chinesefreesexvideos高潮,欧美极品少妇性运交,久久久国产一区二区三区,99久久婷婷国产综合精品,成人国产一区二区三区

《How to DeFi：Advanced》是CoinGecko出版的DeFi經(jīng)典讀物《How to DeFi》的進(jìn)階版。此書可通過官網(wǎng)或亞馬遜購買，也可通過累積CoinGecko 積分換購，要求積分為800個(gè)。

為了能更好的傳播DeFi相關(guān)知識(shí)，巴比特將持續(xù)對(duì)全書進(jìn)行翻譯。以下是《第15章：DeFi的漏洞利用》的全部編譯內(nèi)容。

探索DeFi是有風(fēng)險(xiǎn)的；智能合約黑客攻擊也一直在發(fā)生。僅2020年，就有至少12次高調(diào)的DeFi黑客攻擊，從DeFi協(xié)議中抽走了不少于1.21億美元的資金。

來源：CoinGecko 2020年度報(bào)告

沒有人可以完全預(yù)測(cè)已部署的智能合約會(huì)發(fā)生什么，即使是最好的智能合約審計(jì)師。由于智能合約上有數(shù)十億美元的資金，所以可以肯定的是，最聰明的黑客正在不斷尋找利用安全弱點(diǎn)并從中獲利。

DeFi的巨大風(fēng)險(xiǎn)在于，隨著項(xiàng)目利用DeFi的可組合性并在其基礎(chǔ)上進(jìn)行構(gòu)建，DeFi應(yīng)用的復(fù)雜性成倍增加，使智能合約審計(jì)人員更難發(fā)現(xiàn)弱點(diǎn)。DeFi應(yīng)用程序開發(fā)人員必須確保網(wǎng)絡(luò)安全審計(jì)人員不斷檢查他們的代碼，以減少任何利用的可能性，因?yàn)殄e(cuò)誤的后果將是巨大的經(jīng)濟(jì)損失。

在本章中，我們將探討黑客攻擊的原因、閃電貸款、減少黑客攻擊損失的潛在解決方案，以及個(gè)人避免在DeFi漏洞中損失資金的一些提示。

1

漏洞的原因

下面我們將闡述一些常見的漏洞原因，但該清單并不詳盡，不代表所有原因。

1. 經(jīng)濟(jì)剝削/閃電貸

閃電貸允許用戶利用幾乎無限的資本來進(jìn)行金融交易，只要借款人在同一交易中償還貸款即可。這是一個(gè)強(qiáng)大的工具，使人能夠操縱過去受資本要求限制的經(jīng)濟(jì)攻擊。有了閃電貸，擁有正確的策略就是利用機(jī)會(huì)的唯一要求。

幾乎所有的DeFi黑客都利用了閃電貸。我們將在下一節(jié)對(duì)其進(jìn)行更詳細(xì)的研究。

2. 生產(chǎn)文化中的代碼

由Yearn Finance的創(chuàng)始人Andre Cronje帶頭，許多DeFi項(xiàng)目都遵循生產(chǎn)中測(cè)試的精神以加快產(chǎn)品開發(fā)的步伐，而不是最大限度地提高安全性和測(cè)試。因?yàn)閷?duì)每個(gè)版本進(jìn)行審計(jì)將大大延長(zhǎng)將任何產(chǎn)品更新推向市場(chǎng)所需的時(shí)間。

DeFi的主要競(jìng)爭(zhēng)優(yōu)勢(shì)之一是，開發(fā)人員可以更快地進(jìn)行迭代，突破金融創(chuàng)新的界限。然而，并不是每個(gè)項(xiàng)目都有能力進(jìn)行審計(jì)，尤其是在項(xiàng)目尚未取得任何進(jìn)展的時(shí)候。盡管有多次審計(jì)，黑客仍然可以設(shè)法利用一些項(xiàng)目，也就是說，即使有審計(jì)也可能不足以防止所有黑客。

3. 草率的編碼和不充分的審計(jì)

在牛市中，許多項(xiàng)目團(tuán)隊(duì)感到有壓力，需要快速行動(dòng)，走捷徑以更快地發(fā)布他們的產(chǎn)品。有些人甚至可能決定完全跳過審計(jì)，以獲得先發(fā)優(yōu)勢(shì)，并在產(chǎn)品上線幾個(gè)月后才進(jìn)行審計(jì)。

此外，還有大量的"分叉"--使用與其他成熟項(xiàng)目相同代碼的新項(xiàng)目。在沒有完全了解代碼如何工作的情況下啟動(dòng)，它們被當(dāng)作是快速搶錢的工具，導(dǎo)致了許多漏洞。

4. 卷錢跑路 Rug Pull（內(nèi)部工作）

在DeFi領(lǐng)域，以匿名團(tuán)隊(duì)啟動(dòng)項(xiàng)目的情況并不少見。由于監(jiān)管環(huán)境不確定，一些人這樣做是為了避免監(jiān)管機(jī)構(gòu)的審查。然而，其他人選擇匿名，是因?yàn)樗麄冃膽褠阂?。許多例子表明，匿名團(tuán)隊(duì)進(jìn)行了內(nèi)部工作，并故意留下一個(gè)漏洞，然后利用這個(gè)漏洞竊取毫無戒心的用戶。

在看到第一個(gè)加密貨幣比特幣也是由一個(gè)不知名的人創(chuàng)立后，加密貨幣社區(qū)并不疏遠(yuǎn)由匿名創(chuàng)始人發(fā)起的項(xiàng)目。用戶根據(jù)產(chǎn)生的代碼來評(píng)估項(xiàng)目，而不是開發(fā)人員是誰或來自哪里。這與開放軟件的去中心化精神是一致的。

撇開理想不談，如果在一個(gè)匿名團(tuán)隊(duì)發(fā)起的協(xié)議發(fā)生漏洞，那么由于很難找到開發(fā)者的**，沒有追索權(quán)的可能性就會(huì)很大。

5. 預(yù)言機(jī)攻擊

DeFi協(xié)議需要知道資產(chǎn)價(jià)格才能正確運(yùn)作。例如，一個(gè)借貸協(xié)議需要知道資產(chǎn)價(jià)格，以決定是否清算借款人的頭寸。

因此，作為DeFi基礎(chǔ)設(shè)施不可缺少的一部分，預(yù)言機(jī)可能會(huì)受到嚴(yán)重的操縱。例如，我們?cè)诘?2章中提到，MakerDao的金庫被利用后，造成了不必要的金庫清算，造成了總價(jià)值超過800萬美元的ETH損失。

6. Metamask（狐貍錢包）攻擊

作為每個(gè)以太坊應(yīng)用程序的主要界面，Metamask成為主要攻擊目標(biāo)并不奇怪。但Consensys團(tuán)隊(duì)在安全方面做得很徹底，到目前為止，還沒有出現(xiàn)大范圍的漏洞。

然而，有幾起引人注目的襲擊事件：

2

閃電貸

什么是閃電貸？

閃電貸是指用戶可以在沒有任何抵押物的情況下借入資金，只要用戶在同一交易中償還貸款即可。如果用戶沒有在同一筆交易中償還閃電貸款，那么交易將自動(dòng)失敗，并產(chǎn)生交易費(fèi)用的損失，以確保閃電貸不會(huì)發(fā)生。閃電貸款是由各種DeFi協(xié)議提供的，如Aave和dYdX。

與普通貸款相比，閃電貸有三個(gè)主要特點(diǎn)：

截至2021年4月，閃電貸的執(zhí)行并不友好，因?yàn)槟惚仨毻ㄟ^編寫智能合約代碼來執(zhí)行它。因此，它更適合于軟件程序員，而不是一般的門外漢。

事實(shí)上，一些程序員經(jīng)常利用這一因素，發(fā)起我們所說的 "閃電貸攻擊"，特別是在不需要抵押物的情況下。最著名的閃電貸款攻擊之一發(fā)生在Harvest Finance，造成了2400萬美元的損失。

下表顯示了提供閃電貸的主要協(xié)議所產(chǎn)生的費(fèi)用。

閃電貸的使用

下圖顯示了Aave的所有閃電貸的使用構(gòu)成。

我們可以看到，閃電貸主要用于套利目的。套利是指利用市場(chǎng)之間的價(jià)格差異來賺取利潤(rùn)的行為。例如，假設(shè)我們發(fā)現(xiàn)WBTC在兩個(gè)不同的去中心化交易所有相當(dāng)大的價(jià)格差異。我們可以使用閃電貸款，在沒有任何抵押的情況下借入大量的WBTC，從價(jià)格差異中獲利。

閃電貸的第二個(gè)用途是用于貸款清算。如果借款人讓協(xié)議清算他們的頭寸，通常會(huì)有罰款。當(dāng)市場(chǎng)有實(shí)質(zhì)性的價(jià)格行動(dòng)時(shí)，借款人可以選擇獲得閃電貸并自行清算他們的頭寸，從而避免懲罰性費(fèi)用。

讓我們看一個(gè)例子，我們用ETH作為抵押品向Maker借DAI。當(dāng)ETH的價(jià)格大幅下跌時(shí)，它可能會(huì)接近我們DAI貸款的清償水平。我們可能沒有ETH來增加我們的抵押品，也沒有DAI來償還貸款。我們可以做的是采取DAI閃電貸來償還Maker貸款。然后我們可以將提取的部分ETH抵押品換成DAI來即時(shí)償還閃電貸。使用這種方法，我們將保留剩余的ETH，而無需支付清算罰款。

最后，閃電貸也可以用來執(zhí)行抵押品互換。例如，如果我們?cè)贑ompound上有一筆DAI貸款，以ETH作為抵押品，我們可以使用閃電貸將ETH抵押品換成WBTC抵押品。這使我們能夠輕松地改變我們的風(fēng)險(xiǎn)狀況，而不需要通過多次交易。

執(zhí)行閃電貸仍然需要相當(dāng)多的技術(shù)知識(shí)，對(duì)那些不知道如何編碼的人來說有很高的進(jìn)入門檻。然而，有一個(gè)第三方應(yīng)用程序可以使普通用戶也能執(zhí)行閃電貸--這個(gè)平臺(tái)被稱為Furucombo。

閃電貸協(xié)議：Furucombo

Furucombo是一個(gè)允許任何人使用閃電貸創(chuàng)建套利策略的平臺(tái)。由于它的拖放工具使終端用戶能夠建立和定制不同的DeFi組合，組裝資金杠桿的門檻也就降低了。請(qǐng)注意，F(xiàn)urucombo不會(huì)為你尋找套利機(jī)會(huì)。

要使用Furucombo，用戶需要設(shè)置輸入/輸出和交易的順序，它將把所有的Cube捆綁成一個(gè)交易來執(zhí)行。下面是一個(gè)如何進(jìn)行套利交易的例子:

1. 從Aave獲得15,000DAI的閃電貸。

2. 使用1nch將DAI換成yCRV。

3. 用Curve將yCRV換回DAI。由于價(jià)格差異，你最終得到了15,431個(gè)DAI，比以前多了1個(gè)DAI。

4. 包括Aave的閃電貸費(fèi)用在內(nèi)的15,013DAI的貸款金額被償還給Aave。用戶剩下的利潤(rùn)為418DAI。所有這些步驟都在一次交易中執(zhí)行。

Furucombo不需要任何預(yù)付資金，也不收取費(fèi)用，用戶可以在平臺(tái)上使用閃電貸建立 "組合 "并進(jìn)行套利交易。你所需要的是錢包里的ETH，用來支付gas費(fèi)。

建議用戶自行承擔(dān)交易風(fēng)險(xiǎn)，因?yàn)镕urucombo上并不總是有套利機(jī)會(huì)，如果價(jià)格差異不再存在，組合可能會(huì)失敗。無論結(jié)果如何，用戶都將面臨支付交易費(fèi)用的風(fēng)險(xiǎn)。

案例研究：bZx閃電貸攻擊

2020年2月15日，以太坊區(qū)塊鏈上發(fā)生了一筆在當(dāng)時(shí)被認(rèn)為是獨(dú)一無二的交易。在一個(gè)區(qū)塊內(nèi)，在不到一分鐘的時(shí)間里，一筆交易實(shí)現(xiàn)了約36萬美元的利潤(rùn)。

這項(xiàng)交易引起了加密貨幣社區(qū)的注意，并被廣泛分析。88該收益是通過最初的幾乎無風(fēng)險(xiǎn)的閃電貸形式實(shí)現(xiàn)的，隨后在不同的去中心化交易所之間進(jìn)行了一系列套利。

來源：Peckshield

1. 閃電貸借貸：首先，從dYdX那里獲得了10,000ETH的閃電貸款。

2. 囤積：這些ETH的一半（5,500ETH）被質(zhì)押在Compound上作為抵押品，以借入112個(gè)WBTC。

3. 拉高保證金：1,300個(gè)ETH存入bZx，使用5倍杠桿做空ETH，以支持WBTC。從bZx借出的5,637個(gè)ETH被用來用KyberSwap換取51個(gè)BTC。根據(jù)KyberSwap算法，最好的價(jià)格是由Uniswap提供。然而，由于流動(dòng)性低，交易推動(dòng)了1 WBTC的匯率上升到109.8 WETH左右，大約是該期間正常轉(zhuǎn)換率的三倍。

4. 拋售：攻擊者在價(jià)格上漲后在Uniswap賣出了借來的112個(gè)WBTC，獲得了6,871個(gè)ETH，轉(zhuǎn)換率為1WBTC=61.2WETH。

5. 閃電貸利潤(rùn)：用未使用的3,200ETH和出售的6,871ETH，攻擊者償還了10,000ETH的閃電貸款，利潤(rùn)為71ETH。

6. 利潤(rùn)總額：Compound頭寸仍然處于盈利狀態(tài)。由于1個(gè)WBTC的平均市場(chǎng)價(jià)格為38.5WETH，攻擊者可以用大約4,300ETH獲得112個(gè)WBTC?？偟膩碚f，攻擊者獲得了71 WETH + 5,500 WETH - 4,300 ETH = 1,271 ETH，大概是355,880美元。(假設(shè)ETH價(jià)格為280美元）

上述事件不僅證明了通過操縱其他資產(chǎn)的價(jià)格獲得極端資本收益的可能性，而且除了相對(duì)較低的協(xié)議費(fèi)，借款人也沒有其他費(fèi)用。借款人面臨的唯一條件是，貸款要在同一筆交易中償還。因此，無抵押貸款的概念本身就為該領(lǐng)域帶來了廣泛的機(jī)會(huì)。

閃電貸總結(jié)

閃電貸可能是一把雙刃劍。一方面，它對(duì)智能合約的新穎使用給DeFi生態(tài)系統(tǒng)帶來了便利和進(jìn)步--沒有多少資本的交易者可以利用閃電貸款啟動(dòng)套利和清算策略，而不需要大量的資本基礎(chǔ)。

另一方面，黑客可以利用閃電貸款發(fā)起閃電貸款攻擊，由于不需要抵押品，所以大大增加了他們的利潤(rùn)。就像任何工具一樣，閃電貸可以用于好的和壞的目的。

在我們看來，被惡意利用的閃電貸攻擊加強(qiáng)了整個(gè)DeFi生態(tài)系統(tǒng)，因?yàn)轫?xiàng)目改善了他們的基礎(chǔ)設(shè)施，以防止未來攻擊的發(fā)生。由于閃存貸仍處于新生階段，這些攻擊可以被視為一線生機(jī)，緩解了DeFi生態(tài)系統(tǒng)種使其更加脆弱的漏洞。

3

解決方案

僅有智能合約的審計(jì)并不足以防止漏洞。項(xiàng)目需要做得更多，他們現(xiàn)在正在尋找替代方案，以確保存放在其協(xié)議中的資金安全。以下是一些可能的解決方案：

內(nèi)部保險(xiǎn)基金

有幾個(gè)項(xiàng)目已經(jīng)決定使用他們的本地代幣作為風(fēng)險(xiǎn)支撐。這方面的例子包括：

保險(xiǎn)

作為該領(lǐng)域的新生力量之一，Unslashed Finance向LIDO和Paraswap的用戶提供了協(xié)議級(jí)別的保險(xiǎn)，從而為協(xié)議為其用戶購買保險(xiǎn)提供了可能性。

漏洞賞金

越來越多的項(xiàng)目利用Immunefi來列出漏洞賞金，91鼓勵(lì)黑客通過發(fā)現(xiàn)漏洞而不是利用漏洞來獲得獎(jiǎng)勵(lì)。最高的賞金可以達(dá)到150萬美元。然而，由于黑客的潛在回報(bào)較高，這是否能阻止黑客的發(fā)展還有待觀察。

其他可能的解決方案

可以有一個(gè)全行業(yè)的保險(xiǎn)池，每個(gè)DeFi協(xié)議都從他們的收入中拿出一部分或支付固定費(fèi)用。當(dāng)其中一個(gè)成員遭遇黑客攻擊時(shí)，該保險(xiǎn)池預(yù)計(jì)將支付索賠。這類似于聯(lián)邦存款保險(xiǎn)公司（FDIC）的想法。

這個(gè)想法建議審計(jì)師在DeFi保險(xiǎn)平臺(tái)上質(zhì)押，如Nexus Mutual。作為質(zhì)押者，如果協(xié)議被黑，那么審計(jì)師將遭受損失。這種實(shí)施方式有望使審計(jì)師和項(xiàng)目的利益一致。

4

給個(gè)人的提示

除了智能合約黑客，你也可能會(huì)受到各種黑客的攻擊。以下是你可以采取的一些步驟，以盡量減少風(fēng)險(xiǎn)，降低被黑客攻擊的幾率。

不要給智能合約以無限的批準(zhǔn)

與DeFi協(xié)議互動(dòng)，通常需要你給智能合約訪問權(quán)，并同意花費(fèi)你錢包里的資金。通常，為了方便起見，DeFi協(xié)議要求將默認(rèn)的批準(zhǔn)設(shè)置為無窮大，這意味著該協(xié)議可以無限制地訪問你錢包中的批準(zhǔn)資產(chǎn)。

給予你的錢包無限制的批準(zhǔn)來花費(fèi)批準(zhǔn)的資產(chǎn)通常是一個(gè)壞主意，因?yàn)橐粋€(gè)惡性的智能合約可能會(huì)利用這一點(diǎn)從你的錢包中抽走資金。

2021年2月27日，一名黑客使用了一個(gè)假的智能合約，并欺騙Furuсombo，使其認(rèn)為Aave v2有一個(gè)新的實(shí)現(xiàn)。這次攻擊利用了具有無限代幣批準(zhǔn)權(quán)的大型錢包，并通過將資金轉(zhuǎn)移到黑客控制的地址來耗盡這些錢包。

在這次攻擊中，F(xiàn)urucombo的用戶遭遇了總額高達(dá)1500萬美元的損失。92 即使是貸款協(xié)議，Cream Finance，也犯了無限制審批的錯(cuò)誤，在這次攻擊中，金庫損失了110萬美元。

因此，手動(dòng)更改每筆交易的批準(zhǔn)金額是一個(gè)好主意，以防止在代幣批準(zhǔn)期間給予DeFi協(xié)議無限的支出權(quán)限。即使這將導(dǎo)致后續(xù)每次DeFi交互的額外交易，并產(chǎn)生更高的交易費(fèi)用，但可以減少錢包在智能合約利用攻擊中被耗盡的風(fēng)險(xiǎn)。

要手動(dòng)改變批準(zhǔn)的金額，請(qǐng)按照下面的步驟進(jìn)行操作：

步驟1

步驟2

步驟3

步驟4

撤銷智能合約的無限批準(zhǔn)

如果你之前給了DeFi協(xié)議無限的支出批準(zhǔn)，那么你有兩個(gè)選擇。更簡(jiǎn)單的選擇是將你的所有資金轉(zhuǎn)移到一個(gè)新的以太坊地址，你將獲得一個(gè)新的重新開始，而不承擔(dān)任何與你以前的以太坊地址相關(guān)的風(fēng)險(xiǎn)。

然而，如果不可能將資金從現(xiàn)有的以太坊地址中轉(zhuǎn)移出來，你可以使用Etherscan提供的代幣審批工具檢查所有以前的審批清單。

在這個(gè)頁面，你可以看到你以前授予智能合約的所有批準(zhǔn)。你應(yīng)該撤銷所有批準(zhǔn)金額無限的批準(zhǔn)，特別是你不再交互的協(xié)議。請(qǐng)注意，撤銷每個(gè)批準(zhǔn)需要智能合約本身的交互，并將產(chǎn)生交易費(fèi)用。

使用硬件錢包

硬件錢包是一個(gè)專門用于存儲(chǔ)加密貨幣的物理設(shè)備。硬件錢包將私鑰與互聯(lián)網(wǎng)連接的設(shè)備分開，以減少錢包被破壞的機(jī)會(huì)。

在硬件錢包中，私鑰被保存在一個(gè)安全的離線環(huán)境中，即使硬件錢包**入感染了惡意軟件的電腦中。雖然硬件錢包可以被物理盜竊，但如果小偷不知道你的密碼，它就無法進(jìn)入。如果你的硬件錢包不幸損壞或被盜，如果你在丟失之前創(chuàng)建了一個(gè)秘密的備份代碼，你仍然能夠恢復(fù)你的資金。

盡管有更多的人已經(jīng)開始進(jìn)入硬件錢包制造商行業(yè)，但目前頂級(jí)的硬件錢包制造商還是Ledger和Trezor。

使用獨(dú)立的瀏覽器配置文件

雖然瀏覽器擴(kuò)展是有幫助的，使你在工作中更有效率和生產(chǎn)力，但你應(yīng)該始終擔(dān)心惡意的瀏覽器擴(kuò)展會(huì)給你的加密貨幣體驗(yàn)帶來麻煩。

如果你不小心安裝了一個(gè)惡意的瀏覽器擴(kuò)展，它可能會(huì)窺探你的Metamask密鑰，并成為你資金的攻擊媒介。提高安全性的一個(gè)方法是在谷歌瀏覽器或Brave瀏覽器上創(chuàng)建一個(gè)單獨(dú)的瀏覽器配置文件。在這個(gè)新的瀏覽器配置文件中，只安裝Metamask擴(kuò)展。通過這樣做，你可以減少惡意瀏覽器擴(kuò)展從你的錢包抽走資金的風(fēng)險(xiǎn)。

以下是在谷歌瀏覽器上創(chuàng)建新的瀏覽器配置文件的分步指南。

步驟1

步驟2

步驟3

步驟4

5

總結(jié)

DeFi領(lǐng)域在很大程度上仍然是各種金融創(chuàng)新的試驗(yàn)場(chǎng)。因此，事情可能也會(huì)出錯(cuò)。請(qǐng)注意使用新的DeFi應(yīng)用程序的風(fēng)險(xiǎn)，特別是那些沒有經(jīng)過實(shí)戰(zhàn)考驗(yàn)的應(yīng)用程序。

在使用任何DeFi協(xié)議之前一定要做研究。在大多數(shù)情況下，一旦發(fā)生錯(cuò)誤，對(duì)所造成的損失是無法追索的。即使在協(xié)議賠償?shù)那闆r下，損失通常也會(huì)超過收到的賠償金額。

也就是說，由于涉及的風(fēng)險(xiǎn)，參與DeFi活動(dòng)的收益很高。為了不錯(cuò)過DeFi提供的高收益，你可以選擇通過購買保險(xiǎn)或看跌期權(quán)來對(duì)沖一些風(fēng)險(xiǎn)。

DeFi領(lǐng)域仍在不斷成熟。隨著我們的發(fā)展，我們預(yù)計(jì)會(huì)有更多的DeFi協(xié)議推出，并將更好的保障措施和保險(xiǎn)基金納入其運(yùn)營模式中。

推薦閱讀

1. 讓Metamask成為你自己的銀行 https://consensys.net/blog/metamask/metamask-secret-seed- phrase-and-password-management/?

2. 如何(不)Rekt - DeFi黑客解釋 https://finematics.com/defi-hacks-explained/?

3. DeFi安全：這么多的黑客，它能安全嗎？https://unchainedpodcast.com/defi-security-with-so-many-hacks- will-it-ever-be-safe/ ?

4. 關(guān)于黑客和漏洞的新聞 https://www.rekt.news/ ?