2022年已有超過20億美元的加密貨幣被黑客竊取,逐漸動搖了人們對被稱爲 DeFi 的去中心化金融領域的信心。
Ben Weintraub 從大學輟學後不久就开始從事加密貨幣領域的工作,某天醒來後發現了一些壞消息。
過去幾個月裏,Weintraub 和他在芝加哥大學的兩個同學一直在开發一個名爲 Beanstalk 的軟件平台,該平台提供一種穩定幣,即固定價值爲1美元的加密貨幣。令他們驚訝的是,Beanstalk 一夜之間引起了轟動,吸引了加密貨幣投機者,他們將其視爲對 DeFi 實驗領域的激動人心的貢獻。
今年4月,一名黑客利用 Beanstalk 設計中的一個缺陷從用戶那裏竊取了超過1.8億美元,這是今年針對 DeFi 項目的一系列盜竊案之一。
黑客入侵的那天早上,24歲的 Weintraub 正在新澤西州過逾越節(Passover),他匆忙走進父母的臥室。“醒醒”,他說,“Beanstalk 完了”。
多年來,黑客一直在威脅加密行業,從在线錢包中竊取比特幣,並攻擊投資者买賣數字貨幣的交易所。但像 Beanstalk 這樣的 DeFi 初創項目的迅速爆紅帶來了一種新型的威脅。
這些監管松散的項目允許人們在沒有銀行或經紀人的情況下借貸和進行其他交易,依賴於由代碼管理的系統。使用 DeFi 軟件,投資者可以在不透露身份甚至不需要信用檢查的情況下獲得貸款。
隨着去年市場的飆升,新興行業被譽爲金融的未來,它是華爾街的民主替代品,可以讓散戶交易者賺取更多的錢。加密用戶將大約1 000億美元的虛擬貨幣委托給了數百個 DeFi 項目。
但有些軟件是建立在錯誤代碼之上的。根據加密跟蹤公司 Chainalysis 的數據,今年上半年已有22億美元的加密貨幣從 DeFi 項目中被盜,使整個行業步入黑客損失最嚴重的一年。
許多盜竊案源於爲 DeFi 提供動力的計算機程序(稱爲“智能合約”)的缺陷。這些程序通常是倉促开發的。而且由於智能合約使用开源代碼,提供了一個可公开查看的軟件庫,黑客能夠策劃對數字基礎設施本身的攻擊,而不是簡單地滲透某人的账戶,這是搶劫個人和清空整個銀行金庫的區別。
Chainalysis 調查副總裁 Erin Plante 表示:“DeFi 爲黑客引入了一個全新的平台,使他們能夠訪問平台。”“這給加密市場帶來了很大壓力,並限制了可能的創新。”
在加密行業的嚴峻時期,這些違規行爲動搖了人們對 DeFi 的信心。
今年春天一場“史詩”般的崩盤抹去了近1萬億美元,並迫使幾家知名公司破產。8月,黑客利用編碼問題從一家名爲 Nomad 的公司盜取了1.9億美元。上周,加密公司 Wintermute 表示其 DeFi 部門遭到黑客攻擊,導致損失1.6億美元。
跟蹤被盜加密貨幣的移動非常簡單。交易記錄在稱爲區塊鏈的公共分類账上,任何人都可以對其進行分析以找到蹤跡,但要重新獲得損失的資金要困難得多。
黑客攻擊不得不使許多 DeFi 初創公司探索預防措施,招募審計人員檢查他們的代碼是否存在漏洞。即使其他類型的加密公司在經濟低迷時期削減成本,安全和審計公司的業務也出現了大幅增長。
“今年對攻擊者來說是個好年頭”,進行代碼審計的 ConsenSys Diligence 創始人 Goncalo Sa 說,“這絕對在人們的腦海中根深蒂固,安全是他們應該認真對待的事情。”
從加密貨幣誕生之日起,公司就一直在努力解決安全問題。2014年,第一家主要的比特幣交易所 Mt.Gox 在一次破壞性攻擊中遭到破壞,最終導致該公司破產並損失了數十億美元的數字貨幣。
當時,這個行業規模相對較小且不復雜。現在,黑客可以攻擊更廣泛的生態系統,包括基於加密的視頻遊戲、去中心化借貸項目和新奇代幣的實驗經濟。去年,一名黑客從 DeFi 平台 Poly Network 竊取了6億美元;在與項目負責人協商後,黑客最終歸還了這筆錢。
今年的黑客攻擊造成的損失要大得多。3月,一個由朝鮮政府贊助的團體從 Ronin Network 竊取了6.2億美元的數字貨幣,Ronin Network 是一個爲視頻遊戲 Axie Infinity 提供支持的 DeFi 平台。大約在同一時間,一名黑客利用DeFi 項目 Wormhole 中的軟件漏洞卷走3.2億美元。
前 F.B.I.特工、網絡安全公司 NAXO 代理人Chris Tarbell 說:“許多人正在湧入具有已知漏洞的平台,在目標豐富的環境中,犯罪分子會投機取巧。”
Wormhole 黑客利用了一種新的加密技術元素中的漏洞,稱爲跨鏈橋,它允許投資者在建立在不同區塊鏈上的數字貨幣之間來回切換。一些 DeFi 平台促進了這些轉換,以幫助人們利用交易機會;例如,擁有大量以太坊的交易者可能希望在另一種區塊鏈上使用應用程序,而不必出售以太坊來購买另一種代幣。
流經這些跨鏈橋的大量加密貨幣使它們成爲有價值的目標。據 Chainalysis 稱,今年共有10起黑客攻擊涉及跨鏈項目,導致13億美元的損失。
加密安全公司 Halborn 創始人 Steve Walbroehl 說,這項技術“非常復雜,復雜性是安全的敵人”。
Beanstalk 並不是作爲跨鏈橋而建的,但它的代碼中還有其他漏洞。該項目的內部運作幾乎可笑地晦澀難懂。一份概述其機制的白皮書由61頁圖片、表格和數學方程式(以及亞歷山大·漢密爾頓信件中的引述)組成。
“從1個種下的 Bean 長出的 Pods 數量取決於播種時的溫度—Beanstalk 原生利率 ”,該平台指南中的一篇文章被稱爲“農民年鑑”。
從本質上講,Beanstalk 允許人們將數千萬美元的虛擬貨幣存入軟件系統,從而產生利息並幫助維持稱爲 Bean 的穩定幣的價值。
該項目並非傳統的初創公司。像許多加密貨幣創始人一樣,Weintraub 和他的合作者——25 歲的Brendan Sanderson 和 24 歲的Michael Montoya——對他們的身份保密,自稱爲 Publius,這是對《聯邦黨人文集》作者的敬意。
當該軟件於2021年8月發布時,存入加密貨幣的用戶在去中心化自治組織(DAO)中投票同意對軟件進行更改。
Beanstalk 的集體治理最終導致了它的毀滅。4月,一名黑客從另一個 DeFi 項目 Aave 借了10億美元的加密貨幣。這筆交易是所謂的閃電貸——一個閃電般的過程,在這個過程中,加密用戶在不提供任何抵押品的情況下借入資金,進行交易,然後立即償還貸款,保留從一系列近乎同時的交易中產生的所有利潤。
Weintraub 和他的合作夥伴設計的代碼沒有阻止某人使用閃電貸款接管平台的機制。因此,黑客利用這10億美元獲得了 Beanstalk DAO 的巨額股份,完全控制了軟件的治理。然後,黑客將每個人的資金——總計近2億美元——轉移出 Beanstalk 系統。
恐慌隨之而來。“我今天損失了100萬美元,都是 Bean 代幣”,一位 Beanstalk 用戶在 YouTube 上宣稱。
一些用戶懷疑 Weintraub 和其他創始人是這次攻擊的幕後黑手——這是一個典型的“Rug Pull”,即一群开發人員帶着投資者的資金跑路。Weintraub 說:“這感覺就像死了一樣。”
最終,他和其他創始人決定繼續這個項目。他們向聯邦調查局報告了盜竊案。並與 Beanstalk 愛好者通電話以尋找前進的道路。
在聊天論壇 Discord 四月份的帖子中,他們還首次透露了自己的身份。這是一個冒險的舉動:盡管該項目不是傳統業務,但它們可能容易受到用戶訴訟或監管審查的影響。
在過去的幾個月裏,Beanstalk DAO 一直在努力重啓該項目,招募區塊鏈分析公司來幫助追蹤丟失的加密貨幣。該組織還聘請了安全公司 Halborn,該公司正在審查代碼以消除任何漏洞。Beanstalk 上個月正式重新开放。
這種卷土重來的努力在加密領域中越來越普遍。“我們一直對社區如此透明,這是一個實驗”,Weintraub 說, “我們都在一起解決這個問題並不斷進步”。
被盜資金仍然下落不明。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:半年超20億美元被竊取 加密世界面臨“信任危機”?
地址:https://www.100economy.com/article/7628.html