• 分布式金融的攻击与防护


    过去四年里(2018 ~ 2022),基于区块链的分布式金融(DeFi)行业融资额达到 2530 亿美金,而因为攻击造成的损失超过了 30 亿美金。这虽然低于传统金融体系的损失,仍给金融科技学人们敲响了警钟,分布式金融在多层次复杂攻击面前也并非银弹。

    伦敦帝国理工学院、慕尼黑工业大学大学、澳门大学、瑞士理工大学、加州伯克利大学等合作的论文《SoK: Decentralized Finance (DeFi) Attacks Liyi》分析了 77 篇论文、30 份审计报告、181 起事件,得出了一些有趣的分析。

    首先,从体系结构上,攻击涉及到四层,由上往下分别为:

    • 协议层:实现分布式场景的应用、数字货币、交换服务等;
    • 智能合约层:实现金融逻辑的代码、数据结构和执行环境;
    • 共识层:共识算法(包括 PoW、PoS 等)、激励机制;
    • 网络层:通信和网络协议,流量分析、数据传输等。

    另外,链外还有辅助服务,包括客户端、操作层、Oracle 等。

    几个统计结果:

    • 攻击趋势在增大,2021 年 8 月最高,单月损失达到 6 亿美金。2020 年月均 3.1 次攻击,2022 年是 8.5 次;
    • 攻击多发生在协议层(最多是稳定币和借贷应用)、智能合约层和辅助服务上;
    • 学术界对各层的研究相对平均,包括网络和共识层。但是业界的审计报告,几乎都集中在智能合约,另有少量是辅助服务;
    • 大部分攻击进行的并不快,而且可以通过协议层的暂停来防止。但事实上 87 个协议中,能在一小时内响应的只有 1 个;
    • 提前审计能有效防止攻击。未审计协议中有 15.49% 被攻击,而审计过协议中只有 4.09%;
    • 提前检测是比较有效的手段,大部分的合约漏洞是可以提前检测出来的。但是目前缺乏有效的协议层检测工具;
    • 大部分进攻者由于使用了集中化交易和挖矿机制,导致其身份可以被追踪到。

    从上面的统计结果可以看出,针对 DeFi 的攻防实际上和传统攻防是十分接近的。最常见的进攻往往在技术上并不是很复杂,可以在早期识别并有效阻止,但是目前还缺乏系统的检测工具。另外,学界和业界的关注侧重点有所不同。

  • 相关阅读:
    高可用双机GPFS集群的的自动化部署脚本
    systemverilog学习 --- 数组操作(二)
    控制电缆安装六大注意事项
    DTSE Tech Talk | 云原生架构下的数字身份治理实践
    JS-语法-变量(声明、命名规范、一次性声明多个变量、使用)
    华为机试真题 C++ 实现【分班问题】
    Git add回退 & commit回退
    Linux友人帐之进程管理
    【LeetCode算法】第88题:合并两个有序数组
    hbase,Phoenix的安装及配置
  • 原文地址:https://blog.csdn.net/yeasy/article/details/127762564