金色考察| TRM Labs:2022年跨越DeFi与链桥进攻总结

文/TRM Labs，译/金色财经小佐

回顾TRMLabs黑客行为，DeFi项目和跨链桥黑客行为加密的钱币生态系统今年成为黑客行为记录的一年。 截至2022年11月，被盗资金超过3天后的3夜6亿美元。

缉毒和非缉毒黑客夺取的总额

有多少数字是今天早上3.5:1——这是黑客攻击和非DeFi冲击对DeFi的比率。

80——这是本年度因打击DeFi而被盗加密硬币总数的百分比，达到30亿美元。

11x——跨链桥黑客的打击平衡区域，利弊约为跨链桥打击的1.1倍。 跨越链桥对DeFi支柱的黑客攻击，虽然不如针对其他目的的黑客攻击那么普遍，但平衡领域相当大。

13——这是截至2022年11月，TRMLabs检测到的链桥之间的黑客攻击数量，被盗金额接近20亿美元。

9/10——目前，2022年10个最大的黑客攻击中有9个针对DeFi，5个针对交叉链桥。 如果能小心最多9次的DeFi冲击，65%的资金将免受盗窃。

金额广泛且安全的马脚非常排斥DeFi的目的据Defilama数据显示，DeFi的总锁定价值(TVL )在过去两年间呈爆炸性增长，从2020年10月的约100亿美元增加到2022年11月的420亿美元。 Defilama的数据再现异常，11月末的7天里，桥的买卖量约为13亿美元。

除了领域的混乱，DeFi项目和其他两个跨越链桥的枢纽性质，成为潜伏黑客的巴望目标，容易受到打击：

性： d币安登录地址，由于eFi生态系统复杂，相互关联，黑客以开拓者无法预见和测试的方式使用马脚。 例如，在闪电贷款的打击中，黑客可能会利用与目的无关的工作来安排房地产成本，或者夸大打击对主要目的的作用。

透明度： DeFi项目当然很重视透明度，它往往构建在开源代码之上。 这样，所有人都可以检查代码并抓住可运用的马脚，即使安全辩论者仍然是黑客。

一些黑客还声称，可能在没有违反公法的情况下安排和打击DeFi项目。 结果，潜伏打击者将会把DeFi项目视为低于CeFi目的告示牌的项目。

2022年10月，基于Solana的平台Mango Markets亏损了约1.15亿美元。 原因是某个团队安排了那个代偿预言机(确定代币价值的权威)。 自称黑客首脑的Avraham Eisenberg之后表明了自己的身份，将该团队的振动表达为“成本高昂的商业政策”，而不是黑客。 Eisenberg是否会被起诉，目前还不知道。

Mango Markets黑客发表推文，称其动作是合法的

截至目前，DFI黑客席卷根基的方法论打击、码马脚打击以及协议打击，根基方法论打击、码马脚打击以及协议打击占今年黑客夺取资金总量的很大一部分。 一些黑客利用这些打击类别来剥夺资金。

根本方法是打击以黑客为目的的安全控制，进行非法买卖，从受害者那里向黑客管理的地方输送资金等。 这类打击类别的常用方法包括夺取私钥、补码词和前端打击。

码马对智能合约的打击，可能是打击者在不正当的情况下从DeFi协议中删除了资金。 在打击智能联络码马脚的过程中，黑客大概会利用发明的马脚来打击协议的进展。 今年早些时候，Solana的wormhole桥成为黑客的目的，在这个DeFi协议中被盗超过3亿美元。

协议打击是一种商业逻辑打击，主要是打击者可能安排令牌的代价。 并发现套利的机缘在一个墟市低价买入，在另一个墟市高价卖出。 闪电贷款和处置安排是其中最常见的协议打击类别。

CeFi的后退恐怕会引起DeFi对FTX、Celsius和Voyager等备受关注的其他CeFi的后退，从而对DeFi的束缚计划越来越感兴趣。 假设投资者大量涌向DeFi，黑客的打击动机也会进一步提高吧。

为了提高这样的紧迫性，DeFi项目必须紧急进行传统的错误奖金讨论、智能联络安全审计、业务安全束缚计划。

传统的臭虫奖金讨论向黑客和安全争论者发放了惩罚，敦促他们发明马脚，把马脚告诉DeFi项目。 而且，在使用马脚之前可能已经修好了马脚。 相比之下，加密奖金讨论在打击后，让黑客兴奋出资偿还特定比率的被盗资金，从理论上刺激黑客的打击动作。

安全审计可能会发明DeFi项目的主心骨——智能合约3354中的马脚。 禁止项目可以由黑客用这些马脚在以前建造。 但是，审计并不是万无一失的，需要与其他安全控制和策略结合使用。

新的商业束缚计划正在开垦，以进步整个DeFi生态系统的安全性。 如果与现有控制(如智能合约审计)保持一致，改革的安全产物可能会提供更好的DeFi安全性，但现在已经确定为时过早。

在贯彻使用时，这些控制和本领可能会削减DeFi协议的打击面。 随着DeFi的增加，黑客寻求以更大胆的方式利用缺点和马脚——，因此保持持续的警惕性是必不可少的。