一文概覽DeFi生態安全全景

2024-09-01 16:09:11

原文作者: BlockSec

引言

隨着 DeFi 發展不斷重塑金融格局,安全始終是 DeFi 生態面臨的重大挑战,安全問題每年都造成數十億美元的資產損失。

根據 Chainalysis 的數據, 2023 年 DeFi 黑客攻擊導致超過 11 億美元的資產損失。盡管這一數字較 2022 年有所下降,但 2023 年出現了新的 DeFi 攻擊趨勢。例如,一些長期安全運行的知名協議,如 Curve 和 KyberSwap,也遭到攻擊。此外,還出現了針對基礎設施漏洞(如 Flashbots Relay)的復雜攻擊。

Security Incident Dashboard 數據顯示, 2024 年上半年共發生超過 50 起造成 10 萬美元以上損失的黑客攻擊事件。

近期黑客攻擊事件
(來源: Security Incident Dashboard)

? https://app.blocksec.com/explorer/security-incidents

安全對於 DeFi 協議發展至關重要。部分協議管理着數十億美元的用戶資產,安全事件會給用戶帶來重大損失。雖然在某些情況下,被盜資金可以(部分)追回(例如 Euler 攻擊事件),但我們不能將希望完全寄托於此。每一次的攻擊事件,都在削弱用戶對 DeFi 的信心。

盡管業界已提出許多增強安全性的措施,但 DeFi 安全仍有很大的提升空間。從積極的一面來看,代碼審計已成為社區共識,大多數協議在上线前都會進行審計,這有助於降低由智能合約漏洞導致的攻擊風險。然而,單靠代碼審計遠遠不足以解決所有安全問題。代碼審計無法防止由合約升級、配置更改和外部依賴引入漏洞所導致的攻擊。鑑於這些局限性,一些協議开始採用更加主動的解決方案,如運營監控和攻擊檢測系統。

在本文中,我們將縱覽協議從上线前(Pre-Launch)、上线運營(Post-Launch)、到攻擊響應(Attack Response)階段可採取的安全舉措,來了解 DeFi 安全全景。我們將詳細介紹每類安全舉措及其主要的供應商/產品,以及它們的優缺點。希望本文能幫助社區更好地了解 DeFi 安全現狀,為創新的安全解決方案帶來啓發。

DeFi 安全全景

DeFi 協議的安全舉措應當貫穿協議上线前到上线後的全生命周期,確保協議本身以及運營期間的安全性。此外,針對潛在攻擊提前部署預防措施和響應計劃同樣至關重要。為幫助讀者清楚地了解目前有哪些 DeFi 安全解決方案,我們將相關供應商(產品)分為以下幾類。

Pre-Launch Security

協議上线前可採取的安全措施,包括代碼審計、形式化驗證和安全測試。

代碼審計服務&競賽

代碼審計是社區公認的保障協議安全的做法。在此過程中,安全公司會對已凍結的代碼進行半自動化審查,即自動化掃描代碼中的常見漏洞,再通過人工審查復雜漏洞,代表性的審計公司有 OpenZeppelin、ChainSecurity、BlockSec 等。

此外,還有審計競賽平臺。與直接提供審計服務的審計公司不同,這些平臺公开發布審計需求,吸引社區中的安全研究人員參與審計競賽,並將獎勵分配給發現協議漏洞的參賽者。審計競賽平臺包括 Code 4 rena、SHERLOCK、Cantina、Secure 3 等,各個平臺在漏洞嚴重級別、分配獎勵和參與標准上都存在一些差異。

代碼審計是協議安全的第一道防线。然而,它也存在一些局限性,這也是為什么許多由知名公司審計的協議仍舊未能避免黑客攻擊。

  • 首先,靜態代碼審計無法解決由協議依賴引起的安全問題,DeFi 協議的可組合性更加劇了這一點。

  • 其次,在代碼審計過程中,一些問題沒有受到足夠的重視。例如,精度損失是一個常見問題,可能會被審計員和協議方忽視。直到 Hundred Finance 和 Channels Finance 事件發生後,社區才充分認識到精度損失的安全影響。

  • 最後,高質量的代碼審計仍然是稀缺資源,需要具有安全、金融和計算機科學知識的跨學科人才,而目前很少有大學能夠持續且大規模地提供此類人才。因此,一些協議盡管進行了審計,但提供審計服務的審計人員專業性上是不足的。

形式化驗證

“形式化驗證根據某種形式規範或屬性,使用數學方法證明系統的正確性或不正確性。” 形式化驗證可以確保 DeFi 協議的行為符合形式規範。例如由 Certora 开發的 Prover 可以對 DeFi 協議進行形式化驗證。开發者提供規則(規範),Prover 將探索每一種可能的程序狀態,將結果與規則進行比較,從而識別漏洞。

形式化驗證的最大優勢在於它能夠通過數學證明管理數十億資產的 DeFi 協議的正確性。然而,實際應用中的一些限制阻礙了其廣泛採用。

  • 首先,規範需要由开發者提供,這要求开發者對協議的預期行為有詳細的文檔說明,而大多數开發並非這一領域的專家。

  • 其次,協議的頻繁升級可能需要更新規範並重新評估協議,一些協議可能無法付出這么多的時間和精力。

盡管存在這些限制,我們仍然認為協議應該進行形式化驗證,特別是那些尚未經過時間檢驗且管理大量用戶資產的新協議。但是,如何增強形式化驗證的可操作性並提高其採用率,仍然是當下面臨的一個巨大挑战。

安全測試

安全測試通過測試用例來發現協議中存在的潛在問題。相較於通過數學方法證明協議正確性的形式化驗證,安全測試一般使用具體的輸入數據(而非形式化驗證中的符號輸入),因此效率更高,但全面性略低。

Foundry 是一個頗受歡迎的智能合約开發測試框架。开發者可以在 Foundry 中執行測試,還能夠對 DeFi 協議進行差分測試、不變性測試及差異測試。其他安全測試工具還包括 Tenderly 和 Hardhat。

Post-Launch Security

協議上线後可採取的安全措施,包括 Bug Bounty、攻擊檢測和運營監控。

Bug Bounty

Bug Bounty 搭建起了協議和安全研究人員之間的橋梁。協議在 Bug Bounty 平臺發布賞金計劃,詳細說明賞金範圍和獎勵金額,安全研究人員通過報告協議的零日漏洞來獲取獎勵。Immunefi 是一個具有代表性的 Web3 Bug Bounty 平臺。

攻擊檢測

攻擊檢測平臺通過掃描交易識別惡意交易。具體來說,這些平臺會掃描與協議交互的每筆交易來尋找惡意行為,在識別惡意交易後系統觸發警報。

例如,BlockSec Phalcon 掃描每一筆內存池和鏈上交易,通過分析交易的行為特徵來識別惡意行為(如惡意合約、惡意提案)。它就像一位安全衛士,不眠不休地監控每一筆交易的每一個細節尋找不尋常的動向。它從這些交易中提取行為模式,並使用金融模型(類似銀行用於檢測欺詐的模型)來識別潛在攻擊。類似的系統還包括 Hypernative 和 Hexagate 提供的產品。此外,Ironblocks 的 Venn Security Network 提供了一個去中心化基礎設施,能夠聚合多個來源的檢測結果。

運營監控

顧名思義,運營監控框架監控協議上线後的運營安全。比如,實時掌握管理員密鑰變更情況、智能合約的部署與更新,並自動檢測拉取請求中的安全漏洞。OpenZeppelin Defender 平臺能夠幫助开發者安全地編寫、部署、運行智能合約。BlockSec Phalcon 能夠監控合約升級、Safe 錢包交易(如被發起、新籤署、執行)、訪問控制及治理相關風險。另外,通過實時監控系統 Forta Network,用戶能夠創建機器人監控協議,或者訂閱現有機器人來接收釣魚等安全威脅警報。

Attack Response

攻擊發生後自動觸發或緊急採取的安全措施,包括攻擊阻斷、自動響應、War Room、攻擊成因分析以及攻擊者資金流追蹤。

在這五項響應措施中,尤其值得注意的是攻擊阻斷,因為項目方能夠提前部署,在攻擊發生前阻斷攻擊,將損失降至零,自動響應平臺也有助於減少攻擊造成的損失。

建立 War Room、進行攻擊成因分析和資金流追蹤是攻擊發生後採取的應對措施,雖然有助於減少損失、防範未來的類似攻擊,但很可能已經造成重大損失且難以追回。此外,項目聲譽受損及用戶信任流失可能帶來深遠的負面影響。風險似乎無處不在、防不勝防,但項目方並非只能被動應對,可以提前部署防範措施,這也是更為推薦的做法。

攻擊阻斷

攻擊檢測是獲知黑客攻擊的重要渠道,但如果要對抗黑客攻擊,只有檢測遠遠不夠。因為如果沒有自動化的攻擊阻斷能力,手動採取響應措施往往來不及。以 KyberSwap、Gamma Strategies 和 Telcoin 攻擊事件為例,這些協議在攻擊的數分鐘甚至幾小時後才採取了響應措施,黑客在這段時間內發起多筆攻擊交易,盜走巨額資產。七月的 Velocore 和 Rho 攻擊事件則導致 Linea 和 Scroll 全鏈暫停運行,引發了用戶對 L2 鏈中心化問題的關注。

攻擊阻斷能夠自動防範黑客攻擊,這依賴於兩項核心技術: 提前檢測和自動搶跑。 提前檢測指的是在交易上鏈之前,還在內存池階段時,就能識別出哪些是攻擊交易。自動搶跑則是在攻擊交易上鏈之前,優先提交一筆搶跑交易暫停協議,從而阻止攻擊交易的執行。這種方法在攻擊實質發生之前就進行阻斷,從而避免了損失。

在這一類別中,BlockSec Phalcon 是唯一擁有這些核心技術的產品。黑客發起攻擊交易後,Phalcon 的攻擊監測引擎可以提前檢測到這筆交易,向用戶推送攻擊告警,同時自動搶跑暫停協議,將損失降低至 0 。該產品的攻擊阻斷能力已在過往的二十多次白帽救援中得到驗證,共挽救了超過 2000 萬美元資產。

自動響應

除了攻擊阻斷平臺外,Phalcon、Hexagate、Hypernative 等平臺也可以在發生攻擊時自動響應。

訂閱此類平臺後,用戶可以針對各類協議風險設置監控以及響應措施。如果一筆交易命中了監控規則,系統就會自動發起用戶提前設置的響應措施(如暫停協議),從而降低損失。不過,部分平臺不具備攻擊檢測引擎,系統無法直接識別攻擊交易並告知用戶,而是需要用戶自定義一筆交易滿足哪些條件下可以判定為攻擊。由於攻擊交易的特徵非常復雜,而用戶(往往是合約开發者)不一定具備足夠的安全知識,這對用戶來說是很有挑战性的。

War Room

當協議面臨攻擊時,建立 War Room 顯得尤為關鍵。這有助於協議掌握情況、與社區及時同步信息,並有效整合資源以採取應對措施,這需要多領域專家的密切合作。

SEAL 911 旨在“在緊急情況下,幫助用戶、开發者和安全研究人員直接聯系到值得信賴的安全專家”。用戶可以通過 SEAL 911 Telegram Bot(https://t.me/seal_911_bot)獲取這個服務,在項目遭到攻擊時,迅速組建 War Room 應對安全挑战。

攻擊成因分析

當協議遭受攻擊時,關鍵是要識別出問題的根源,例如智能合約內部的漏洞以及漏洞是如何被利用的。分析攻擊交易需要借助一些工具, Phalcon Explorer 、OpenChain 和 Tenderly 都是不錯的選擇。

資金流追蹤

資金流追蹤是指鏈上追蹤攻擊者的初始資金和攻擊獲利,來定位相關的地址和實體。如果這些資產流向了中心化實體(例如,中心化交易所和其他機構級實體),可以聯系執法機關幫助凍結資金。

Chainalysis、TRM Labs、ARKHAM、ELLIPTIC 和 MetaSleuth 是該領域的代表性公司/產品。例如,MetaSleuth 可以自動追蹤跨鏈資金流,並提供豐富的地址標籤。ARKHAM 建立了一個社區,協議方可以在此發布調查 Bounty 激勵社區成員協助追蹤攻擊者的資金流向。

安全教育資源

知識是最好的防线。除了前面提到的安全供應商和產品外,還有一類角色對於 DeFi 安全至關重要:教育平臺。這些平臺提供的資源或資訊能夠幫助 DeFi 從業者和用戶深入理解安全知識、提高安全意識、培養安全技能,為推動 DeFi 安全發展提供了重要作用。我們對這些平臺致以敬意,並分享以下幾個值得關注的平臺。

  • SΞCURΞUM: 一個專注於以太坊安全的 Discord 社區,並且定期舉辦智能合約安全競賽 “Secureum RACE”

    ? https://x.com/TheSecureum

  • Security Incidents Dashboard: 該平臺匯總並實時更新損失超過十萬美元的攻擊事件,並提供損失金額、受影響的鏈、漏洞類型、攻擊成因分析和 PoC 等詳細信息

    ? https://app.blocksec.com/explorer/security-incidents

  • Rekt: 被稱為 DeFi 新聞的暗網,提供對 DeFi 漏洞利用、黑客攻擊和詐騙行為的深入分析。

    ? https://rekt.news/

  • RugDoc: DeFi 安全和教育社區。該平臺提供項目風險評估信息,還有一個介紹 DeFi 生態和技術的平臺 RugDocWiKi。

    ? https://rugdoc.io/

  • DeFiHackLabs: Web3 安全社區,致力於幫助 Web2 安全人才進入 Web3 領域,在全球擁有兩千多成員和近兩百位白帽黑客,DeFiHackLabs 的倉庫提供了豐富的學習資源。

    ? https://x.com/DeFiHackLabs

  • Solodit: 該平臺收錄了 Web3 審計公司過往的審計報告。

    ? https://solodit.xyz/

  • Ethernaut: 一款基於 Web3/Solidity 的遊戲,玩家需要識別以太坊合約的漏洞,形式類似於 CTF。

    ? https://ethernaut.openzeppelin.com/

結語

安全問題每年造成數十億美元的損失,是 DeFi 生態長期面臨的嚴重威脅。目前,大多數安全措施針對的是項目上线前的安全問題。然而,安全領域沒有“銀彈”。在協議發展的不同階段,都應該有相應的措施來保障其安全,並且貫穿協議的全生命周期。

我們期待行業能夠認識到項目上线後安全的重要性,採取措施監控協議風險並自動阻斷攻擊。

我們也希望 DeFi 生態能夠形成安全第一的共識,從而更好地保護用戶的資產安全。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

觀點》這輪牛市的「頂部訊號」已經失效,新主力尚未抵達

在 這個週期中,並不是所有人都能成功。 你需要轉換思維方式,跳出大眾的思維框架。Coinbase...

深潮 Techflow
4 2小時前

一周代幣解鎖:7個項目解鎖價值1.5億美元代幣

下周,僅有 7 個項目迎來代幣解鎖事件,其中 APE、ROSE 解鎖相對較多,AVAX 金額相對較...

星球日報
4 2小時前

下周必關注|xAI預計將完成60億美元融資;Magic Eden將公布代幣經濟模型(11.18-11.24)

下周重點預告 11 月 18 日 Magic Eden:ME 代幣經濟模型將於 11 月 18 日...

星球日報
4 2小時前

Metrics Ventures市場觀察|本次新高後的時局和理解——比特幣新資產周期

作者:Will,Metrics Ventures 值此比特幣再次新高,史詩級 6 個月高位盤整眼看...

星球日報
3 2小時前

DeFiance Capital創始人:可能是他的正直,成就了他的今天

@Arthur_0x 是最傳奇的 DeFi 投資人之一,不到 3 年時間實現了 100 X。如今轉...

星球日報
5 18小時前

動區週報:比特幣新高後回落、鮑爾不急降息 市場情緒轉變、迷因幣火熱…

本週(11/10-11/16)重要大事速覽 比特幣動態 :鮑爾放鷹「 不急降息 」,比特幣價格一度...

Arthur Wang
6 1天前