一篇文章概述了 DeFi 生態系統的安全性

原作者：BlockSec

介紹

隨著 DeFi 的發展不斷重塑金融格局，安全始終是 DeFi 生態面臨的重大挑戰，安全問題每年造成數十億美元的資產損失。

根據 Chainaanalysis，2023 年 DeFi 駭客攻擊造成超過 $11 億的資產損失。雖然這個數字低於 2022 年，但 2023 年出現了新的 DeFi 攻擊趨勢。此外，還存在針對 Flashbots Relay 等基礎架構漏洞的複雜攻擊。

Security Incident Dashboard數據顯示，2024年上半年，共發生超過50起駭客攻擊事件，造成損失超過$10萬。

最近的駭客攻擊（來源：安全事件儀表板）

🔗 https://app.blocksec.com/explorer/security-incidents

安全性對於 DeFi 協定的發展至關重要。一些協議管理著數十億美元的用戶資產，安全事件可能會對用戶造成重大損失。雖然在某些情況下，被盜資金可以（部分）恢復（例如歐拉攻擊），但我們不能完全寄望於此。每一次攻擊事件都在削弱用戶對 DeFi 的信心。

儘管業界提出了許多增強安全性的措施，但 DeFi 安全性仍有很大的提升空間。從正面的一面來看，程式碼審計已經成為社群共識，大多數協定在上線前都會經過審計，這有助於降低智慧合約漏洞帶來的攻擊風險。然而，僅靠代碼審計還遠遠不足以解決所有安全問題。程式碼審計無法防止由合約升級、配置變更和外部依賴引入的漏洞引起的攻擊。鑑於這些限制，一些協定已經開始採用更主動的解決方案，例如操作監控和攻擊偵測系統。

在本文中，我們將回顧協定從啟動前、啟動後到攻擊回應可以採取的安全措施，以了解 DeFi 安全的全貌。我們將詳細介紹每種類型的安全措施及其主要供應商/產品，以及它們的優缺點。希望本文能幫助社群更了解 DeFi 安全現狀，並為創新安全解決方案帶來啟發。

DeFi 安全全景

DeFi協議的安全措施應該貫穿協議從上線前到上線後的整個生命週期，確保協議本身和運行過程中的安全。此外，提前部署針對潛在攻擊的預防措施和應對計畫也至關重要。為了幫助讀者清楚了解目前有哪些 DeFi 安全解決方案，我們將相關廠商（產品）分為以下幾類。

啟動前安全

協議上線前可採取的安全措施包括程式碼審計、形式化驗證、安全測試等。

程式碼審計服務競賽

代碼審計是社區公認的確保協議安全的做法。在此過程中，安全公司會對凍結程式碼進行半自動審查，即自動掃描程式碼中的常見漏洞，然後手動審查複雜漏洞。代表性審計公司包括OpenZeppelin、ChainSecurity、BlockSec等。

此外，還有審核競賽平台。與直接提供審計服務的審計公司不同，這些平台公開發布審計要求，吸引社區安全研究人員參與審計競賽，並向發現協議漏洞的參賽者發放獎勵。審計競賽平台包括Code 4 rena、SHERLOCK、Cantina、Secure 3等，各平台在漏洞嚴重程度、分配獎勵和參與標準等方面存在一定差異。

代碼審計是協議安全的第一道防線。但它也有一定的局限性，這也是為什麼許多經過知名公司審核的協議仍然無法避免駭客攻擊的原因。

• 首先，靜態程式碼審計無法解決協議依賴帶來的安全性問題，而 DeFi 協議的可組合性又加劇了這個問題。

• 二是代碼審計過程中存在的一些問題沒有引起足夠的重視。例如，精度損失是一個常見問題，可能會被審計員和協議方忽略。直到百家財經、通路財經事件後，社區才充分意識到精準度損失帶來的安全影響。

• 最後，高品質的程式碼審計仍然是稀缺資源，需要具有安全、金融、電腦科學知識的複合型人才，而目前很少有大學能夠持續、大規模地提供此類人才。因此，雖然有些協議經過了審計，但提供審計服務的審計人員在專業方面還不夠。

形式驗證

形式驗證使用數學方法基於某些形式規範或屬性來證明系統的正確性或不正確性。形式化驗證可以確保 DeFi 協定的行為符合形式化規範。例如，Certora 開發的 Prover 可以對 DeFi 協定進行形式化驗證。開發者提供規則（規格），Prover將探索每一種可能的程式狀態，將結果與規則進行比較，並識別漏洞。

形式化驗證的最大優勢在於，它可以從數學上證明管理數十億資產的 DeFi 協議的正確性。然而，實際應用中的一些限制阻礙了其廣泛採用。

• 首先，規範需要由開發人員提供，這要求他們擁有協議預期行為的詳細文檔，而大多數開發人員都不是該領域的專家。

• 其次，協議的頻繁升級可能需要更新規範並重新評估協議，而某些協議可能無法投入如此多的時間和精力。

儘管有這些限制，我們仍然認為協議應該經過正式驗證，尤其是那些新的、未經時間考驗並管理大量使用者資產的協議。然而，如何增強形式化驗證的可操作性並提高其採用率仍然是一個巨大的挑戰。

安全測試

安全測試使用測試案例來發現協議中的潛在問題。與透過數學方法證明協議正確性的形式驗證相比，安全測試一般使用特定的輸入資料（而不是形式驗證中的符號輸入），因此效率更高，但全面性稍差。

Foundry是一個受歡迎的智慧合約開發和測試框架。開發者可以在Foundry中進行測試，也可以對DeFi協定進行差異測試、不變性測試和差異測試。其他安全測試工具包括 Tenderly 和 Hardhat。

啟動後安全

協定上線後可採取的安全措施，包括漏洞賞金、攻擊偵測、運作監控等。

漏洞賞金

Bug Bounty 在協議和安全研究人員之間架起了一座橋樑。該協議在 Bug Bounty 平台上發布了賞金計劃，詳細說明了賞金範圍和獎勵金額。安全研究人員透過報告協議的零日漏洞獲得獎勵。 Immunefi 是一個具有代表性的 Web3 Bug Bounty 平台。

攻擊偵測

攻擊偵測平台透過掃描交易來識別惡意交易。具體來說，這些平台會掃描與協議互動的每筆交易以查找惡意行為，系統在識別惡意交易後觸發警報。

例如，BlockSec Phalcon會掃描每個記憶體池和鏈上交易，透過分析交易的行為特徵來識別惡意行為（例如惡意合約、惡意提案）。它就像一名保安，不眠不休地監控每筆交易的每個細節，發現異常動靜。它從這些交易中提取行為模式，並使用金融模型（類似於銀行用於檢測詐欺的模型）來識別潛在的攻擊。類似的系統也包括Hypernative和Hexagate提供的產品。此外，Ironblocks Venn 安全網路提供了一個分散的基礎設施，可以聚合來自多個來源的偵測結果。

運行監控

顧名思義，運行監控框架對協議上線後的運行安全進行監控。例如，它會即時追蹤管理員金鑰變更、智慧合約的部署和更新，並自動偵測拉取請求中的安全漏洞。 OpenZeppelin Defender 平台可協助開發人員安全地編寫、部署和運行智慧合約。 BlockSec Phalcon 可以監控合約升級、安全錢包交易（例如發起、新簽署和執行）、存取控制和治理相關風險。此外，透過即時監控系統Forta Network，使用者可以建立機器人監控協定或訂閱現有機器人以接收網路釣魚等安全威脅警報。

攻擊回應

攻擊發生後自動觸發或緊急採取的安全措施，包括攻擊攔截、自動回應、作戰室、攻擊原因分析、攻擊者資金流向追蹤等。

在這五項應對措施中，攻擊攔截尤其值得關注，因為專案方可以提前部署，在攻擊發生之前將其攔截，將損失降至零。自動回應平台也有助於減少攻擊造成的損失。

建立作戰室、分析攻擊原因、追蹤資金流向是攻擊發生後採取的因應措施。儘管它們有助於減少損失並防止未來發生類似的攻擊，但它們很可能造成了難以挽回的重大損失。此外，專案聲譽受損和用戶信任喪失可能會產生深遠的負面影響。風險看似無所不在且防不勝防，但專案業主不必被動應對。他們可以提前部署預防措施，這也是比較建議的做法。

攻擊攔截

攻擊偵測是了解駭客攻擊的重要管道，但想要對抗駭客攻擊，光靠偵測是遠遠不夠的。因為如果沒有自動攻擊攔截能力，採取手動回應措施往往為時已晚。以KyberSwap、Gamma Strategies和Telcoin攻擊為例，這些協定在攻擊發生幾分鐘甚至幾小時後就採取了應對措施。在此期間，駭客發動多次攻擊交易，盜取巨額資產。 7月的Velocore和Rho攻擊導致Linea和Scroll鏈暫停運行，引起了用戶對L2鏈中心化問題的關注。

攻擊攔截可以自動阻止駭客攻擊，這依賴兩大核心技術： 早期檢測和自動搶佔。 早期偵測是指在交易上傳到鏈上之前，當交易還處於記憶體池階段時，就可以辨識出哪些交易是攻擊交易。自動搶佔是指在攻擊交易上傳到鏈上之前，提交搶佔交易來暫停協議，從而阻止攻擊交易的執行。這種方法可以在攻擊實際發生之前阻止攻擊，從而避免損失。

在該類別中，BlockSec Phalcon 是唯一擁有這些核心技術的產品。駭客發動攻擊交易後，Phalcons攻擊監控引擎可以提前偵測到該交易，向用戶推送攻擊警報，並自動暫停協議，將損失降低至0。 ，節省資產$20餘萬元。

自動回應

除了攻擊攔截平台外，Phalcon、Hexagate、Hynative等平台也可以在攻擊發生時自動回應。

用戶訂閱此類平台後，可以針對各種協議風險設定監控和應對措施。如果有交易觸及監控規則，系統會自動啟動使用者提前設定的因應措施（例如暫停協議）以減少損失。但部分平台不具備攻擊偵測引擎，系統無法直接辨識攻擊交易並告知使用者。相反，用戶需要自訂交易被判斷為攻擊的條件。由於攻擊交易的特徵非常複雜，而使用者（通常是合約開發者）可能沒有足夠的安全知識，這對使用者來說是非常具有挑戰性的。

作戰室

當協定面臨攻擊時，建立作戰室就顯得格外重要。這有助於協議了解情況，及時與社區同步訊息，有效整合資源採取應對措施，這需要多領域專家的密切合作。

SEAL 911 旨在協助使用者、開發人員和安全研究人員在緊急情況下直接聯繫值得信賴的安全專家。使用者可以透過SEAL 911 Telegram Bot（https://t.me/seal_911_bot）存取該服務，並快速建立作戰室，以在專案受到攻擊時應對安全挑戰。

攻擊原因分析

當協定受到攻擊時，確定問題的根本原因至關重要，例如智慧合約內部的漏洞及其被利用的方式。分析攻擊交易需要藉助一些工具， 菲爾康探險家 、OpenChain 和 Tenderly 都是不錯的選擇。

資金流向追蹤

資金流向追蹤是指在鏈上追蹤攻擊者的初始資金和攻擊利潤，以定位相關地址和實體。如果這些資產流向中心化實體（例如中心化交易所和其他機構實體），可以聯繫執法機構以協助凍結資金。

Chainaanalysis、TRM Labs、ARKHAM、ELLIPTIC 和 MetaSleuth 是該領域的代表性公司/產品。例如，MetaSleuth可以自動追蹤跨鏈資金流向並提供豐富的地址標籤。 ARKHAM 建立了一個社區，協議各方可以在其中發布調查賞金，以激勵社區成員協助追蹤攻擊者資金流向。

安全教育資源

知識是最好的防線。除了上述的安全廠商和產品之外，還有一個對 DeFi 安全至關重要的角色：教育平台。這些平台提供的資源或資訊可以幫助DeFi從業人員和使用者深入了解安全知識、提高安全意識、培養安全技能，對推動DeFi安全發展發揮重要作用。我們向這些平台致敬，分享以下值得關注的平台。

• SΞCURΞUM: 專注於以太坊安全的 Discord 社區，定期舉辦智慧合約安全競賽 Secureum RACE

  🔗 https://x.com/TheSecureum

• 安全事件儀表板： 該平台即時聚合更新損失超過$10萬的攻擊，並提供損失金額、受影響鏈、漏洞類型、攻擊原因分析、PoC等詳細信息

  🔗 https://app.blocksec.com/explorer/security-incidents

• 報告： 它被稱為 DeFi 新聞暗網，提供對 DeFi 漏洞、駭客攻擊和詐騙的深入分析。

  🔗 https://rekt.news/

• 地毯文檔： DeFi 安全和教育社區。該平台提供專案風險評估訊息，還有一個介紹 DeFi 生態系統和技術的平台 RugDocWiKi。

  🔗 https://rugdoc.io/

• DeFiHack 實驗室： 一個致力於幫助Web2安全人才進入Web3領域的Web3安全社群。它在全球擁有2000多名會員和近200名白帽駭客。 DeFiHackLabs倉庫提供豐富的學習資源。

  🔗 https://x.com/DeFiHackLabs

• 索洛迪特： 本平台收集Web3審計公司過去的審計報告。

  🔗 https://solodit.xyz/

• 以太人： 一款基於Web3/Solidity的遊戲，玩家需要辨識以太坊合約中的漏洞，類似CTF。

  🔗 https://ethernaut.openzeppelin.com/

結論

安全問題每年造成數十億美元的損失，從長遠來看對 DeFi 生態系統構成嚴重威脅。目前，大多數安全措施都是針對專案上線前的安全問題。然而，安全領域並沒有靈丹妙藥。在協議發展的不同階段，應該有相應的措施來確保其安全性，並貫穿協議的整個生命週期。

希望專案上線後業界能體認到安全的重要性，採取措施監控協議風險，自動攔截攻擊。

我們也希望DeFi生態能形成安全第一的共識，更能保護使用者資產的安全。

本文源自網路：一文概述 DeFi 生態安全

相關：Gate.io宣布成為國際米蘭官方球衣袖合作夥伴

加密貨幣交易所Gate.io宣布與國際米蘭（以下簡稱國際米蘭）合作，成為其官方球衣袖贊助商。國際米蘭是世界上最負盛名的足球俱樂部之一，也是本賽季意甲聯賽的衛冕冠軍。俱樂部男女一線隊以及U20青年隊的比賽球衣。此次合作體現了兩個品牌對科技驅動的願景、以社區為中心的價值觀和持久獲勝精神的共同信念。此次合作將專注於改善球迷體驗，並致力於為世界各地的俱樂部球迷群提供創新服務和互動參與機會…