DeFi chắc chắn có thể mang lại lợi ích đáng kể cho người dùng, nhưng an ninh tài chính là cốt lõi của sự tăng trưởng tài sản ổn định. Nhóm bảo mật Cobo đã phân loại các rủi ro bảo mật phổ biến trong tương tác DeFi và các biện pháp phòng ngừa bảo mật tương ứng, hy vọng truyền cảm hứng và hỗ trợ mọi người trong tương tác bảo mật DeFi trong thị trường tăng trưởng.
Kể từ khi DeFi Summer ra mắt vào năm 2019, ngày càng có nhiều giao thức tài chính phi tập trung (DeFi) sáng tạo xuất hiện, dẫn đầu là Ethereum. Protocol), điều này làm phong phú đáng kể tính sẵn có của tài sản trên chuỗi, cho phép người dùng blockchain sử dụng tốt hơn tài sản trên chuỗi để thực hiện các hoạt động tài chính đa dạng hơn và tạo ra lợi nhuận đáng kể. Nhưng với sự gia tăng ngày càng nhiều giao thức DeFi, các thách thức bảo mật cũng nảy sinh. Theo thống kê chưa đầy đủ, chỉ riêng năm 2023, thiệt hại tài sản do các cuộc tấn công blockchain gây ra đã lên tới 2,61 tỷ USD. Có thể thấy, trong quá trình tham gia giao thức DeFi, ngoài việc đánh giá kỳ vọng doanh thu tương ứng, không thể bỏ qua việc đánh giá tính bảo mật của giao thức, nếu không sẽ mang lại tổn thất lớn cho người dùng.
Nói chung, định nghĩa phổ biến hiện nay về đánh giá bảo mật giao thức là đánh giá bảo mật mã. Chiều hướng của định nghĩa này tương đối đơn lẻ. Vấn đề ở đây là, bản thân việc đánh giá chỉ xem xét tính bảo mật của giao thức trong quy trình tĩnh, trong khi trong quy trình tương tác DeFi, bảo mật thường động, bao gồm quản lý tài khoản, chuẩn bị trước khi tương tác giao thức, quản lý tài sản sau khi hoàn tất tương tác, giám sát dữ liệu và nhiều giai đoạn bao gồm cả tự cứu hộ sau khi mất tài sản trong những hoàn cảnh khắc nghiệt.
Là một người dùng sắp bước vào Làng người mới DeFi, làm cách nào bạn có thể tối đa hóa tính bảo mật cho số tiền của mình trong khi kiếm thu nhập? Nhóm bảo mật Cobo đã phân loại các rủi ro bảo mật phổ biến trong tương tác DeFi và các biện pháp phòng ngừa bảo mật tương ứng, hy vọng truyền cảm hứng và hỗ trợ mọi người trong tương tác bảo mật DeFi trong thị trường tăng trưởng.
Các rủi ro bảo mật thường gặp và các biện pháp phòng ngừa trong tương tác DeFi
1. Khóa riêng của tài khoản bị rò rỉ
Khóa riêng của tài khoản bị rò rỉ Đây là một trong những vấn đề mà người dùng mới dễ rơi vào. Do có rất nhiều loại ví trên thị trường, người dùng mới không có khả năng tự mình đánh giá tính bảo mật của ví. Nhiều người dùng mới làm quen sẽ tải xuống một số ví không an toàn và sử dụng chúng để tạo khóa riêng, khiến khóa riêng bị truyền ngược lại cho kẻ tấn công một cách ác ý, khiến khóa riêng bị rò rỉ. Nhiều người dùng có kinh nghiệm nhận thấy rằng tất cả tài sản của họ đã được chuyển từ tài khoản chính của họ vào một ngày nhất định, sau khi phân tích gần hết ngày, họ thấy rằng tất cả các hành vi đều bình thường. Trong hầu hết các trường hợp này, tài khoản đã sử dụng ví không an toàn để tạo khóa riêng của nó. Khóa riêng đã bị rò rỉ từ lâu.
Đồng thời, do hiệu ứng giàu có do airdrop blockchain gây ra, nhiều người dùng mới làm quen sẽ mù quáng nhấp vào một số cái gọi là trang web airdrop. Các trang web airdrop này đóng gói tự coi mình là trang web của dự án rất nghiêm túc và thông báo cho người dùng rằng có một số lượng lớn mã thông báo chưa được xác nhận. Bị thúc đẩy bởi lợi nhuận, nhiều người dùng mới làm quen sẽ bị các trang web xúi giục điền vào khóa riêng của tài khoản của họ, khiến khóa riêng bị rò rỉ.
Để ngăn chặn việc rò rỉ khóa riêng, người dùng cần thực hiện các biện pháp sau để ngăn chặn:
Sử dụng ví blockchain nổi tiếng và tải xuống ví từ trang web chính thức tương ứng. Người dùng đủ điều kiện được khuyến nghị sử dụng ví phần cứng.
Không bao giờ tiết lộ khóa riêng tư của bạn ở dạng văn bản thuần túy lên Internet và không tự ý tiết lộ thông tin riêng tư của bạn khóa Internet. Nhập khóa riêng của bạn vào bất kỳ trang web nào.
2. Rủi ro lừa đảo bằng chữ ký
Rủi ro lừa đảo chữ ký cũng giống như rò rỉ khóa riêng tư và chúng cũng là lĩnh vực bị ảnh hưởng nặng nề nhất đối với người dùng mới làm quen. Khác với việc trực tiếp yêu cầu người dùng điền khóa riêng của họ, kiểu tấn công lừa đảo này khiến người dùng thực hiện giao dịch hoặc chữ ký để nhận được ủy quyền cho các tài sản liên quan đến người dùng. Nó có tính che giấu cao, khó phân tích và khó phát hiện.
Thông thường, kẻ tấn công trước tiên sẽ dụ người dùng đến một trang web lừa đảo và cho phép người dùng bắt đầu chữ ký dưới danh nghĩa nhận airdrop, xác minh thông tin đăng nhập, v.v. Tại thời điểm này, người dùng duyệt Ví máy chủ sẽ nhắc người dùng hoàn thành chữ ký.
Có thể có nhiều loại giao dịch lừa đảo:
Loại truyền trực tiếp. Chuyển ETH trực tiếp hoặc thực hiện lệnh chuyển ERC20 để chuyển tài sản ví đến địa chỉ của kẻ tấn công.
Phê duyệt loại. Gọi phương thức Phê duyệt ERC20 để cấp phép cho ví của kẻ tấn công. Không có sự chuyển giao tài sản nào xảy ra khi người dùng ký. Tuy nhiên, ví của kẻ tấn công có thể chuyển tài sản của người dùng bằng cách gọi transferFrom.
Chữ ký tin nhắn EIP712. Chẳng hạn như phương thức Giấy phép ERC20; Ủy quyền Permit2; Chữ ký đơn đặt hàng đang chờ NFT, v.v. Những chữ ký như vậy thường được hiển thị trong ví dưới dạng dữ liệu Json hoặc dữ liệu cây được định dạng tốt. Sẽ không có giao dịch nào được bắt đầu khi người dùng ký và sẽ không có mức tiêu thụ gas. Tuy nhiên, kết quả chữ ký sẽ được trang web lừa đảo ghi lại và kẻ tấn công có thể sử dụng kết quả chữ ký để chuyển tài sản ERC20 hoặc NFT của nạn nhân.
Chữ ký băm gốc. Dữ liệu chữ ký là dữ liệu băm thập lục phân và nội dung chữ ký cụ thể không thể được suy ra từ chính dữ liệu chữ ký đó. Đằng sau hàm băm có thể là 1-3 loại dữ liệu trên. Chữ ký có thể dẫn đến mất tài sản. Tuy nhiên, các ví phổ thông hiện tại thường cấm phương thức chữ ký này hoặc đưa ra các cảnh báo rủi ro rõ ràng.
Trong những trường hợp gần đây, người ta nhận thấy rằng một số trang web lừa đảo sẽ yêu cầu người dùng đăng nhập nhiều lần liên tiếp và một vài chữ ký đầu tiên là chữ ký bình thường vô hại. Sau đó trộn vào một chữ ký độc hại. Sử dụng quán tính hoạt động của người dùng để thúc đẩy người dùng hoàn thành thao tác chữ ký.
Để ngăn chặn tổn thất tài chính do lừa đảo gây ra,cốt lõi là từ chối ký tên mù quáng. Xem xét cẩn thận từng chữ ký và từ chối ký các giao dịch có nội dung không chắc chắn. Cụ thể, bạn có thể chú ý những điều sau trong quá trình ký:
Xác nhận tương tác Trang web là trang web chính thức của dự án DeFi, hãy kiểm tra tên miền đầy đủ.
Kiểm tra các phương thức được gọi theo hợp đồng, tập trung vào các phương thức chuyển giao và phê duyệt.
Kiểm tra chuyển ETH đính kèm với giao dịch. Một số trang web lừa đảo sẽ cố gắng xây dựng các phương thức có vẻ an toàn (chẳng hạn như Xác nhận quyền sở hữu), nhưng thực tế sẽ bao gồm chuyển ETH khi gọi, gây mất mã thông báo gốc của chuỗi như ETH.
Không ký vào nội dung băm gốc.
3. Ngộ độc địa chỉ chuyển giao
< p style="text-align: left;">Ngộ độc địa chỉ chuyển là một phương thức tấn công tương đối mới gần đây. Phương thức tấn công là sử dụng địa chỉ giống như địa chỉ nhận được trong giao dịch khi người dùng bắt đầu chuyển (ERC20, mã thông báo gốc, v.v.). ) Các địa chỉ có địa chỉ giống nhau gửi cho người dùng một giao dịch có cùng số tiền hoặc một giao dịch có cùng số tiền nhưng token tương ứng là token giả.
Ví dụ:
Alice chuyển 1 ETH cho Bob dưới dạng tiền lương mỗi tháng. Charlie đã theo dõi giao dịch này và gửi 0,001 ETH cho Alice bằng địa chỉ tương tự như của Bob (8 chữ số đầu tiên và 8 chữ số cuối của địa chỉ giống nhau). Sau thao tác này, lần tiếp theo Alice chuyển tiền cho Bob, có thể sử dụng địa chỉ của Charlie làm địa chỉ nhận giao dịch. Nguyên nhân xảy ra hiện tượng này là do địa chỉ blockchain dài và không đều khiến người dùng khó ghi nhớ, dẫn đến nhiều khi người dùng sẽ sao chép địa chỉ trực tiếp từ bản ghi giao dịch cuối cùng để thuận tiện. Vì địa chỉ của Charlie và Bob rất giống nhau nên Alice rất khó phân biệt được họ, điều này cuối cùng dẫn đến mất tài sản.
Để ngăn địa chỉ chuyển bị nhiễm độc, người dùng có thể thực hiện các biện pháp phòng ngừa sau:
Kiểm tra địa chỉ chuyển khoản cho từng giao dịch và kiểm tra nội dung đầy đủ thay vì chỉ so sánh vài byte trước và sau.
Đặt các địa chỉ được sử dụng thường xuyên vào danh sách trắng địa chỉ (sổ địa chỉ) và đặt bí danh càng nhiều càng tốt Chỉ sử dụng địa chỉ trong sổ địa chỉ của bạn để chuyển.
Tránh sử dụng các kênh trên chuỗi (bao gồm trình duyệt blockchain, hồ sơ giao dịch ví, v.v.) Sao chép địa chỉ làm đích chuyển.
4. Ủy quyền quá mức cho mã thông báo
Ủy quyền mã thông báo gần như là bước đầu tiên trong tương tác DeFi. Khi thực hiện các hoạt động DeFi, do dữ liệu giao dịch được xây dựng thông qua trang web của dự án chứ không phải cấu trúc của người dùng, trong các trường hợp thông thường, để tạo điều kiện thuận lợi cho nhiều tương tác của người dùng mà không cần ủy quyền nhiều lần, trang web của dự án thường xây dựng giao dịch ủy quyền không giới hạn cho người dùng. dấu hiệu. Xuất phát điểm là tiết kiệm xăng cho người dùng nhưng điều này cũng tiềm ẩn những nguy cơ tiềm ẩn cho việc đảm bảo an toàn quỹ sau này. Giả sử có sự cố xảy ra trong các mã dự án tiếp theo, chẳng hạn như giao diện trái phép hoặc lỗ hổng gọi tùy ý, thì kẻ tấn công sẽ khai thác quyền không giới hạn của người dùng đối với hợp đồng, dẫn đến việc chuyển giao tài sản của người dùng. Kịch bản tấn công này phổ biến hơn trong các cầu nối chuỗi chéo và giao thức DEX.
Để ngăn các dự án tiếp theo đưa mã rủi ro vào quá trình nâng cấp hoặc khỏi các lỗ hổng chưa được phát hiện trong chính mã dự án, người dùng nên áp dụng nguyên tắc ủy quyền tối thiểu và cố gắng chỉ Ủy quyền số tiền được sử dụng trong giao dịch nàyđể ngăn chặn các rủi ro dự án tiếp theo gây tổn thất cho tài sản của bạn.
5. Hoạt động DeFi không an toàn
Ngoài việc chuẩn bị trước khi tương tác, còn có rất nhiều rủi ro dễ bị bỏ qua trong quá trình tương tác. Những rủi ro này thường phát sinh từ sự thiếu hiểu biết của người dùng về bản thân dự án. Các ví dụ cụ thể là:
Trượt giá trong quá trình trao đổi mã thông báo thông qua giao thức trao đổi trên chuỗi Nếu cài đặt quá lớn hoặc số lượng nhận tối thiểu không được đặt trong tập lệnh hoán đổi (được đặt thành 0 để thuận tiện cho việc ghi), giao dịch sẽ bị robot MEV tấn công "sandwich".
Khi thực hiện các hoạt động cho vay thông qua thỏa thuận cho vay trên chuỗi, tình trạng của vị thế đã không được quản lý kịp thời, dẫn đến trong trường hợp mất vị thế khi thị trường biến động lớn.
Khi tương tác với một số dự án, thông tin xác thực của bên tham gia dự án không được lưu giữ tốt, chẳng hạn như coi thông tin xác thực NFT của Uniswap V3 là một NFT thông thường được bán ở OpenSea.
Để ngăn chặn những rủi ro này, người dùng phải tiến hành nghiên cứu dự án tương ứng và làm rõ cơ chế dự án cũng như các tính năng liên quan để ngăn ngừa mất mát tài sản .
Mô hình DeFi mới cho giao dịch an toàn--Cobo Argus
Phần trên giới thiệu các rủi ro tương tác thường gặp của các hoạt động DeFi trên blockchain. Nếu người dùng vô tình rơi vào một trong những cái bẫy này, nhiều năm làm việc chăm chỉ có thể bị mất đi và ngay cả một sự bất cẩn nhỏ nhất cũng có thể dẫn đến thiệt hại không thể khắc phục. Vậy có kế hoạch kiểm soát rủi ro nào an toàn, hiệu quả và dễ quản lý không? Một lựa chọn mới là Cobo Argus.
Cobo Argus là sản phẩm kiểm soát rủi ro trên chuỗi được phát triển bởi nhóm Cobo và được xây dựng trên Gnosis Safe. Chức năng chính là phân tích các giao dịch của người dùng bằng cách xây dựng các chiến lược ACL khác nhau và chặn các giao dịch không tuân thủ các quy tắc kiểm soát rủi ro, từ đó đảm bảo an toàn cho tiền của người dùng.
Cobo Argus giải quyết các rủi ro bảo mật trong môi trường DeFi như thế nào?
1. Ví đa chữ ký cấp dưới, ủy quyền chữ ký đơn cấp cao hơn: tránh điểm đơn nguy cơ rò rỉ khóa riêng, làm chậm Loại bỏ rủi ro lừa đảo trong khi vẫn đảm bảo hiệu quả hoạt động
Cobo Argus là sản phẩm được xây dựng trên nền tảng đa năng của Safe {Wallet} -Ví chữ ký.Nền tảng và cốt lõi của nó là Ví hợp đồng đa chữ ký. Do đó, Cobo Argus đương nhiên kế thừa tính bảo mật của ví đa chữ ký Safe {Wallet}.
Bằng cách thay đổi cách quản lý tiền từ một khóa riêng sang việc duy trì chung nhiều khóa riêng, nguy cơ mất/khóa tài sản do rò rỉ một khóa riêng khóa riêng duy nhất có thể được loại bỏ. Bản thân ví đa chữ ký yêu cầu nhiều chữ ký để kích hoạt việc thực hiện giao dịch và việc rò rỉ khóa riêng của một địa chỉ sẽ không ảnh hưởng đến tính bảo mật chung của tiền. Ngoài ra, các giao dịch đa chữ ký có thể được bắt đầu để thay thế các địa chỉ chữ ký đơn bị mất hoặc rủi ro nhằm đảm bảo tính bảo mật của ví đa chữ ký.
Ngoài ra, sau khi chuyển từ địa chỉ chữ ký đơn sang địa chỉ nhiều chữ ký, mỗi người dùng được yêu cầu ký giao dịch khi ký giao dịch, điều này có lợi để kiểm tra chéo nội dung giao dịch, từ đó giảm thiểu đáng kể khả năng bị lừa đảo.
Nhiều chữ ký cần nhiều người xem xét, điều này ảnh hưởng nhất định đến hiệu quả hoạt động. Cobo Argus cho phép người dùng định cấu hình các quy tắc ủy quyền linh hoạt, cho phép một số hoạt động tần suất cao có rủi ro thấp (chẳng hạn như yêu cầu thu nhập thường xuyên trong quá trình canh tác) được ủy quyền đến một địa chỉ EOA nhất định. Địa chỉ này có thể bắt đầu hoạt động thay vì ví đa chữ ký để nâng cao hiệu quả công việc. Đồng thời, do quyền truy cập địa chỉ bị hạn chế nghiêm ngặt nên tính bảo mật chung của ví sẽ không bị ảnh hưởng đáng kể.
2. Robot tùy chỉnh: giám sát và phản hồi rủi ro tự động 7*24 giờ
Bằng cách định cấu hình robot giám sát Cobo Argus, bạn có thể tùy chỉnh các điều kiện cần được theo dõi và các thao tác cần thực hiện khi kích hoạt các điều kiện.
Lấy việc quản lý đòn bẩy của các dự án cho vay làm ví dụ. Người dùng có thể định cấu hình rô-bốt Argus để theo dõi yếu tố sức khỏe của họ. Khi vị thế gần đến mức thanh lý, rô-bốt này có thể bổ sung cho khoản thế chấp.Các hoạt động giảm đòn bẩy như tài sản và trả nợ.
3. Chính sách ACL được tùy chỉnh
Ngoài self - Ngoài việc xác định robot giám sát, người dùng có khả năng phát triển nhất định cũng có thể phát triển các hợp đồng ACL (Danh sách điều khiển truy cập) tùy chỉnh để đạt được khả năng quản lý quyền linh hoạt hơn. Đây là một trong những tính năng cốt lõi của Cobo Argus. Dưới đây là một số ví dụ để cảm nhận sự hấp dẫn của tính năng này:
Vị trí dựa trên địa chỉ Để ngăn chặn các cuộc tấn công độc hại, bạn có thể viết hợp đồng ACL. Người dùng có thể chỉ định các địa chỉ thường được sử dụng làm danh sách trắng trong hợp đồng ACL. Trong quá trình giao dịch, hợp đồng ACL sẽ phân tích cú pháp địa chỉ nhận trong giao dịch (ERC20/mã thông báo gốc). Và so sánh các địa chỉ danh sách trắng do người dùng đặt, nếu địa chỉ nhận không nằm trong địa chỉ tương ứng thì giao dịch không thể hoàn tất thành công.
Để giải quyết vấn đề ủy quyền quá mức, người dùng có thể viết hợp đồng chính sách ACL để đặt giới hạn ủy quyền trong Phê duyệt giao dịch Phân tích và giới hạn số lượng ủy quyền Phê duyệt của mã thông báo không vượt quá giá trị đặt trước của người dùng. Hoặc 1, bạn có thể định cấu hình rô-bốt tùy chỉnh để thường xuyên xóa ủy quyền của các mã thông báo có liên quan.
Đối với các hoạt động DeFi không an toàn, chẳng hạn như giao dịch hoán đổi mà không kiểm tra trượt giá, bạn có thể viết The Argus ACL hợp đồng chiến lược đặt ra mức trượt giá tối thiểu có thể chấp nhận được cho các giao dịch trao đổi. Sau khi thiết lập xong, hợp đồng chiến lược ACL có thể phân tích các giao dịch hoán đổi khác nhau dựa trên độ trượt đã đặt. Nếu độ trượt trao đổi không được đáp ứng, giao dịch có thể bị chặn.
Tóm tắt
Có rất nhiều rủi ro khó ngăn chặn trong tương tác DeFi, mặc dù nội dung đề cập trong bài viết bao gồm nhiều tình huống phổ biến nhưng không thể bao quát hết tất cả các điểm rủi ro. Người dùng cần xử lý mọi giao dịch một cách cẩn thận.
Cobo Argus có thể cung cấp cho người dùng các phương tiện đáng tin cậy và dễ cấu hình để ngăn chặn một số rủi ro bảo mật phổ biến. Quản lý ủy quyền linh hoạt và an toàn có thể được hoàn thành thông qua ACL, nâng cao hiệu quả hoạt động đồng thời đảm bảo an ninh; robot tùy chỉnh có thể giảm bớt các thao tác thủ công và khả năng giám sát theo thời gian thực có thể đảm bảo an toàn cho tiền của người dùng 7 * 24 giờ.
DeFi chắc chắn có thể mang lại lợi ích đáng kể cho người dùng, nhưng an ninh tài chính là cốt lõi của sự tăng trưởng tài sản ổn định. Cobo Argus sẽ bảo vệ mọi Nông dân DeFi và giúp mọi người tạo ra nhiều giá trị hơn trong thị trường giá lên.
JinseFinance
Darren
Tech Flow
Coindesk
Coinlive 
Bitcoinist
Cointelegraph