那些常見的DeFi黑客攻擊和漏洞利用類型

​高風險、高回報是對加密圈的投資收益最準確的概括，但風險除了行情變化外，資產的安全風險也需要注意。

尤其是在DeFi的領域內，相較投資回報風險，DeFi更容易遭到黑客的攻擊，從而導致個人的財產收到損失。關於DeFi的風險點，最常被黑客攻擊和漏洞有哪些？

1. Rug Pull

「Rug pull」已成為整個DeFi圈中的常用術語，現在多被用於指許多類型的黑客和漏洞利用，實際上指的是突然從流動性池子中移走大部分流動性的一種特定技術。

流動性的突然損失可能會造成代幣的死亡螺旋，因為代幣持有者會試圖盡快出售手中的代幣，從而避免造成更多的損失。

Rug pull通常是惡意團隊進行攻擊的最後一步，也是一種常見的「退出騙局（exit exam）」形式，即當團隊試圖帶著資金逃跑時，協議會刪除他們之前所有的社交媒體痕跡。

由於這類型攻擊在技術上實施起來非常簡單，它通常是低投入項目快速獲取現金的首選技術，但並不意味按照這種方式所獲取的利潤很低，目前已經有幾起主要的惡意攻擊導致用戶損失了數百萬美元。

如Meerkat Finance，該項目在運營了一天之後，就獲得了1300萬BUSD和7.3萬BNB的收益，當時的總收益約為3100萬美元。

如果一個項目使用了一個大的流動資金池子，那麼該項目團隊就不應該具有檢索這些資產的能力。若項目團隊這樣做了，那麼相當於你把自己的信任完全交給了項目團隊。

而Meerkat Finance一開始並沒有這個能力，在攻擊前不久，Meerkat Finance的部署者「升級」該團隊的2個Vaults，並且給他們自己進入Vault留了後門。

怎樣避免被Rug pull？

個人可以檢查該項目的流動性如何鎖定、是否有時間鎖，以及有多重簽名？

項目的背景調查、項目支持方，以及項目的規劃（白皮書）之類的。

尤其是團隊成員的熟悉度這方面，如果是熟悉的，是否能在網上獲取到相關信息的。現在網上證明個人身份變得愈加困難，因此有不少團伙也會採用一些方式建立他人對項目的信任，從而獲取投資者的資產。

從另一個角度來看，如果你找不到任何關於項目方相關人員的信息，團隊信息匿名不一定是一件壞事，比如比特幣的創始人至今仍是匿名的。

2. 閃電貸

近期發生的DeFi黑客事件，大部分都和閃電貸有關係，比如八月時Poly Network被盜取6.1億美元的事件。

也因此，閃電貸給大部分人的印像是負面多於正面。

目前閃電貸交易適用於擁有大賬戶的鯨魚用戶，閃電貸本身並不是一種惡意工具，它們可在很短的時間內提供大量資金。這些資金可被用來利用代碼的漏洞，或者操縱定價並從套利的過程中獲利。

閃電貸是一種無抵押、無擔保的貸款，它需在區塊鏈交易結束前償還；如果沒有償還，智能合約則會逆轉交易，那麼貸款就像從未發生過一樣。

由於貸款的智能合約必須在其出借的同一交易中完成，因此借款人必須使用其他智能合約從而幫助他在交易結束前與貸款資金進行即時交易。

大多數閃電貸攻擊都涉及使用大量資金操縱代幣價格。

以上面提到的Poly Network被盜取6.1億的事情來講，黑客通過在三條不同的鏈上發起攻擊，34分鐘損失了6.1億刀，也是目前歷史上被盜取最高的一次（雖然最後白帽已將全部盜取金額歸還）。

另外，閃速貸還可用於其他攻擊手段，如重入攻擊、搶先交易或套利。

3. 套利

套利是指利用不同市場之間的價格差異來產生利潤。套利的行為，在不成熟的市場是非常常見的，如DeFi和加密貨幣。隨著流動性的增加和市場效率的提高，套利機會因此逐漸減少。

如果一個池子被操縱（比如通過閃電貸）來為套利提供空間，也因此被認為是一種利用，因為流動性提供者最終可能會失去他們的資金，如Saddle Finance一樣。

儘管Saddle Finance項目方聲稱「已經解決了滑點的問題」，但在今年1月的運行過程中，至少有3個主要的套利行為在6分鐘內從早期的流動性提供者手中拿走了7.9枚比特幣（折合275735美元）。

儘管這只是套利行為，但用戶仍因此出現了資金損失。因為項目方無法保護他們免受套利者的傷害，而這些套利者只是在代碼的限制內進行買賣。

也因此引出了另外一個問題——DeFi中損失資金算是黑客攻擊，還是利用項目方的漏洞？

DeFi的存在對於加密圈而言，仍算是較新的概念，在整個行業內也是一個嘗試。這意味著漏洞經常出現在真實的代碼中，當這些漏洞被用來提現資金而不需要強制操縱任何東西時，我們或許最好稱之為「漏洞利用」。

這種方式適用於所有的黑客，因為他們只能使用已編寫的代碼進行操作。不管我們稱他們為黑客還是漏洞利用，最終的結果都是一樣的。如果存在漏洞，那麼最終會有人利用它們，而我們是幾乎無法阻止這種情況發生的。

關於DeFi資產的安全性問題，一直也是不少投資者關注和關心的，要說目前是否有可以避免的辦法，只能回答暫時沒有，一切都只能依靠小心駛得萬年船來回答。但也不排除以後會有可用的方法來改善這個問題，畢竟區塊鏈的發展和變化速度是平常想不到的迅速，說不定明天就有了！