1
+
36,206
微信扫码分享

DeFi安全事故频发,BSC如何一扫阴霾?

Jun 7, 2021 8:13:28 PM
比得潘
+关注

BSC生态繁荣持续加码,DeFi+NFT成为6月新期待。

刚刚过去的5月,整个加密市场都笼罩在“阴霾”中。比特币一度跌至3万美元大关,相比此前的高点腰斩过半,各类代币也应声下跌,作为此轮牛市的“先锋队”DeFi项目们也集体受挫。
 
从锁仓数据来看,6月6日,Debank数据显示,以太坊公链上的DeFi总锁仓量为866.6亿美元,相较5月11日的最高锁仓量1323.3亿美元已跌去35%。BSC 链上生态也没能幸免,Defistation数据显示其链上锁仓量下降到了266.6亿美元,相比5月10日536亿美元的锁仓量最高峰减少了50%,除了近期市场的整体下滑,BSC链上接连发生的安全事故也是让用户对BSC的DeFi项目信心大受打击。
 
经过了一系列的DeFi安全事件后,BSC 采取了哪些应对措施,加上逐渐回血的NFT市场和即将上线币安力推的NFT交易平台,BSC 能否一扫5月的阴霾。
 
01 DeFi闪电贷攻击频发,BSC“背锅”

6月5日,安全机构PeckShield派盾预警显示,BSC 链上首个自动做市商BurgerSwap再次遭到闪电贷攻击,而这距离上次的攻击才过去一周。5月28日,BurgerSwap 就曾首次遭到闪电贷攻击,攻击中被盗走价值700万美元的4400枚WBNB、140万枚USDT、43.2万枚BURGER等代币。随后官方发布了补偿计划,空投新代币cBURGER给符合条件的用户。时隔一周,BSC 链上同一个项目连续被黑,且都是遭到闪电贷攻击。
 
不只是BurgerSwap,PANews据公开数据统计,在5月BSC链上Spartan Protocol PancakeBunny Bogged Finance AutoSharkJulSwapBelt Finance等多个项目也都不同程度地遭到了闪电贷的攻击,并且损失金额占到BSC链上当月所有安全事件资产损失的35%。
 
了解DeFi的用户都知道,闪电贷其实本不是一个作恶的工具,而是一项创新,是一种无抵押、无担保的贷款方式。借款人需要在区块链交易结束前偿还贷款和利息,如果没有偿还,交易将不会被打包进入区块,借的资金也会原路退回,那么该贷款就像从未发生过一样,闪电贷利用了区块链的特性来实现传统金融中做不到的事情。



对于提供闪电贷的平台来说,如Uniswap、Pancakeswap,只是借出了资金并收回资金加利息,中间资金被拿去做什么平台不会干涉。由于贷款的智能合约必须在其出借的同一笔交易中完成,因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。
 
任何人都可以发起闪电贷交易,只要策略在当下的时间可以用,就可以发起闪电贷。发起人的成本包括gas费用、交易费用、滑点等,只要能抓住项目方的漏洞,攻击者在很短的时间内提供大量资金,这些资金可以作为利用代码漏洞的攻击成本,或者操纵定价来从套利的过程中获利
 
对于近来频发的闪电贷攻击事件,BSC 官方表示,已被一个有组织的黑客团队所盯上。并呼吁链上所有 DApp 防范风险,建议链上项目与审计公司合作进行健康检查,如果是分叉项目,需反复检查相对原始版本进行的更改;并需要采取必要的风险控制措施,实时主动监控异常情况,一旦出现异常及时暂停协议;同时项目方还应制定应急计划,以防出现最坏的情况,如果条件允许可设定漏洞赏金计划。
 
由于几起DeFi安全事故都发生在BSC上,也引发了一些用户对BSC的质疑,甚至有人认为这是BSC的安全漏洞。
 
币安业务与生态系统开发协调员Samy Karim也作出了回应:“BSC是一个公共的无许可基础设施,任何人都可以在上面部署项目,包括恶意参与者和黑客,DeFi漏洞并不新鲜,也绝对不是BSC独有的。” 
 
一直以来,BSC还未发生过安全事故或黑客攻击事件,因一些dApps遭到攻击,很难表示BSC就不安全。除BSC之外,其他公链上或多或少都会遭遇到黑客攻击,也无法因公链上的个别项目,就直接否定掉整条公链。并且,dApps的发展尚处于行业初期,还需要技术、产品以及安全方面的不断迭代更新。
 
实际上,因着币安智能链DeFi生态的丰富,所以遭到攻击的频率也越来越高,在某种程度上,BSC与去年的以太坊很类似。据PeckShield 派盾2020年安全事件统计,全年以太坊上DeFi安全事故达到60 起,损失逾 2.5 亿美元,远超 2019 年数据。并且闪电贷攻击同样是重灾区,其次才是重入攻击等。

02 黑客攻击因BSC生态繁荣有利可图
 
目前BSC生态繁荣,有利可图,于是成为黑客重点攻击的对象。
 
其实早在2019年,币安就推出了第一条公链币安链(Binance Chain),币安链同样具有高吞吐量的特点,但缺乏虚拟机和智能合约的支持,因此主要用于操作Binance DEX和其他一些原生DApps。
 
而在2020年推出的币安智能链BSC则与Ethereum虚拟机(EVM)兼容,并支持智能合约。开发者可以很容易地将以太坊上的DApp迁移到BSC上,只需进行最低限度的配置,避免了以太坊链上高额的交易费用。
 
今年以来,BSC得到了长足的发展,从链上项目生态用户总数用户活跃度方面,都优势渐显。根据bscproject的数据,截至6月6日,BSC生态涵盖DeFi、NFT、工具和基础设施等诸多领域,拥有637个项目,链上地址数高达76,468,636个;当天日交易数上,BSC上达到了4447,832笔,为以太坊的392%,以太坊仅为1134,526笔。此外,CryptoDep数据显示,过去30天用户最活跃的10个dapp 就有9个部署在BSC



BSC能快速崛起离不开低廉的GAS费和较快的转账速度,能够较大程度提升用户的使用体验。而在区块链行业,高性能、低费用的公链其实很多,BSC不仅具有这些特性,更在于背靠币安的大力扶持和以此带来的财富效应,就连FTX创始人SBF在BSC上就拥有了接近20亿美元的DeFi资产。
 


在DeFi方面,BSC链上锁仓量占比曾高达26%,目前为18.6%,DEX 24小时交易量上,BSC生态项目PancakeSwap早已超过了Uniswap、SushiSwap等以太坊头部DEX,并且其5月成交量达1564.8亿美元,占据DEX总交易量的49%。即便跳出BSC生态,PancakeSwap的地位也难以撼动。

BSC生态越繁荣,其链上资产集聚的马太效应就越强,当数百个拥有数百万用户的项目涌进来,就极易成为黑客和诈骗者的攻击目标。不过或许与以太坊上的生态项目发展经历一样,或许项目经历了这个安全漏洞的过程后会更加稳健,BSC生态也将更加枝繁叶茂。

03 把好安全防线,项目需掌控“乐高组合”的内在逻辑

BSC链上频繁出现的闪电贷攻击事件,让社区一度看到闪电贷这个词就将它与负面相连,对于在BSC链上开发也或将望而却步。
 
实际上,PeckShield认为近期接连出现的闪电贷攻击事件部分源于很多项目自身没有理解业务的逻辑,就复制一个项目的代码,然后稍加调整就匆忙上线。例如BSC上遭到闪电贷攻击的BurgerSwap和JulSwap,是复制的 Uniswap的代码,AutoShark 和 Merlin Labs 两个聚合器协议则是复制的PancakeBunny的代码。
 
PeckShield则建议,新合约上线前要进行审计,需要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,同时要设计⼀定的风控熔断机制,引⼊第三⽅安全公司的威胁感知情报和数据态势情报服务,完善防御系统。
 
所有 DeFi 协议都存在变数,即使⼀个协议进行了多次审计,⼀个小的更新也会使审计变得无用,因此即使⼀个小的更新都要重新进行审计。
 
此外,对于BSC自身的安全性能,开发者或许并不用过多担心。据官方介绍,BSC的安全主要来源于两方面。一个是代码、节点,以及区块链本身的安全性另一个则是生态系统的安全性
 
BSC运行的是开源代码,可以由第三方和公众进行审计。在开源代码的情况下,任何人具有相当的技术知识,都可以对代码进行审查,并评估可能的漏洞和威胁。BSC网络及其节点,则是由21个选出的验证节点组成,使用的是PoSA算法,避免了个别验证节点网络控制权过大和滥用权力等问题。



BSC生态系统则由多个部分以及多种参与者组成,每一个组成部分也会面临不同的威胁。例如代码、算法、验证节点及其硬件,以及在BSC上进行开发的项目,和使用这些项目的个人用户等。
 
目前BSC社区也在进一步增强生态系统的安全性,并保护用户资金和数据安全。此外,BSC核心团队表示已联合行业内领先的安全公司成立了加密资产安全联盟(CryptoSafe Alliance),进行一系列安全主题培训;同时在筹划BSC CryptoSafe社区白帽赏金计划还将加深与业内安全企业的合作,为早期识别安全问题提供更多积极的渗透性测试;并建立BSC SAFU基金或保险协议,以推出更好的基础设施与服务。
 
04 生态繁荣持续加码,DeFi+NFT成为6月新期待
 
安全警钟长鸣的同时,生态建设还需要继续加强,如今,NFT成为BSC生态上除DeFi外新的焦点。
 
其实早在去年,币安就对NFT进行了布局。在DeFi热度还高居不下时,币安首先上线了NFT相关代币,然后和BSC对用户进行了NFT空投,如圣诞进行了DEGO、Alpaca City、BCA、BakerySwap和Bounce 的NFT空投、“BSC 农民节”进行了盲盒空投等。而BSC除了面向艺术家、创作者和加密创意人士合作外,还将NFT结合到了慈善事业,并启动了一系列NFT志愿者激励计划。
 
NFT方面,BakerySwap也收获了许多亮眼的成绩,其NFT平台现已铸造98681枚NFT,交易数量超36.5万笔,交易金额高达6.25亿美金。此外,BSC还在进一步专注于NFT和DeFi的创新应用,最近以“NFT大爆炸”为主题的最有价值开发者第二轮计划(MVB II)正在如火如荼地进行中。
 
在6月,币安旗下NFT交易平台Marketplace将于24日上线,届时将同时部署在BSC和以太坊上。据了解,该平台与全英音乐奖得主 Lewis Capaldi、视觉艺术家 Trevor Jones,、电竞团队 eStarPro 、球星欧文 和 Alphonso Davies 等多位知名人士合作,将首发他们的NFT作品。



随着安全被各方愈加地重视,BSC链上DeFi攻击事件接下来或将有所改观。整个加密市场在蛰伏了一段时间利空逐渐出尽后,加上逐渐回血的NFT市场和交易所们力推的NFT交易平台接连上线,加密市场以及BSC 或将一扫此前的阴霾,用户也将感受NFT与DeFi结合的魅力。
 




比得潘
+关注
评论

精选专题

7,587,893人看过
313篇文章
PAData
数据解析、可视化报道行业热点
598,322人看过
132篇文章
PA报告
深入分析当 前趋势,提供全方位深度洞察
961,164人看过
35篇文章
产业区块链
产业区块链
1,964,250人看过
149篇文章
国家区块链平台BSN
国家区块链平台BSN
版权申明
1、本网(www.PANewsLab.com)所有内容,凡注明"来源:PANews"的所有文字、图片和音视频资料,版权均属PANews所有,任何媒体、网站或个人在转载本站内容时必须注明"稿件来源:PANews",违者本网将依法追究责任。
凡本网注明"来源:XXX(非PANews) "的文/图等稿件,本网转载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。
2、除注明"来源:PANews"的内容外,本网以下内容亦不可任意转载:(a) 本网所指向的非本网内容的相关链接内容;
(b) 已作出不得转载或未经许可不得转载声明的内容;
(c) 未由本网署名或本网引用、转载的他人作品等非本网版权内容;
(d) 本网中特有的图形、标志、页面风格、编排方式、程序等;
(e) 本网中必须具有特别授权或具有注册用户资格方可知晓的内容;
(f) 其他法律不允许或本网认为不适合转载的内容。
3、转载或引用本网内容必须是以新闻性或资料性公共免费信息为使用目的的合理、善意引用,不得对本网内容原意进行曲解、修改,同时必须保留本网注明的"稿件来源",并自负版权等法律责任。
4、转载或引用本网内容不得进行如下活动:
(a) 损害本网或他人利益;
(b) 任何违法行为;
(c) 任何可能破坏公秩良俗的行为;
(d) 擅自同意他人继续转载、引用本网内容;
5、转载或引用本网版权所有之内容须注明“转自PANews”字样,并标明本网网址www.PANewsLab.com
(a) 转载或引用本网中的署名文章,请按规定向作者支付稿酬。
(b) 对于不当转载或引用本网内容而引起的民事纷争、行政处理或其他损失,本网不承担责任。
(c) 本网以“法定许可”方式使用作品,已与知识产权所有者签署合作协议并支付报酬。如有未尽事宜请相关权利人直接与本网媒体合作部联系,联系邮箱:info@panony.com
(d) 对不遵守本声明或其他违法、恶意使用本网内容者,本网保留追究其法律责任的权利。
我知道了
用户协议
欢迎您使用PANews软件及相关服务!
用户在接受PANews服务之前,请务必仔细阅读本条款并同意本声明。
用户直接或通过各类方式(如站外API引用等)间接使用PANews服务和数据的行为,都将被视作已无条件接受本声明所涉全部内容;若用户对本声明的任何条款有异议,请停止使用PANews所提供的全部服务。

隐私政策
本应用尊重并保护所有使用服务用户的个人隐私权。为了给您提供更准确、更有个性化的服务,本应用会按照本隐私权政策的规定使用和披露您的个人信息。但本应用将以高度的勤勉、审慎义务对待这些信息。除本隐私权政策另有规定外,在未征得您事先许可的情况下,本应用不会将这些信息对外披露或向第三方提供。本应用会不时更新本隐私权政策。 您在同意本应用服务使用协议之时,即视为您已经同意本隐私权政策全部内容。本隐私权政策属于本应用服务使用协议不可分割的一部分。

适用范围
(a) 在您注册本应用帐号时,您根据本应用要求提供的个人注册信息;
(b) 在您使用本应用网络服务,或访问本应用平台网页时,本应用自动接收并记录的您的浏览器和计算机上的信息,包括但不限于您的IP地址、浏览器的类型、使用的语言、访问日期和时间、软硬件特征信息及您需求的网页记录等数据;
(c) 本应用通过合法途径从商业伙伴处取得的用户个人数据。

您了解并同意,以下信息不适用本隐私权政策:
(a) 您在使用本应用平台提供的搜索服务时输入的关键字信息;
(b) 本应用收集到的您在本应用发布的有关信息数据,包括但不限于参与活动、成交信息及评价详情;
(c) 违反法律规定或违反本应用规则行为及本应用已对您采取的措施。

信息使用
(a) 本应用不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息,除非事先得到您的许可,或该第三方和本应用(含本应用关联公司)单独或共同为您提供服务,且在该服务结束后,其将被禁止访问包括其以前能够访问的所有这些资料。
(b) 本应用亦不允许任何第三方以任何手段收集、编辑、出售或者无偿传播您的个人信息。任何本应用平台用户如从事上述活动,一经发现,本应用有权立即终止与该用户的服务协议。
(c) 为服务用户的目的,本应用可能通过使用您的个人信息,向您提供您感兴趣的信息,包括但不限于向您发出产品和服务信息,或者与本应用合作伙伴共享信息以便他们向您发送有关其产品和服务的信息(后者需要您的事先同意)。

信息披露 在如下情况下,本应用将依据您的个人意愿或法律的规定全部或部分的披露您的个人信息:
(a) 经您事先同意,向第三方披露; (b) 为提供您所要求的产品和服务,而必须和第三方分享您的个人信息;
(c) 根据法律的有关规定,或者行政或司法机构的要求,向第三方或者行政、司法机构披露;
(d) 如您出现违反中国有关法律、法规或者本应用服务协议或相关规则的情况,需要向第三方披露;
(e) 如您是适格的知识产权投诉人并已提起投诉,应被投诉人要求,向被投诉人披露,以便双方处理可能的权利纠纷;
(f) 在本应用平台上创建的某一交易中,如交易任何一方履行或部分履行了交易义务并提出信息披露请求的,本应用有权决定向该用户提供其交易对方的联络方式等必要信息,以促成交易的完成或纠纷的解决。
(g) 其它本应用根据法律、法规或者网站政策认为合适的披露。信息存储和交换本应用收集的有关您的信息和资料将保存在本应用及(或)其关联公司的服务器上,这些信息和资料可能传送至您所在国家、地区或本应用收集信息和资料所在地的境外并在境外被访问、存储和展示。

Cookie的使用
(a) 在您未拒绝接受cookies的情况下,本应用会在您的计算机上设定或取用cookies ,以便您能登录或使用依赖于cookies的本应用平台服务或功能。本应用使用cookies可为您提供更加周到的个性化服务,包括推广服务。
(b) 您有权选择接受或拒绝接受cookies。您可以通过修改浏览器设置的方式拒绝接受cookies。但如果您选择拒绝接受cookies,则您可能无法登录或使用依赖于cookies的本应用网络服务或功能。
(c) 通过本应用所设cookies所取得的有关信息,将适用本政策。

信息安全
(a) 本应用帐号均有安全保护功能,请妥善保管您的用户名及密码信息。本应用将通过对用户密码进行加密等安全措施确保您的信息不丢失,不被滥用和变造。尽管有前述安全措施,但同时也请您注意在信息网络上不存在“完善的安全措施”。
(b) 在使用本应用网络服务进行网上交易时,您不可避免的要向交易对方或潜在的交易对本隐私政策的更改。
(c) 如果决定更改隐私政策,我们会在本政策中、本公司网站中以及我们认为适当的位置发布这些更改,以便您了解我们如何收集、使用您的个人信息,哪些人可以访问这些信息,以及在什么情况下我们会透露这些信息。
(d) 本公司保留随时修改本政策的权利,因此请经常查看。如对本政策作出重大更改,本公司会通过网站通知的形式告知。请您妥善保护自己的个人信息,仅在必要的情形下向他人提供。如您发现自己的个人信息泄密,尤其是本应用用户名及密码发生泄露,请您立即联络本应用客服,以便本应用采取相应措施。
不同意
同意
免密码登录
密码登录
社交账号登录