DeFi 防御者与老练的攻击者陷入了一场高风险的竞赛

在去中心化金融 (DeFi) 中赚钱的方法有很多种，失去它的方法也有很多。除了在错误的时间购买错误的代币或成为流动性差的非同质化代币 (NFT) 的持有者之外，诈骗和黑客攻击也很常见。

在过去三年中，我们用来与 DeFi、网络钱包、平台和协议交互的工具变得更加用户友好。但与此同时，网络钓鱼企图、黑客攻击和欺诈行为有所增加。一场军备竞赛正在进行中，DeFi 的捍卫者正在努力加强他们的协议以对抗攻击者。这是一场高风险的战斗，关系到 DeFi 的未来。

黑客将继续黑客攻击

有一个普遍的误解，认为只有新用户才会成为黑客的牺牲品。他们会犯错误，点击网络钓鱼链接或回复诈骗信息。虽然初学者很容易成为猎物，但事实是任何人都可能成为目标。即使是 DeFi 老手也会倒下；所需要的只是片刻的注意力不集中。

提示用户签署交易以确认钱包所有权的 Web3 平台就是这样的一个弱点。在许多情况下，不清楚您要签署什么或为什么要签署。黑客只需一个受损的 Twitter 帐户或前端代码注入，即可将信誉良好的 web3 平台变成蜜罐。

防守者将继续防守

DeFi 的支持者，包括白帽子、安全研究人员和界面设计师，一直在反击，为用户提供检测威胁的工具。浏览器扩展已经开发出来，可以在用户每次签署交易时提醒用户他们授予的权限，这些可以有效地检测恶意签名请求。但是，由这些额外步骤引起的弹出窗口有导致通知疲劳的风险。

其他解决方案试图深入了解 DeFi 用户与之交互的智能合约，以确定它们是否包含恶意代码。Blockfence 开发了一个界面，可以警告 web3 用户他们无意中接触到的任何危险。它的保护层结合了复杂的分析、机器学习算法和积累的社区数据，以构建更大的系统性风险图景。最近看到它 成功地 从 ETH Denver 网络钓鱼网站中拯救毫无戒心的用户。

这些解决方案必须辅之以能够抵御其他攻击媒介的工具。桥梁是在区块链之间转移资金的重要渠道，是薄弱环节。去年，桥接攻击损失了 20 亿美元，该行业需要更强大的解决方案来跨链移动资产并在数百万美元被盗之前识别攻击。

从白帽黑客回击到用于跟踪和可能冻结被盗资金的更强大的取证工具，DeFi 用户已做好准备。但在每年被盗的加密货币数量开始下降之前，很难说好人正在赢得这场战斗。尽管取得了所有进展，但 DeFi 仍然很脆弱。