分析：DeFi平台“仅具有其所拥有的代码一样安全”

在整个2019年和2020年，围绕DeFi平台的讨论都将成为加密货币世界的中心。在以太坊网络之上构建了一波新应用程序。还专门为托管DeFi应用程序创建了其他网络。

FMLS 2020迄今为止最多样化的受众群体-金融与创新相遇

对于许多人来说，DeFi代表了（和代表）比特币承诺的自然演变：去中心化的金融平台，提供以前仅限于传统银行业的各种金融服务：提供和接受贷款，货币兑换，付款-清单继续。

由于DeFi平台上缺乏KYC支票，因此DeFi的概念曾经并且尤其吸引加密货币世界：DeFi的梦想代表了向没有银行账户的人提供金融服务并允许任何想要在银行以外运营的人的机会。金融监管机构有权这样做。

然而，就如梦想般实现启用DeFi的未来一样，道路上也发生了一些巨大的变化。

dForce漏洞利用是持续存在的漏洞模式中的最新示例

DeFi最大的卖点之一就是DeFi平台非常安全的想法：由于它们不是集中式的，并且不依赖任何单一的第三方进行操作，因此它们被认为非常安全。但是，实际上并非总是如此。

的确，最近的历史中有几个案例表明，尽管DeFi平台可能不会像集中式平台那样面临安全漏洞的风险，但是它们肯定不会完全免受伤害。

DeFi平台上最新的安全漏洞案发生在本周早些时候，dForce DeFi平台的一个分支Lendf.me被利用了2500万美元。

在这种特殊情况下-就像在过去一年中发生的大多数（如果不是全部）其他DeFi骇客一样-由于平台软件中的漏洞，资金可以从平台中删除。

具体来说，“主要原因 [was] 加密货币衍生产品交易所Interdax的首席产品官和联合创始人Jose Llisterri解释说，这是ERC-777标准和dForce协议的一种利用。

Interdax联合创始人兼首席产品官Jose Llisterri。

“被称为重新进入攻击，它允许黑客在余额更新之前，使用其回调机制以称为’imBTC’的ERC-777令牌反复提供和提取余额；”换句话说，“黑客操纵了Lendf.Me合同的会计账簿，使他们能够注册imBTC令牌而无需将其存储。”

使用这种特殊的策略，黑客能够盗取价值2500万美元的各种加密货币。在一件怪异的事件中，黑客最终归还了被盗的资金，但此事件仍然引起了很大的震动。

疯了吧。 lendf / dForce黑客正在将所有被黑客入侵的资金退还给管理员：

1000万美元的ETH
USDT 660万美元
HBTC 220万美元
75万美元的USDC
$ 381K HUSD
DAI 13.7万美元
$ 132K MKR
PAX $ 126K

总计略高于2000万美元。https://t.co/FLkJmv7m2A pic.twitter.com/6oaLgvnZMr

-Haseeb Qureshi（@hosseeb）2020年4月21日

利斯特里（Llisterri）解释说：“ Lendf.me合同没有任何重新进入保护措施，通常用于保护合同免受这些攻击。”

围绕重新进入攻击的保护措施不足，导致了重新部署

这不是无防护的平台第一次成为重入攻击的受害者：“ Lendf.me骇客的执行也与2016年6月的DAO漏洞相似，两者均基于重入攻击，利斯特里说。

为什么dForce的协议中没有这些保护措施？ Llisteri解释说：“ dForce显然是从Uniswap智能合约中获取了代码，该合约具有已知漏洞，并在2019年ConsenSys审计中进行了详细说明。”

金融科技公司Humaniq的首席技术官Anton Mozgovoy向Finance Magnates解释说，dForce的协议还有其他问题：“ Lendf.me被指控从另一个DeFi平台Compound那里复制代码，这可能是指示开发过程质量的指标”，换句话说，构建协议的开发人员可能没有进行尽职调查。

金融科技公司Humaniq首席技术官Anton Mozgovoy表示：“ DeFi平台的安全性与其代码一样安全。”

但是，无论代码是否被盗，重新进入攻击以及对DeFi平台的其他利用，都变得越来越常见：“我们已经看到了协议级别的漏洞如何影响去中心化平台上的安全风险，例如2020年1月的bZx攻击，以及最近的Bisq和Lendf.me，” Jose Llisterri解释说。

这更普遍地突出了有关DeFi平台的更大问题：“没有像非区块链软件应用程序那样的质量保证流程，” Anton Mozgovoy解释说。 “在部署代码之前，您的代码必须100％正确，否则它很容易受到攻击。”

换句话说，“ DeFi平台的安全性与其所拥有的代码一样安全。”

因此，根据Komodo首席技术官Kadan Stadelmann的说法，至关重要的是，DeFi平台应采取尽可能多的步骤来确保其平台不具有任何可利用的漏洞。他说：“ DeFi平台不应提供任何类型的中央攻击面。”

Komodo首席技术官Kadan Stadelmann。

Stadelmann解释说：“通过不提供任何集中式攻击点，黑客只能针对特定的节点和网络参与者。”换句话说，“他们的攻击将针对单个个人，而不是直接针对整个DeFi平台。”

“例如，在真正的分散式网络中，如果一个用户的智能手机上存在安全漏洞，并且黑客设法攻击了其中一个智能手机，则网络中的其他智能手机将不会受到损害。”

DeFi是“一项需要完善的巨大技术赌注。”

但是，这说起来容易做起来难。毕竟，DeFi仍处于早期阶段。整个加密货币行业仍处于早期阶段。

因此，尽管许多开放源代码和权力下放的狂热者可能会赞扬DeFi平台，但很可能是该生态系统在安全性和可用性方面需要时间赶上其集中式对手：的确，“整体上某些生态系统（诸如DeFi这样的技术赌注是一项需要完善的巨大技术赌注，而集中式平台通常是通过经过战斗验证的解决方案来构建的。”

确实，“集中式平台的安全措施各不相同，但主要基于大型金融公司使用的成熟系统，” Llisterri说。

“大多数集中式交易的黑客行为都是由于热钱包周围的安全性松懈（屏蔽的多重签名解决了这个问题）或诸如盗用等内部问题所致。”

建议文章

FBS举行慈善活动以在印尼提供医疗用品转到文章>>

DeFi平台并非完全“不信任”

当然，“集中式平台涉及信任的要素，因为他们会托管您的资产，这就是为什么加密货币用户应始终在他们使用的平台上进行研究的原因，” Llisteri继续说道。

但是，“去中心化平台也具有信任感（除非您有能力阅读智能合约的代码）。”

他说：“尽管用户不必在资产保管方面信任平台，但存在一种信任因素，因为没有任何漏洞可以使平台遭受攻击。” “您必须确保他们的代码库没有任何漏洞，或者使用的第三方库是否会打开任何攻击媒介。”

我仍然看好DeFi。我一直都知道对于早期采用者来说这是一个高风险的方案。毫无疑问，我们将看到更多此类骇客。还很早，众所周知，当您退出#Bitcoin区块链的安全性时，您会发现更多的攻击媒介。

-CryptoRocky（Roc Zacharias）（@CryptoRocky）2020年4月19日

“鉴于集中式交换和集中式平台已经存在了很长时间，因此，提高安全性的空间更大，而DeFi仍处于初期阶段，并且将经历相同的过程。这些漏洞利用提供了从错误中吸取教训的机会，并使DeFi更加安全，可以防止将来发生更多的攻击。”

用户如何知道DeFi平台是否安全？

但是，与此同时，用户如何安全？

一切都归结为理解：“哇用户与DeFi平台进行交互，而集中式平台则非常不同，” Llisteri说。

“用户与分散应用程序（或DApp）进行交互，以访问连接到其加密货币钱包的DeFi服务。当用户将其钱包连接到DApp时，将要求用户批准访问其令牌，从而允许DApp与钱包进行交互。”

“此处的安全问题是，大多数DApp用户都授予对该令牌中所有资产的访问权限。因此，如果DApp在一开始就容易受到攻击或受到恶意攻击，攻击者就可以滥用这些特权来未经用户同意窃取用户的所有资产。”

因此，用户可以采取预防措施，例如持有与各个平台进行交互的独立钱包：理想情况下，一个受损的DeFi平台将无法使用所有用户的资金。

为响应最近的DeFi安全事件，Quantstamp研究工程师Martinet Lee（@martinetlee）向智能合约开发人员提供以下建议：????????https：//t.co/K1DTIMX7Lz

-Quantstamp（@Quantstamp），2020年4月20日

与集中式平台进行交互时，可以采取类似的预防措施，尽管集中式平台通常无法以相同的方式访问用户资金：“在集中式平台上，提供商将为您控制资产并代表您采取行动，即您告诉交易所买卖比特币，”利斯特里说。 “在这种情况下，平台的安全性和团队的信誉是主要风险。”

问题的简单事实是，“某些DeFi平台建立在未经审核，测试不足的代码库的基础上，或者盲目使用了引入攻击媒介的第三方库。”

“随着DeFi协议中存储了更多的价值，黑客将更有动力寻找这些攻击媒介并利用未经审核的代码库。”

对于DeFi基础架构而言，如果多个Oracle能带来所需的鲁棒性，互操作性和安全性，则绝不是一个坏主意。您可以看到hack期间@chainlink帮助@bzxHQ的出色工作。但是，如果这只是针对@ethereum的议程，那么它毫无意义。 https://t.co/jUbXqWXeIb

— DeFi Cryptocurrency Boss（@GibsoonCorp）2020年4月23日

DeFi平台未投保

这是一个严重的问题-DeFi平台的普通用户可能没有一种可靠的方法来检查与其交互的DeFi平台和dApp的安全性。

考虑到这一点特别重要，因为“ DeFi平台是非监管的且不受监管的”，Anton Mozgovoy解释说。

“这意味着，如果一家受监管的银行由于袭击而面临资金损失，则政府和保险公司将向所有者赔偿。”此外，“ DeFi平台大多数时候没有保险池，并且可能给利益相关者带来更大的风险。”

那么，用户如何确定与之交互的DeFi平台是安全的？一方面，必须对该平台的软件进行可靠的第三方审核：毕竟，DeFi项目“是公开的，因此其代码是可审核的，” Curv首席执行官伊泰·马林格（Itay Malinger）对《金融巨人》表示。

托管公司Curv的首席执行官Itay Malinger。

实际上，Kadan Stadelmann补充说：“对您使用的DeFi平台是否真正去中心化进行研究是关键。”

用户还可以采取个别的预防措施，以使自己的工作更安全：“同样重要的是，确保您正在使用的任何设备（智能手机，计算机）都连接到安全网络，以防止发生任何形式的黑客入侵。 ”，斯塔德曼说。

尽管DeFi生态系统仍在发展，但集中化可能是一个更安全的选择

但是，如果您不确定DeFi平台的安全性，最好使用受信任的集中式平台。

Jose Llisterri解释说：“分散式平台各有利弊，但是在某些情况下，像交易所这样的集中式平台会更好，因为它们可以提供用户真正想要的东西：一个易于使用的，可扩展的，具有大量交易量和流动性的平台。”

但是，另一方面，DeFi可以提供一定程度的自我主权和可访问性，这在集中式同类服务中是不可能的。

“去中心化的平台虽然主要提供笨拙的用户体验并且相对缺乏流动性，但是却将权力掌握在个人手中。”利斯特里说。 “通过提供传统金融的替代方案，去中心化平台正在帮助人们抵制金融审查制度并收回其货币主权。”

您对DeFi平台的安全性有何看法？在下面的评论中让我们知道。

—-

原文链接：https://www.financemagnates.com/cryptocurrency/news/defi-platforms-are-only-as-safe-as-the-code-they-have-analysis/

原文作者：Rachel McIntosh

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。