加密正在崩溃，DeFi 黑客攻击越来越严重

2022 年第一季度被盗的加密货币数量已经超过了犯罪黑客 2021 年的盗窃量。没有任何简单的修复方法。

直到最近，DeFi 似乎还处于指数上升的轨道上。随着加密货币的总价值接近 3 万亿美元，黑客看到了一个巨大的机会。唯一可能让他们放慢脚步的是他们所追求的代币价值的急剧下降。

DeFi 黑客攻击越来越严重，没有明确的解决方案。根据区块链安全公司PeckShield最近的一份报告，2022 年前四个月从 DeFi 黑客攻击中获得的净额为 15.7 亿美元，已经超过了 2021 年全年的净额 15.5 亿美元。Chainalysis的一份报告发现了类似的趋势，2022 年前三个月的黑客数量超过了 2021 年第三季度创下的记录。

行业最糟糕季度的最大贡献者——或者最好的，如果你是罪犯的话——是 Axie Infinity 的Ronin 桥接漏洞（6.5 亿美元）、Wormhole 网络漏洞（3.2 亿美元）和Beanstalk Farms治理攻击（180 美元）百万）。

一条线索将这三者联系起来：2022 年最大的黑客攻击是由攻击者发现智能合约和协议中的漏洞进行的，特别是在跨链桥和闪贷协议中。数字盗窃的上升趋势可能会广泛破坏人们对加密货币的信心，并降低监管机构对仍处于萌芽状态的行业的愤怒。

Chainalysis 调查高级主管 Erin Plante 告诉协议，由于区块链代码通常是公开的，黑客可以轻松查看它以发现漏洞并操纵协议以利用它。

Plante 补充说，由于“代码漏洞和闪贷”，与前几年黑客行为典型的社会工程攻击不同，2022 年出现了“利用 DeFi 协议的巨大转变”。这可以解释为什么 DeFi 黑客在 2022 年变得如此大规模：攻击者不再依赖大量陷入网络钓鱼诈骗的人，而是能够直接攻击 DeFi 协议。

跨链桥已成为攻击者的目标，主要是因为表面积增加，允许比单个区块链上通常存在的更多攻击向量。桥通常也有一个较小的开发者社区，这意味着在交易被识别之前必须签署的验证节点数量较少。在 Axie Ronin 桥接攻击中，九个验证节点中只有五个需要签名，这是黑客瞄准的机会。

监管机构可能还有另一个令人震惊的统计数据。根据 Chainalysis 的报告，2022 年也是迄今为止与朝鲜有关联的黑客组织最大的一年。上个月，美国财政部将Ronin 桥黑客与朝鲜的 Lazarus 黑客组织联系起来，将其钱包地址列入特别指定国民名单并制裁这些资金。

鉴于最近的一份联合国报告发现朝鲜黑客洗钱的加密货币被用于资助核计划和导弹计划，这使得这一问题成为国际安全问题，这一点尤其令人担忧。

随着政府执法者和监管者的轮子转动缓慢，DeFi 公司需要迅速采取行动，以确保开源代码不被攻击者利用。区块链安全公司 CertiK 的首席执行官 Ronghui Gu 表示，项目需要采取主动的、端到端的安全方法。

“这意味着对每一行代码进行智能合约审计，无论是在发布之前还是在代码更改时，”顾说。

其他安全措施包括在部署后保护智能合约的链上监控工具，以及避免中心化，这是 2021 年的另一个重大攻击媒介。中心化在 Axie 黑客攻击中发挥了关键作用：攻击者设法控制了四个 Ronin 验证器节点一次经历了社会工程，并通过错误获得了另一个访问权。

顾建议项目所有者也可以接受背景调查，这是一项有争议的措施。一些“未经证实的”加密数字人物以使用假名运营而自豪，而其他人则标榜自己是“未经证实的”，披露他们真实的、经过验证的身份，以与代币购买者和软件开发商建立信任。

虽然 Plante 表达了同样的观点，但她补充说，“社区也需要团结起来，互相支持，互相保护，并试图抵御这些攻击者，”利用 Web3 的社区精神。保护区块链需要集体努力——如果该行业不提供，华盛顿可能会介入。