过去四年里(2018 ~ 2022),基于区块链的分布式金融(DeFi)行业融资额达到 2530 亿美金,而因为攻击造成的损失超过了 30 亿美金。这虽然低于传统金融体系的损失,仍给金融科技学人们敲响了警钟,分布式金融在多层次复杂攻击面前也并非银弹。
伦敦帝国理工学院、慕尼黑工业大学大学、澳门大学、瑞士理工大学、加州伯克利大学等合作的论文《SoK: Decentralized Finance (DeFi) Attacks Liyi》分析了 77 篇论文、30 份审计报告、181 起事件,得出了一些有趣的分析。
首先,从体系结构上,攻击涉及到四层,由上往下分别为:
- 协议层:实现分布式场景的应用、数字货币、交换服务等;
- 智能合约层:实现金融逻辑的代码、数据结构和执行环境;
- 共识层:共识算法(包括 PoW、PoS 等)、激励机制;
- 网络层:通信和网络协议,流量分析、数据传输等。
另外,链外还有辅助服务,包括客户端、操作层、Oracle 等。
几个统计结果:
- 攻击趋势在增大,2021 年 8 月最高,单月损失达到 6 亿美金。2020 年月均 3.1 次攻击,2022 年是 8.5 次;
- 攻击多发生在协议层(最多是稳定币和借贷应用)、智能合约层和辅助服务上;
- 学术界对各层的研究相对平均,包括网络和共识层。但是业界的审计报告,几乎都集中在智能合约,另有少量是辅助服务;
- 大部分攻击进行的并不快,而且可以通过协议层的暂停来防止。但事实上 87 个协议中,能在一小时内响应的只有 1 个;
- 提前审计能有效防止攻击。未审计协议中有 15.49% 被攻击,而审计过协议中只有 4.09%;
- 提前检测是比较有效的手段,大部分的合约漏洞是可以提前检测出来的。但是目前缺乏有效的协议层检测工具;
- 大部分进攻者由于使用了集中化交易和挖矿机制,导致其身份可以被追踪到。
从上面的统计结果可以看出,针对 DeFi 的攻防实际上和传统攻防是十分接近的。最常见的进攻往往在技术上并不是很复杂,可以在早期识别并有效阻止,但是目前还缺乏系统的检测工具。另外,学界和业界的关注侧重点有所不同。