出更成熟的指标和工具来满足需求并帮助规避风险。.

开发人员团队对代码库的理解,维护和改进对于整个生态系统的健康与繁荣至关重要。未经审查的其他人现有工作的分叉会导致严重的后果。该协议在主网上发布后,便有效地变成了蜜罐-开放并暴露于所有潜在的恶意攻击中。这些财务协议虽然很复杂,但充满了价值,但还很年轻,因此特别有能力破坏用户的信任.

尽管出现了有关DeFi协议的安全事件浪潮,但该行业仍然压倒性地 积极的 关于DeFi的机遇及其为以太坊带来的动力。客观的DeFi统计数据支持积极情绪。为了应对今年的安全事件以及从3月开始的巨大市场压力,锁定的ETH已从2月份的历史高位下降。然而,这一水平仅下降至2019年12月。这些统计数据,即使面对备受瞩目的安全事件,也表明,整个DeFi生态系统已经超过了“无回报”的地步。对新兴的分散式金融范式的总体承诺仍然坚定.

由隋丹宁和埃弗里特·穆奇(Everett Muzzy)撰写

免责声明

Codefi Data对上述任何项目均无偏爱或偏见。讨论的协议范围有限,我们将继续努力在列表中添加更多内容,以实现更全面的了解。本文绝不能用作任何恶意行为或交易建议的指南.

订阅我们的时事通讯以获取最新的以太坊新闻,企业解决方案,开发人员资源等信息。