美国联邦调查局(fbi)周一(8/29)警告,黑客越来越爱开采去中心化金融(defi)平台上的智能合约安全漏洞,以窃取加密货币,进而造成投资人金钱上的损失。
智能合约是基于买卖双方的协议,直接写入既有的去中心化区块链网络,而且会自动执行,随着投资人对加密货币的兴趣渐增,再加上defi平台的开源属性与复杂的跨链功能,都让defi日益成为黑客的目标。
fbi引用区块链分析企业chainalysis的数据指出,今年1月到3月间,黑客总计盗走了价值13亿美元的加密货币,其中便有接近97%与defi平台有关,比去年增加了72%。
而根据fbi的观察,黑客针对defi平台上的智能合约发动了闪电贷(flash loan)攻击,造成投资人与该项目的开发者损失300万美元;或者是开采了一个defi平台上代币桥的签名认证漏洞,盗走了该平台上的所有加密货币,导致高达3.2亿美元的损失;以及操纵加密货币的价格再辅以开采一系列的安全漏洞,盗走了价值3,500万美元的加密货币。
fbi提醒,投资总是伴随着风险,投资人有任何疑问时,都应咨询有执照的财经顾问的意见,也应采取各种预防措施,涵盖在投资前应研究各种defi平台、协议与智能合约;确保所使用的defi平台已由独立机构进行至少一次的程序代码审核;小心那些众包金沙软件免费下载的解决方案所找出与修补的安全漏洞,因为开源允许所有人访问,包括那些心怀不轨的人。
fbi也建议defi平台应执行即时的程序代码分析、监控与严格的测试,并拟定意外回应计划。