背靠币安这座大山并作为以太坊的“二层网络”,BSC 上的新项目虽然蓬勃发展,资金体量不断飙升,但一些项目却没有“敬畏心”,在黑客面前成了“人傻钱多”的优质攻击目标。
不少项目简单 Fork 以太坊生态协议的代码,肆意的组合不同协议,在他人的代码上进行微创新,或是本就没有长期做项目的“初心”。
要知道,随着 DeFi 在协议的可组合性方面愈发丰富,如果没有完全理解原协议背后的逻辑,进行随意的组合或创新,过程中的排斥性就会出现,导致潜在的漏洞和风险,从而给予黑客可乘之机。
例如,PancakeBunny 遭到攻击后,Fork 其代码的 AutoShark、Merlin 接连遭受同源攻击。
而从攻击手法来看,攻击者并不需要太高的技术门槛,只要将同源漏洞在 Fork PancakeBunny 的 DeFi 协议上重复试验就能捞上可观的一笔。
相比以太坊上高昂的Gas费,黑客在BSC链上进行攻击的成本可能最多只需要几百美元。
值得注意的是,近几次在 BSC 链上发生的闪电贷攻击,攻击者在获利后,都通过 Nerve 协议(Anyswap)的跨链桥将所获资产快速转移到以太坊上并将资产重新投到DeFi的流动性挖矿中。DeFi 领域的技术创新也衍出新型洗钱方式,对于反洗钱提出了新的挑战。
不过,跟闪电贷一样,跨链桥本身也是一种金融创新,它并不是恶意的洗钱工具,它打破了各类加密资产的流通存在的壁垒,协助资产自由流动以及公链之间自由交互,进而使得 DeFi 能够向纵深发展。
三、部分无良项目方监守自盗
频频发生的黑客攻击事件给 BSC 生态亮起了警示灯,毕竟没有玩家愿意将自己的资金放在那些有漏洞的项目上,区块链世界也是用脚投票。
根据 The Block 数据显示,因为黑客攻击事件,BSC 已有部分锁仓资金回流至以太坊,总锁仓量回落至 20 亿美元。
面对最近这样一系列困局,十分值得我们反思,到底如何做才能尽量避免出现这种安全问题。
对于项目开发团队而言,需要提安全意识,不能只是简单的复制其他协议的代码,务必查逻辑,排除可能的漏洞,或寻求专业代码审计团队的帮助。
新合约上线之前除了要进全专业的智能合约安全审计,排查已知的各类漏洞外,还要注意排查与其他DeFi产品进组合时的业务逻辑漏洞,避免出现跨合约等逻辑兼容性漏洞。
另外,还需要引入一定的风控熔断机制,比如第三方安全公司的威胁感知情报和数据态势情报服务等,做到第一时间响应安全风险,及时排查封堵安全攻击。
在攻击事件发时,应联动各方力量,搭建套完善的资产追踪机制,事后需做到查缺补漏,完善防御系统。
而投资者本身,也需要学习最基本的DeFi常识,能够对于市场上的新项目做出辨别,切莫在一问三不知的情况下一头冲进新矿,殊不知你图它的利息,它却有可能图你的本金。
实际上,区块链这一行业诞生至今也不过12年的时间,与市面上很多发展成熟的行业相比,还非常的早期,行业底层基础设施仍然不够完善,行业发展规则和标准不清晰,各界监管框架也十分模糊。
因此,不光是 DeFi 协议的安全事件频发,随着各种应用落地,区块链数字资产引发的安全问题总体呈上升趋势,加密资产犯罪五花八门,盗币、诈骗、洗钱等案件频发,各种原因造成的“黑天鹅”事件也层出不穷。
而这更加需要区块链各界同仁一起重视这些问题,项目方自身首先应把握正确的发展方向,不搞短视、捞快钱、诈骗等损害区块链行业发展的事,向外界树立区块链行业的正面形象,努力将区块链行业早日推上正轨;广大投资者和用户则应该不断学习提升自身对于行业的认知,积极探索实践,不仅有能力做到辨别骗局、保护好个人资产安全,更能通过个人的学习和实践通过这一行业,抓住未来数字经济时代的新机遇,获得成功。
总之,无论在这个行业中发生了如何耸人听闻的故事,区块链的机遇仍然还在,风险与机遇永远并存,当你还在害怕市场反复收割、DeFi项目安全事故频发,犹犹豫豫的时候,已经一批人已经悄然走向了新时代的光明之路。