DeFi黑客攻击如来劫华，防不胜防

什么是DeFi？黑客为何偏爱攻击DeFi项目？

区块链技术的诞生为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中，「去中心化金融（DeFi）」是这两年最为火热的应用之一。

DeFi是指基于区块链的金融服务体系，与现有金融体系不同，用户的资金不会存放在第三方机构中，而是通过各种智能合约实现协议和信任，最大程度减少风险。它提供了完整的开源生态系统，包括贷款、交易、资产管理和支付等金融服务。

DeFi攻击事件频发，主要原因是攻击者可以获取巨额资产。跨链项目不仅仅有链上智能合约，还有链下代码，无论哪一部分出问题，都会被黑客利用。

DeFi涉及的安全问题都有哪些？

2022年第一季度，区块链领域发生了超过30起典型安全事件，损失金额超过12亿美元，增长率为823%。其中，DeFi项目仍是黑客攻击的重点领域，主要涉及的安全问题包括：闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等。

闪电贷攻击是在一笔链上交易中完成借款和还款，无需抵押。攻击者可以在借款和还款间加入其他链上操作，以极低的成本撬动巨额资金，结合其他漏洞进行套利、价格操纵等攻击。

私钥泄露是指由于项目方遭受传统网络安全或社会工程学攻击，私钥泄露，黑客可进行转账、提取等任意操作。

智能合约重入攻击是在存在外部合约调用的项目中，如果外部合约调用发生在账本更新之前，存在重入风险，攻击者可以通过重入攻击威胁项目资金安全。

Rugpull是指项目方突然撤出支持、DEX流动性池或放弃一个项目，毫无征兆地将投资者的资金卷走，是一个DeFi领域典型的退出骗局。

如何避免被黑客攻击？

经安全团队梳理和总结，尽管70%的受攻击项目通过第三方安全公司的审计，但未审计的30%项目被攻击后，损失金额达7.2亿美元，占第一季度总损失金额的60%。

因此，DeFi项目上线前的审计依旧重要。在未经审计的项目中，50%的攻击手法都是利用合约漏洞。尽早审计和及时修复代码漏洞，可以避免项目上线后受攻击带来的严重损失。

DeFi是一个机会，为投资者和开发商提供了许多发展前景。由于其受欢迎程度，该领域也成为黑客的重点攻击对象。

安全性仍然是DeFi生态系统面临的重大挑战，因此DeFi项目方应做好前置预防工作，引入一整套全生命周期的安全解决方案，完善安全防护机制。在选择项目时，应留意该项目是否经过安全审计。

热点：区块链