中心化風險居高不下，2021年黑客攻擊損失高達13億美元

特邀专栏作者

2022-02-11 06:47

本文約1755字，閱讀全文需要約3分鐘

2021年產生的44起DeFi黑客攻擊事件中，總資產損失高達13億美元！

轉眼間已經陪伴CertiK走入了第五個年頭，然而隨著閱盡千篇審計報告，卻一直有一個問題，讓譬如小編這樣的技術門外漢倍感疑惑。有的時候，我們辨別一個項目的代碼是否優質，就是查看它的審計報告。而後根據審計報告中的風險等級和數目來判斷這個項目代碼的安全性是否達到標準。

但是近一年中，很多項目的代碼相對足夠完善和安全，卻不約而同地存在著一個主要風險——中心化風險。

那麼具備這一風險的項目，假如它的代碼在其他方面表現得很良好，我們如何判斷它的代碼質量優質亦或不優質？

這樣的項目在以往的審計記錄中，佔據了很大的比例——在CertiK統計的2021年1737份審計報告中，具備中心化風險的項目竟有286個之多，佔據比例近17%。

2021年度DeFi行業安全報告】中，更是指出：】中，更是指出：二級標題

二級標題

大家應該都清楚：區塊鏈的意義在於去中心化、匿名性和透明性。

其中去中心化更是DeFi、DAO乃至整個加密世界最獨一無二的核心本質。

從定義上講——百度百科搜索的結果如下：在一個分佈有眾多節點的系統中，每個節點都具有高度自治的特徵。節點之間彼此可以自由連接，形成新的連接單元。任何一個節點都可能成為階段性的中心，但不具備強制性的中心控制功能。這種開放式、扁平化、平等性的系統現像或結構，我們稱之為去中心化。

而中心化風險僅在這一層面，就背離了加密領域創建的初衷。

中心化風險的核心是DeFi協議內的單一故障點——擁有中心化所有權的智能合約比擁有時間鎖或多簽名密鑰所有權的合約風險更大。

一旦這一風險被惡意攻擊者利用，那麼無限鑄幣、Rug Pull以及其他各類型的攻擊事件將接踵而來。

如果你的合約具備鑄幣漏洞，那麼攻擊者但凡能拿到合約私鑰，即可轉手鑄造無數代幣然後想給誰就給誰。

很明顯，這種攻擊方式對於項目的所有者來說簡直就是印鈔神器，當然也有些項目會成為其他黑客的ATM機。

另一種比較典型的攻擊方式就是Rug Pull，CertiK剛剛發布分析的BabyMusk攻擊事件就是一個典型的案例。

典型案例

二級標題

DeFi協議bZx因私鑰管理不善於2021年11月被惡意攻擊導致損失高達5500萬美元。

二級標題

怎樣才能減輕中心化風險？

智能合約審計是識別中心化風險的第一步，也是必要的一步。

通過智能合約審計，可以及時鑑別項目代碼中存在的中心化風險，但只有審計是不夠的，隨後的代碼修改同樣至關重要。

在很多情況中，安全專家發現的問題以及給予的修改建議會被項目所有者置之不理....

這些行為簡直就是在赤裸裸的呼喚黑客：快來呀，我這有錢給你！

CertiK將審計中發現的風險分為5個等級：嚴重、主要、中等、次要以及信息性。

作為區塊鏈安全領域的領軍者，CertiK致力於提高加密貨幣及DeFi的安全和透明等級。迄今為止，CertiK已獲得了2500家企業客戶的認可，保護了超過3110億美元的數字資免受損失。

安全

歡迎加入Odaily官方社群

訂閱群

交流群

官方賬號

交流群