MPH:黑客的狂歡，限于技術掣肘的DeFi如何破局？_EFI

2020年3月Compound推出“借貸挖礦”模式，讓沉寂多時的幣圈再次燥動起來。一位參與過DeFi挖礦的“礦工”表示，為了搶到頭礦，他把賭注押在未經測試的代碼上，“不管安不安全，先把頭礦搶了。”開發者們更急，為了快速上線主網，從新發布的代碼中獲得最大收益，他們直接略過了安全審計的步驟。那些穩如泰山的黑客們，也開始把握機會，憑借自身技術實力，伺機攻擊那些沒有做好安全預防措施的DeFi們。進入11月，發生在DeFi協議上的攻擊一起接著一起，DeFi們儼然淪為黑客的取款機。據PeckShield統計，截至目前共發生8起與DeFi相關的安全事件，包括YearnFinance、Percent.finance、CheeseBank、OriginProtocol、Akropolis、ValueDeFi、YFV、88mph，造成損失逾2100萬美元。驚險時分：24小時發生兩起攻擊事件損失近800萬美元

“美國追回付給黑客的大部分比特幣贖金”登上微博熱搜榜第8位:微博熱搜榜顯示，“美國追回付給黑客的大部分比特幣贖金”排名微博熱搜榜第8位。[2021/6/8 23:20:29]

11月17日，PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊，攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊（Re-entrancyattack)，造成價值770萬美元的損失。隨后，11月18日，PeckShield監控到DeFi固定利率借貸協議88mph存在代碼漏洞，一名攻擊者利用該漏洞鑄造了價值10萬美元MPH代幣。據悉，88mph于11月16日上線主網，上線僅48小時就遭到了攻擊。在88mph協議中，用戶可通過存入加密資產賺取固定利息，并獲得其原生代幣MPH，也可通過購買浮動利率的債券來獲取MPH代幣。上線僅48小時后即遭伏擊

聲音 | 一名黑客的“獨白”：盜取50萬美元的加密貨幣非常容易:據chepicap消息，一位名為“Daniel”的黑客向一家加密媒體承認，對他來說，獲得50萬美元（加密貨幣）是多么容易。他找到了一個簡單的方法來繞過雙重身份認證，即通過SIM交換方法。這個騙局的簡單性是眾所周知的，它會導致很多惡意的人使用這種伎倆來快速賺錢。據Micky.com報道，使用這種方法，每年都有數千萬美元的加密資產被盜。盡管電信供應商聲稱他們有標準的協議來防止這種行為，但Daniel透露，總有辦法說服他們的客戶服務人員。他說：“例如，你打電話假裝在瑞典電信公司Tele2工作，請他們幫你轉接一個號碼。”一旦號碼被重定向，他就會使用Gmail或Outlook中的“忘記密碼”選項來獲取帳戶憑據。Daniel承認，他沒有任何罪惡感，因為他從來沒有見過他的受害者，事實上，他把責任歸咎于他們沒有使用更好的安全措施。而根據分析公司Cipher Trace的一份報告，SIM卡交換是一種越來越流行的詐騙技術。[2019/5/20]

PeckShield通過追蹤和分析發現，首先，攻擊者調用DInterest::deposit()函數將穩定幣儲存在資金池中，此時，存款者會收到一個新的depositID，它相當于非同質化通證，同時MPHMinter合約會開始鑄造MPH代幣；

聲音 | 慢霧創始人余弦：優秀的公鏈是敬畏黑客 但又不懼黑客的:區塊鏈安全公司慢霧創始人余弦在線上表示，至少有四個理由表明黑客攻擊事件多的公鏈反而更可能快速發展：1、只要不會出現超巨額不可挽救損失，積極的社區治理總能渡過難關，而且可以大大提高公鏈的知名度；2、公鏈如果關注度低或價值低，攻擊者也不一定會感興趣，機會成本的問題，除非攻擊者本身就屬于這條公鏈生態的一部分或可以輕易了解這條公鏈；3、越偏應用層的攻擊會越多，比如 DApp 越多，原則上被攻擊成功的數量也會多，這可能會造成一種假象：這條公鏈似乎很不安全，但真相可能恰恰相反；4、類比早期的 Windows XP，安全問題極多，但卻奠定了個人電腦操作系統生態的霸主地位。與此同時，余弦總結道：持續黑客攻擊導致破產倒閉、低價被收購的血淋淋案例。所以優秀的公鏈是敬畏黑客，但又不懼黑客的。[2019/3/5]

全球虛擬貨幣的安全問題出現紅燈 美國虛擬貨幣交易所Etherdelta遭到匿名黑客的襲擊 :根據韓國首爾經濟新聞報道，美國虛擬貨幣交易所Etherdelta周二（當地時間）遭到匿名黑客的襲擊。幾天前名韓國Youbit交易所遭到黑客攻擊提交一份破產申請，現在全球虛擬貨幣的安全問題出現紅燈。[2017/12/22]

隨后，調用fundAll()函數購買浮動利率的債券，在此步驟中，用戶可獲得MPH代幣和一個fundingID；

接下來，攻擊者將步驟1和步驟2所獲得的depositID及fundingID傳入earlywithdraw()函數提取在這兩步中所存入的資產。也就是說，攻擊者將步驟1中原本要鎖倉1年的加密資產被提前取出，此時攻擊者不會獲得任何利息，因此步驟2中提供的資金也原路退回，并且MPHMinter會銷毀在步驟1中鑄造的所有MPH代幣。值得注意的是，在第2步中所鑄的MPH代幣并沒有被銷毀。攻擊者利用這點，以0成本獲得了步驟2所鑄造的價值10萬美元的MPH代幣。

通過重復操作這三個步驟，攻擊者鑄造了價值10萬美元的MPH代幣，并將其存入UniswapV2:MPH4池中。利用另一漏洞僥幸逃過一劫

事實上，MPHMinter合約還有一個漏洞，而開發者利用此漏洞僥幸逃過一劫，使得此次攻擊暫未造成任何經濟損失。首先，開發者調用takeBackDepositorReward將所獲MPH代幣從UniswapV2:MPH4轉移到govTreasury，該函數沒有設置門檻，任何人都可調用此函數將MPH代幣轉移到govTreasury中。

由于攻擊者將獲得的MPH代幣存入了UniswapV2:MPH4池子當中，而88mph項目方自己掏空了該池子，然后做了快照，因此暫未造成任何經濟損失。

PeckShield相關負責人表示：“黑客們的攻擊可能會毀滅或‘殺死’一個項目，DeFi們不要存在僥幸心理，應該做好充分的預防措施。如果對此不了解，應該找專業的審計機構對代碼進行徹底地審計和研究，防范各種可能發生的風險。”開發者編寫的每一段代碼，就如同工業生產中的螺絲釘一般，即使很微小，卻與DeFi行業的興衰成敗緊密相連。DeFi的生態仍處于早期發展階段，但區塊鏈的核心價值在于普世的信任，如果DeFi們仍一味追求快速上線主網，忽視代碼的審計安全，最終只能將社區成員的信任消磨殆盡，成為沒有靈魂的軀殼。

Tags：MPHDEFEFIDEFITriumphXLibre DeFiEfinityDeFinition

幣安app官網下載