黑客开始攻击 DeFi 智能合约

2019 年被业内人士视为 DeFi 元年。区块链上的借贷市场已经成为了最流行的去中心化金融（DeFi）应用场景，通过 MakerDAO、Compound 以及 dYdX 产生的借贷总额已经超过了 6 亿美金， DeFi 市场用户增长从数千增长至年末近 18 万人次。

据 DAppTotal 数据显示，截至 12 月 31 日，DeFi 项目整体锁仓价值为 8.74 亿美元，其中 MakerDAO 锁仓价值为 3.1 亿美元，占比 35.35%，EOSREX 锁仓价值为 1.95 亿美元，占比 22.33%，Edgeware 锁仓价值为 1 亿美元，占比 11.50%，Compound，Synthetix、dYdX、Nuo 等其他 DeFi 类应用共占比30.82%。

除了大家熟知的借贷市场，稳定币和去中心化交易所也是 DeFi 广泛应用的两大市场，与借贷市场并称为 DeFi 三驾马车。

但是，DeFi 产品大都基于智能合约和交互协议搭建，代码普遍开源，资产完全在链上，因此也极容易成为黑客攻击的重心，据 PeckShield（派盾）数据统计，2019 年共发生 7 起典型的 DeFi 攻击事件，黑客以攻击 DeFi 智能合约为主要手段。

MakerDao、AirSwap 在安全公司帮助下及时修复漏洞

北京时间 2019 年 05 月07 日，区块链安全公司 Zeppelin 对以太坊上的 DeFi 明星项目 MakerDAO 发出安全预警，宣称其治理合约存在安全漏洞。

当日，经 PeckShield 独立研究发现，确认了该漏洞的存在（PeckShield 将其命名为 itchy DAO），具体而言：由于该治理合约实现的投票机制（vote(bytes32)）存在某种缺陷，允许投票给尚不存在的 slate（但包含有正在投票的提案）。等用户投票后，攻击者可以恶意调用 free()退出，达到减掉有效提案的合法票数，并同时锁死投票人的 MKR 代币。

简单来说，就是黑客能透过这种攻击造成以下可能影响：1，恶意操控投票结果；2，因为黑客预先扣掉部份票数，导致真正的投票者有可能无法解除锁仓。

PeckShield 全程追踪了 MKR 代币的转移情况，并多次向社区发出预警，呼吁 MKR 代币持有者立即转移旧合约的 MKR 代币。

次日，PeckShield 和 Maker 公司同步了漏洞细节，05 月 10 日凌晨，MakerDAO公开了新版合约。Zeppelin 和 PeckShield 也各自独立完成了对其新合约的审计，确定新版本修复了该漏洞。因为反应迅速，在这次漏洞中，用户并无损失。

另外一起智能合约漏洞，发生在 2019 年 09 月 13 日。AirSwap 团队公布了一个 AirSwap 智能合约中存在致命的漏洞，这一漏洞可以使得用户的资产在某些情况下被对手恶意吃单『偷盗』。

PeckShield 安全人员深入分析 AirSwap 智能合约后发现，这一漏洞只对最近上线的 Wrapper 有影响。这一漏洞可使用户的资产被攻击者恶意偷盗，受此次影响的账号一共有 18 个，其中有部分账号有数万至数十万美元的资产。

随后，PeckShield 安全人员独立分析了漏洞细节，并与 AirSwap 团队沟通细节和修复的方案， 同时将该漏洞命名为“ ItchySwap”。

AirSwap 团队在发现该问题后第一时间下线合约，并将 AirSwap网站回退到之前使用的合约，从合约上线到问题修复整个过程仅持续了 24 小时，也没有造成用户损失。

此外，还有一点值得我们注意：除了传统中心化交易所，DeFi 平台也正在成为黑客洗钱的新渠道。PeckShield（派盾）旗下的 CoinHolmes在去年10月就曾监测到，2019 年 1 月黑客从 Cryptopia 交易所盗走的部分资产流入了 Uniswap 去中心化交易所和 “DeFi 银行 ”Compound， 主要目的是利用 DeFi 借贷平台进行混淆资金洗钱。

虽然行业损失金额不大，但却透露出一个危险信号，黑客已经盯上 DeFi 领域了。一旦 DeFi 平台的资产抵押规模和受众群体再上一个量级，这个领域很可能会是继 DApp 之后的下一个安全事件多发区。

—-

编译者/作者：忆江南

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。