2024年最常被利用的DeFi漏洞

2025年1月1日 • 作者 Simeon Cholakov • 阅读时长42分钟

引言

在快速发展的去中心化金融（DeFi）世界中，区块链安全变得比以往任何时候都更加重要。DeFi生态系统经历了指数级增长，数十亿美元被锁定在各个平台的智能合约中。然而，这种扩张也使其成为网络犯罪分子觊觎的目标。2024年，与区块链相关的黑客攻击导致了约7.3亿美元的惊人损失，突显了智能合约和区块链协议中的持续漏洞。虽然这一数字较2023年的11.5亿美元有所下降，但攻击的复杂性和频率却有所增加。黑客正在使用先进的技术来利用项目中的漏洞。这些事件不仅导致了重大的财务损失，还破坏了对DeFi生态系统的信任。在本文中，我们根据2024年每种类型的事件数量定位了攻击向量，首先突出了最普遍的威胁。我们探讨了2024年被利用的最重要的攻击向量，并深入研究了一些最大的区块链违规案例。我们分析了这些攻击是如何实施的，针对的具体漏洞以及对受影响平台的深远影响。通过检查这些事件，我们的目标是揭示关键的经验教训和最佳实践，以提高未来的区块链安全性。无论你是DeFi领域的开发者、投资者还是用户，理解这些漏洞都是至关重要的。从过去的事件中学习，可以为社区提供实施更强安全措施、保护资产和贡献更弹性的去中心化金融基础设施的知识。

1. 被盗私钥

被盗私钥在2024年成为最具破坏性的攻击向量，在31起单独事件中共造成了惊人的4.49亿美元损失。这种攻击方法绕过协议的安全措施，直接瞄准作为加密货币资产访问关键的私钥。

被盗私钥攻击如何发生

案例研究：DMM比特币黑客事件

• 日期：2024年5月
• 损失金额：3.05亿美元
• 区块链：比特币
• 攻击向量：私钥泄露

概述：DMM比特币，一家中心化加密货币交易所，经历了一次近期历史上最大的加密货币黑客攻击之一，损失达3.05亿美元。该事件涉及未经授权从交易所钱包中转移4502.9 BTC。尽管交易所未披露此次违约的根本原因，但攻击很可能是由于私钥泄露，使攻击者能够发起未经授权的转账。攻击步骤：

1. 大额比特币转账检测到：向未知钱包转账4502.9 BTC引起了初步警报。资金分布到多个地址，使得追踪被盗资产的努力复杂化。
2. 私钥泄露嫌疑：据推测，攻击者可能通过以下方式获得了私钥：内部管理不善：热钱包密钥可能已暴露。外部入侵：针对管理钱包员工的钓鱼攻击或恶意软件。
3. 缺乏多签名钱包：高价值账户缺乏多签名钱包很可能加剧了情况，单个密钥泄露就导致了重大损失。
4. 交易所响应：DMM比特币暂停了某些服务并保证客户的存款安全。交易所对调查结果提供了有限的透明度，留下了一些关于确切被利用漏洞的不确定性。

根本原因：尽管具体细节尚未披露，但这次攻击突显了中心化管理私钥的脆弱性，尤其是在缺乏多签名钱包和强大凭据安全的情况下。

如何减轻私钥泄露

教训总结

DMM比特币黑客事件强调了中心化交易所强大私钥安全的重要性。随着攻击者的手段日益复杂，交易所必须优先考虑高级安全措施，如多签名钱包、冷存储和员工培训。事故后报告期间的透明度对于恢复用户信任和防止未来事件至关重要。

有关DMM比特币漏洞的详细分析，请阅读详细报告。

2. 价格预言机操控

价格预言机操控攻击在2024年成为第二大最具破坏性的攻击向量，在37起事件中共造成5200万美元的损失。这些攻击利用价格预言机中的弱点来操控资产价值，导致抵押不足的贷款、流动性池枯竭和套利机会，从而动摇DeFi生态系统。

价格预言机操控攻击的工作原理

案例研究：Polter Finance 漏洞

• 日期：2024年11月16日
• 损失金额：1200万美元
• 区块链：Fantom
• 攻击向量：通过流动性池进行的价格预言机操控

概述：Polter Finance，一个去中心化的借贷协议，当一名攻击者利用其对SpookySwap流动性池中BOO代币价格的依赖性进行价格操控攻击时，成为受害者。通过利用闪电贷，攻击者人为抬高了代币价格，从而借到了远超抵押品实际价值的其他资产。攻击步骤：

1. 闪电贷启动：攻击者借入大量BOO代币，耗尽了SpookySwap V2和V3池的流动性。这导致自动做市商（AMM）公式计算出的人为膨胀的BOO价格。
2. 抵押品存款：攻击者存入少量BOO作为抵押品。被操控的价格导致抵押品估值膨胀至1.37万亿美元。
3. 过度杠杆借款：利用虚假的高抵押品价值，攻击者借取了大量其他资产。
4. 偿还与获利：闪电贷得到偿还，攻击者保留了借来的资金，耗尽了Polter Finance的流动性池。

根本原因：ChainlinkUniV2Adapter预言机未能针对历史数据验证BOO代币价格或实施极端价格偏离检查，使协议容易受到操控。

如何减轻价格预言机操控

教训总结

Polter Finance漏洞展示了强大预言机系统在保护DeFi协议方面的重要性。单一来源预言机和缺乏检测突然价格变化机制使平台容易受到操控。今后，协议必须优先考虑预言机多样化，实施TWAPs，并进行独立安全审计以避免类似漏洞。

有关Polter Finance漏洞的详细分析，请阅读详细报告。

3. 恶意内部人员

恶意内部人员攻击在2024年成为第三大关键威胁向量，在17起事件中造成了9500万美元的损失。这些攻击涉及具有授权访问权限的个人利用其特权来操控协议、窃取资金或破坏运营。在DeFi生态系统中，内部人员利用他们对智能合约和平台漏洞的深入了解来执行复杂的攻击，削弱了生态系统的信任和稳定性。

恶意内部人员攻击的工作原理

案例研究：HAWK崩盘

• 日期：2024年12月4日至5日
• 损失金额：约9500万美元
• 区块链：Solana
• 攻击向量：内部操控和拉高出货计划。

概述：HAWK崩盘涉及由网红Hailey Welch推出的HAWK迷因币迅速贬值。最初达到近5亿美元市值的代币，其价值在数小时内暴跌超过90%。调查显示，大部分代币供应由内部人员和狙击机器人控制，促成了协调的拉高出货计划，严重打击了散户投资者。攻击步骤：

1. 代币发行和初始拉升：Hailey Welch在Solana区块链上推出了HAWK代币，利用她的病毒式社交媒体影响力吸引了大量投资。代币在几分钟内迅速达到了约5亿美元的市值，受炒作和战略性营销推动。
2. 内部人员和狙击协调：80%至90%的HAWK供应在发行后立即被内部人员和狙击机器人收购。这些实体拥有大量持有，准备在代币价格达到顶峰时执行大规模抛售。
3. 快速抛售和价格崩盘：20分钟内，内部人员钱包开始大量抛售HAWK代币，充斥市场并导致价格从0.04916美元跌至0.002439美元。供应量突然增加和需求减少导致市值大幅损失，约9500万美元的价值蒸发。
4. 后续及投资者影响：散户投资者遭受了重大损失，有报道称损失高达43,000美元。这场崩盘引发了监管审查和法律行动，像Burwick Law这样的律师事务所为受影响的投资者提供服务，并讨论了潜在的SEC介入。

根本原因：HAWK崩盘主要是由代币供应集中在内部人员和自动化狙击机器人手中引起的。缺乏适当的分配机制和保障措施允许这些实体操纵市场，执行协调的拉高出货计划，利用了投资者的信任和市场动态。

如何减轻恶意内部人员攻击

4. 函数参数验证

文章

回复查看新帖子

对话

Three Sigma @threesigmaxyz 推广 2024漏洞回顾：前十大最受利用的DeFi漏洞及其防范方法1134 6.4K 被盗密钥、被黑预言机和数百万损失！2024年的DeFi漏洞揭示了令人震惊的漏洞。为什么这些攻击奏效？又该如何预防？

引言

在快速发展的去中心化金融（DeFi）世界中，区块链安全变得比以往任何时候都更加重要。DeFi生态系统经历了指数级增长，数十亿美元被锁定在各种平台的智能合约中。然而，这种扩张也使其成为网络犯罪分子有利可图的目标。2024年，与区块链相关的黑客攻击导致了大约7.3亿美元的惊人损失，突显了智能合约和区块链协议中的持续漏洞。尽管这一数字较2023年的11.5亿美元有所下降，但攻击的复杂性和频率却有所增加。黑客正在使用先进技术来利用项目中的漏洞。这些事件不仅导致了重大财务损失，还破坏了对DeFi生态系统的信任。在本文中，我们基于2024年每种类型发生的事件数量定位了攻击向量，首先突出了最常见的威胁。我们探讨了2024年被利用的最重要的攻击向量，并深入研究了一些最大的区块链漏洞案例。我们分析了这些攻击是如何实施的，针对的具体漏洞以及对受影响平台的深远影响。通过检查这些事件，我们的目标是揭示关键经验教训和最佳实践，以提高未来的区块链安全性。无论你是DeFi领域的开发者、投资者还是用户，理解这些漏洞都是至关重要的。从过去的事件中学习，可以为社区提供实施更强安全措施、保护资产和贡献更弹性的去中心化金融基础设施的知识。

1. 被盗私钥

被盗私钥在2024年成为最具破坏性的攻击向量，在31起单独事件中共造成了惊人的4.49亿美元损失。这种攻击方法绕过协议的安全措施，直接瞄准作为加密货币资产访问关键的私钥。

被盗私钥攻击如何发生

案例研究：DMM比特币黑客事件

• 日期：2024年5月
• 损失金额：3.05亿美元
• 区块链：比特币
• 攻击向量：私钥泄露

概述：DMM比特币，一家中心化加密货币交易所，经历了一次近期历史上最大的加密货币黑客攻击之一，损失达3.05亿美元。该事件涉及未经授权从交易所钱包中转移4502.9 BTC。尽管交易所未披露此次违约的根本原因，但攻击很可能是由于私钥泄露，使攻击者能够发起未经授权的转账。攻击步骤：

1. 大额比特币转账检测到：向未知钱包转账4502.9 BTC引起了初步警报。资金分布到多个地址，使得追踪被盗资产的努力复杂化。
2. 私钥泄露嫌疑：据推测，攻击者可能通过以下方式获得了私钥：内部管理不善：热钱包密钥可能已暴露。外部入侵：针对管理钱包员工的钓鱼攻击或恶意软件。
3. 缺乏多签名钱包：高价值账户缺乏多签名钱包很可能加剧了情况，单个密钥泄露就导致了重大损失。
4. 交易所响应：DMM比特币暂停了某些服务并保证客户的存款安全。交易所对调查结果提供了有限的透明度，留下了一些关于确切被利用漏洞的不确定性。

根本原因：尽管具体细节尚未披露，但这次攻击突显了中心化管理私钥的脆弱性，尤其是在缺乏多签名钱包和强大凭据安全的情况下。

如何减轻私钥泄露

教训总结

DMM比特币黑客事件强调了中心化交易所强大私钥安全的重要性。随着攻击者的手段日益复杂，交易所必须优先考虑高级安全措施，如多签名钱包、冷存储和员工培训。事故后报告期间的透明度对于恢复用户信任和防止未来事件至关重要。

有关DMM比特币漏洞的详细分析，请阅读详细报告。

2. 价格预言机操控

价格预言机操控攻击在2024年成为第二大最具破坏性的攻击向量，在37起事件中共造成5200万美元的损失。这些攻击利用价格预言机中的弱点来操控资产价值，导致抵押不足的贷款、流动性池枯竭和套利机会，从而动摇DeFi生态系统。

价格预言机操控攻击的工作原理

案例研究：Polter Finance 漏洞

• 日期：2024年11月16日
• 损失金额：1200万美元
• 区块链：Fantom
• 攻击向量：通过流动性池进行的价格预言机操控

概述：Polter Finance，一个去中心化的借贷协议，当一名攻击者利用其对SpookySwap流动性池中BOO代币价格的依赖性进行价格操控攻击时，成为受害者。通过利用闪电贷，攻击者人为抬高了代币价格，从而借到了远超抵押品实际价值的其他资产。攻击步骤：

1. 闪电贷启动：攻击者借入大量BOO代币，耗尽了SpookySwap V2和V3池的流动性。这导致自动做市商（AMM）公式计算出的人为膨胀的BOO价格。
2. 抵押品存款：攻击者存入少量BOO作为抵押品。被操控的价格导致抵押品估值膨胀至1.37万亿美元。
3. 过度杠杆借款：利用虚假的高抵押品价值，攻击者借取了大量其他资产。
4. 偿还与获利：闪电贷得到偿还，攻击者保留了借来的资金，耗尽了Polter Finance的流动性池。

根本原因：ChainlinkUniV2Adapter预言机未能针对历史数据验证BOO代币价格或实施极端价格偏离检查，使协议容易受到操控。

如何减轻价格预言机操控

教训总结

Polter Finance漏洞展示了强大预言机系统在保护DeFi协议方面的重要性。单一来源预言机和缺乏检测突然价格变化机制使平台容易受到操控。今后，协议必须优先考虑预言机多样化，实施TWAPs，并进行独立安全审计以避免类似漏洞。

有关Polter Finance漏洞的详细分析，请阅读详细报告。

3. 恶意内部人员

恶意内部人员攻击在2024年成为第三大关键威胁向量，在17起事件中造成了9500万美元的损失。这些攻击涉及具有授权访问权限的个人利用其特权来操控协议、窃取资金或破坏运营。在DeFi生态系统中，内部人员利用他们对智能合约和平台漏洞的深入了解来执行复杂的攻击，削弱了生态系统的信任和稳定性。

恶意内部人员攻击的工作原理

案例研究：HAWK崩盘

• 日期：2024年12月4日至5日
• 损失金额：约9500万美元
• 区块链：Solana
• 攻击向量：内部操控和拉高出货计划。

概述：HAWK崩盘涉及由网红Hailey Welch推出的HAWK迷因币迅速贬值。最初达到近5亿美元市值的代币，其价值在数小时内暴跌超过90%。调查显示，大部分代币供应由内部人员和狙击机器人控制，促成了协调的拉高出货计划，严重打击了散户投资者。攻击步骤：

1. 代币发行和初始拉升：Hailey Welch在Solana区块链上推出了HAWK代币，利用她的病毒式社交媒体影响力吸引了大量投资。代币在几分钟内迅速达到了约5亿美元的市值，受炒作和战略性营销推动。
2. 内部人员和狙击协调：80%至90%的HAWK供应在发行后立即被内部人员和狙击机器人收购。这些实体拥有大量持有，准备在代币价格达到顶峰时执行大规模抛售。
3. 快速抛售和价格崩盘：20分钟内，内部人员钱包开始大量抛售HAWK代币，充斥市场并导致价格从0.04916美元跌至0.002439美元。供应量突然增加和需求减少导致市值大幅损失，约9500万美元的价值蒸发。
4. 后续及投资者影响：散户投资者遭受了重大损失，有报道称损失高达43,000美元。这场崩盘引发了监管审查和法律行动，像Burwick Law这样的律师事务所为受影响的投资者提供服务，并讨论了潜在的SEC介入。

根本原因：HAWK崩盘主要是由代币供应集中在内部人员和自动化狙击机器人手中引起的。缺乏适当的分配机制和保障措施允许这些实体操纵市场，执行协调的拉高出货计划，利用了投资者的信任和市场动态。

如何减轻恶意内部人员攻击

4. 函数参数验证

不当的函数参数验证在2024年成为一个显著的攻击向量，使协议面临绕过逻辑检查或操纵合约行为的漏洞。21起事件中，共损失6900万美元，这对致力于保护其智能合约的DeFi开发者来说仍然是一个关键挑战。

不当输入验证漏洞如何运作

案例研究：DeltaPrime协议漏洞

• 日期：2024年11月11日
• 损失金额：485万美元
• 区块链：Avalanche 和 Arbitrum
• 攻击向量：债务互换和奖励机制中的不当输入验证。

概述：DeltaPrime，一个无抵押借贷协议，因攻击者在swapDebtParaSwap和claimReward函数中操纵未经检查的输入而遭受严重攻击。这些漏洞允许未经授权的借款和操纵奖励申领，耗尽了协议的流动性。攻击步骤：

1. 闪电贷获取：攻击者获得了一笔59.958 WETH的闪电贷以资助攻击，提供临时流动性。
2. 利用swapDebtParaSwap：在处理之前未验证_repayAmount参数。攻击者使用59.9 ETH作为抵押，借出1.18 WBTC，并将其转移到恶意合约，而没有触发还款逻辑。
3. 操纵claimReward：攻击者将恶意合约传递给claimReward函数中的pair参数。这使攻击者能够操纵DeltaPrime的奖励系统，并提取价值59.9 ETH的未赚取奖励。
4. 攻击后资产管理：攻击者没有分散被盗资产，而是将其重新投资到Avalanche上的DeFi协议中以产生被动收入。

根本原因：swapDebtParaSwap函数未能验证诸如_repayAmount等输入参数，且claimReward函数缺乏对恶意外部合约的检查，使系统容易被操纵。

如何减轻不当输入验证

教训总结

DeltaPrime漏洞强调了智能合约中严格输入验证的重要性。特别是关键财务操作中的未检查输入可能会带来灾难性后果。实施验证机制、彻底测试和外部审计对于减轻此类漏洞至关重要。

有关DeltaPrime漏洞的详细分析，请阅读详细报告。

5. 不足的功能访问控制

访问控制漏洞在2024年排名为主要攻击向量之一，导致29起事件中损失2700万美元。这些漏洞发生在协议未能正确限制敏感功能时，允许攻击者未经授权地访问以操纵或提取资金。

访问控制漏洞如何运作

案例研究：Nexera协议漏洞

• 日期：2024年8月7日
• 损失金额：44.9万美元
• 区块链：以太坊和Avalanche
• 攻击向量：凭证泄露和对质押合约的薄弱访问控制。

概述：Nexera协议在攻击者获得管理智能合约的未经授权访问后遭到攻击。攻击者利用这些凭证，从质押合约中转移$NXRA代币并操纵关键合约的所有权。尽管攻击者最初窃取了4724万枚$NXRA代币，Nexera回收了3250万枚代币，将损失限制在1475万枚$NXRA（相当于44.9万美元）。攻击步骤：

1. 凭证泄露：攻击者执行恶意代码以获取管理Nexera Fundrs智能合约的凭证。
2. 所有权接管：UTC时间05:05，攻击者转移了以太坊合约的所有权，阻止了Nexera升级或重新分配所有权的能力。
3. 未经授权的代币转账：UTC时间05:28，攻击者从Fundrs质押合约中转移$NXRA代币并开始在Uniswap上出售。
4. 代币冻结与回收：UTC时间06:28，Nexera暂停了$NXRA代币合约，冻结剩余资金并回收了3250万枚$NXRA代币。

根本原因：攻击源于凭证泄露，加之对关键合约功能的不足的角色基础访问控制。

如何减轻访问控制漏洞

案例研究：Nexera协议漏洞

• 日期：2024年8月7日
• 损失金额：44.9万美元
• 区块链：以太坊和Avalanche
• 攻击向量：凭证泄露和对质押合约的薄弱访问控制。

概述：Nexera协议在攻击者获得管理智能合约的未经授权访问后遭到攻击。攻击者利用这些凭证，从质押合约中转移$NXRA代币并操纵关键合约的所有权。尽管攻击者最初窃取了4724万枚$NXRA代币，Nexera回收了3250万枚代币，将损失限制在1475万枚$NXRA（相当于44.9万美元）。攻击步骤：

1. 凭证泄露：攻击者执行恶意代码以获取管理Nexera Fundrs智能合约的凭证。
2. 所有权接管：UTC时间05:05，攻击者转移了以太坊合约的所有权，阻止了Nexera升级或重新分配所有权的能力。
3. 未经授权的代币转账：UTC时间05:28，攻击者从Fundrs质押合约中转移$NXRA代币并开始在Uniswap上出售。
4. 代币冻结与回收：UTC时间06:28，Nexera暂停了$NXRA代币合约，冻结剩余资金并回收了3250万枚$NXRA代币。

根本原因：攻击源于凭证泄露，加之对关键合约功能的不足的角色基础访问控制。

如何减轻访问控制漏洞

教训总结

Nexera漏洞突显了强大的访问控制机制和安全凭证管理的重要性。凭证泄露和不良的访问限制可能导致灾难性损失。通过强制执行严格的权限，采用多重签名钱包并持续监控异常情况，DeFi协议可以有效降低此类风险。

有关Nexera漏洞的详细分析，请阅读详细报告。

奖励操控攻击在2024年是一个重要的DeFi攻击向量，在34起事件中导致1700万美元的损失。这些攻击发生在攻击者操纵协议中的奖励分配机制时，通常是通过市场操控或利用不当的激励逻辑。

奖励操控攻击如何运作

案例研究：Gamma Finance漏洞

• 日期：2024年1月4日
• 损失金额：630万美元
• 区块链：以太坊
• 攻击向量：影响奖励分配的流动性池价格操控。

概述：Gamma Finance由于其存款代理设置配置不当而遭受了重大漏洞。攻击者操纵了流动性池的价格阈值，以索取不成比例的LP代币和奖励。核心问题是过于宽松的价格变动阈值为-50%至+100%，这允许显著的价格操控而不触发保障措施。攻击步骤：

1. 闪电贷执行：攻击者从Uniswap和Balancer发起闪电贷，以操纵gDAI-DAI保险库中的gDAI价格。
2. 价格操控：闪电贷抬高了gDAI的池价格，避开了高的价格变动阈值。
3. 循环存款和提款：利用被抬高的价格，攻击者存入gDAI并收到大量的LP代币。攻击者提取资金，并多次重复此过程以最大化奖励。
4. 利润提取：攻击者兑现LP代币换取奖励并提取被操控的资金，耗尽了保险库。

根本原因：过于宽松的价格变动阈值允许价格操控而不触发存款限制，使攻击者能够生成远远超出其实际贡献的奖励。

如何减轻奖励操控

教训总结

Gamma Finance漏洞突显了奖励机制配置不当的风险以及防范价格操控的必要性。奖励分配逻辑必须考虑边缘情况，确保准确的价格跟踪并限制超额索要。通过实施更严格的控制和彻底测试，协议可以防范类似的漏洞。

有关Gamma Finance漏洞的详细分析，请阅读详细报告。

7. 可重入性

可重入性攻击仍然是DeFi生态系统中的关键漏洞，在2024年的22起事件中导致4700万美元的损失。这些攻击利用了合约在外部调用期间无法有效管理状态变更的缺陷，允许攻击者通过重复函数重入来操控资金或逻辑。

可重入性攻击如何运作

案例研究：Penpie Finance可重入性漏洞

• 日期：2024年9月3日
• 损失金额：2700万美元
• 区块链：Arbitrum 和以太坊
• 攻击向量：奖励收割函数中缺少可重入性保护。

概述：Penpie Finance在攻击者创建了一个假的Pendle市场以操纵batchHarvestMarketRewards()函数时遭受了重大攻击。缺少nonReentrant修饰符允许攻击者重入该函数，操纵奖励计算并索取未经授权的资金。攻击步骤：

1. 假市场创建：攻击者使用恶意智能合约创建了一个假的Pendle市场并将其存入Penpie。
2. 闪电贷执行：攻击者使用Balancer闪电贷向假市场存入大量资产，抬高其价值。
3. 可重入奖励操纵：攻击者在假市场上调用了batchHarvestMarketRewards()。缺乏可重入性保护允许攻击者通过PendleMarket::redeemRewards()回调进入该函数，操纵奖励计算。被操纵的奖励归于假市场，使攻击者得以索取它们。
4. 提取与转换：攻击者提取了奖励并将其转换回原始资产，偿还了闪电贷并揣走了利润。

根本原因：batchHarvestMarketRewards()函数缺乏nonReentrant修饰符，允许攻击者在奖励计算和分发过程中利用可重入行为。

如何减轻可重入性攻击

教训总结

Penpie漏洞突显了关键函数中缺失可重入性保护的危险。没有稳健的防护和适当的状态管理，协议仍然容易受到重复的可重入调用，从而耗尽资金或改变逻辑。通过采用CEI模式、可重入性防护和支付提取等最佳实践，协议可以保护用户并防止类似的漏洞。

有关Penpie Finance漏洞的详细分析，请阅读详细报告。

8. 任意外部调用

任意外部调用在2024年已成为DeFi生态系统中的一个重要攻击向量，导致在18起事件中总共超过2100万美元的损失。这些攻击利用对外部合约调用验证和控制不足的漏洞，使恶意行为者能够操纵协议行为或耗尽资金。

任意外部调用攻击如何运作

案例研究：LI.FI 协议漏洞

• 日期：2024年7月16日
• 损失金额：900万美元
• 区块链：以太坊和Arbitrum
• 攻击向量：GasZipFacet合同中缺乏输入验证。

概述：LI.FI，一个多链流动性聚合协议，由于新部署的GasZipFacet合同验证不足而遭受了重大漏洞。该漏洞允许攻击者处理任意外部交易，通过恶意transferFrom操作窃取用户资金。攻击步骤：

1. 恶意合同部署：攻击者部署了一个设计用于与GasZipFacet合同交互的恶意智能合约。
2. 构造恶意交易：攻击者利用GasZipFacet中的depositToGasZipERC20()函数，提供编码恶意transferFrom函数调用的callData。
3. 利用低级别调用：GasZipFacet中的LibSwap.swap()函数执行了构造的callData，触发用户代币的未经授权的transferFrom操作。
4. 批量执行：攻击者在多笔交易中重复此过程，总计窃取了约900万美元。
5. 资金分配：被盗资金被转移到多个钱包，并部分使用Tornado Cash等隐私工具洗白。

根本原因：GasZipFacet合同未能验证callData参数，允许在外部调用期间执行任意操作。

如何减轻任意外部调用攻击

教训总结

LI.FI漏洞突显了智能合同中对外部调用验证和控制不足的1. 提案提交：提案 289 由 Golden Boys 团队提出，旨在将金库资金分配给 goldCOMP 协议。该提案缺乏社区讨论和透明度。

2. 投票操纵：攻击者利用委托投票权，可能还使用了闪电贷，累计获得了 682,000 张赞成票，勉强超过了 633,000 张反对票。在投票前观察到大规模的代币转账和协调的委托。
3. 市场反应：批准引发了广泛的恐慌，导致 COMP 的价格在一周内下跌了 30%。
4. 社区干预：安全顾问标记了可疑活动并强调了治理风险。激烈的社区讨论导致提案在与攻击者谈判后被撤销。

根本原因：治理机制允许攻击者通过利用代币集中和选民冷漠来操纵投票结果。缺乏对突然提案的保护措施和社区参与不足加剧了风险。

如何减轻治理攻击

经验教训

Compound 治理攻击突显了在去中心化系统中强大、透明且参与性的治理机制的重要性。防止此类漏洞需要结合技术保护措施、社区警惕性和持续改进治理结构。通过解决这些漏洞，DeFi 协议可以确保更公平的决策过程并增强用户信任。

有关 Compound Protocol 漏洞 的详细分析，请阅读详细报告。

10. 未初始化合约

未初始化合约漏洞仍然是去中心化系统中的重要攻击向量，允许攻击者利用未正确初始化的参数或未配置的状态变量。在 2024 年，这些漏洞在各类事件中造成了超过 2500 万美元的损失，凸显了部署过程中严格初始化流程的关键重要性。

未初始化合约攻击的工作原理

案例研究：Ronin Bridge 漏洞

• 日期：2024 年 8 月 6 日
• 损失金额：1200 万美元
• 区块链：以太坊和 Ronin
• 攻击向量：Ronin Bridge V2 合约中的未初始化代理参数。

概述：Ronin Bridge 是一个促进以太坊和 Ronin 之间跨链交易的多签名桥接，在一次合约升级期间因关键参数未正确初始化而遭到攻击。疏忽导致 _totalOperatorWeight 未初始化，使攻击者绕过跨链交易验证并抽走资金。幸运的是，攻击者是一名白帽黑客，归还了被盗资产。攻击步骤：

1. 代理升级错误配置：在升级期间，Ronin 团队添加了两个新的初始化函数 initializeV3 和 initializeV4。仅执行了 initializeV4，使得 initializeV3 中的 _totalOperatorWeight 未初始化，默认为零。
2. 未验证的提款执行：攻击者部署了一个恶意合约，通过代理与 MainchainGatewayV3 合约进行交互。攻击针对 submitWithdrawal 函数，该函数使用 _totalOperatorWeight 计算 minimumWeight 参数。
3. 零权重的利用：_totalOperatorWeight 被错误地设置为零，导致 minimumWeight 检查在不需要有效签名的情况下通过。攻击者成功绕过验证并触发未经授权的资产转移。
4. 资金提取：攻击者使用两笔交易提取了大约 4,000 ETH 和 200 万 USDC。该漏洞利用了一次精心制作的 delegatecall 在 Ronin Bridge 内执行恶意逻辑。

根本原因：该漏洞源于代理升级期间初始化函数未完全执行。通过跳过 initializeV3，关键的 _totalOperatorWeight 变量未初始化，破坏了交易验证的完整性。

如何减轻未初始化合约漏洞

经验教训

Ronin Bridge 漏洞突显了智能合约开发中细致初始化流程的重要性。未初始化参数会使原本安全的系统变得脆弱，突显出需要强大的部署实践和严格的测试。

有关 Ronin Bridge 漏洞 的详细分析，请阅读完整报告。

结论

对 2024 年十大 DeFi 攻击向量的分析揭示了区块链安全威胁的快速演变格局。虽然在减轻某些类型的漏洞方面取得了进展，但其他类型则继续变得更加复杂，需要全面的安全策略。对于希望保护其智能合约和用户资产的 DeFi 项目，我们 Three Sigma 提供针对不断变化的区块链环境定制的综合安全解决方案。立即联系我们，确保你的平台受到最新网络安全威胁的保护。

关键要点

1. 提高对价格预言机和奖励操纵攻击的防御能力：由于智能合约审计员、漏洞赏金猎人和改进的协议设计的努力，这些攻击向量造成的损失显著下降——从去年的约 4 亿美元降至约 7000 万美元。然而，保持这些成果需要持续警惕。
2. 新兴威胁：功能参数验证和访问控制：代码相关的漏洞如输入验证不当和访问控制不足正在增加。这些问题突出了严格测试和增强开发者教育的迫切需求。
3. 私钥盗窃：主要攻击向量：占绝大多数损失的私钥盗窃突显了对强有力的操作安全（OpSec）措施的迫切需求。复杂的攻击者，包括犯罪组织和国家行为者，利用鱼叉式网络钓鱼、隐蔽恶意软件和不良密钥管理实践造成毁灭性影响。
4. 恶意内部威胁：日益增长的关注：随着 DeFi 空间的成熟和区块链项目的扩展，内部威胁已成为首要关注点。加强内部控制并培养安全意识文化是应对这一风险的重要步骤。
5. 扩展安全计划至代码审计之外：区块链项目必须超越传统的代码审计，以解决更广泛的安全问题，包括密钥管理、基础设施、终端安全和人员培训。综合安全计划应优先考虑整体风险管理，以保护用户并维持信任。

常见问题解答 (FAQ)

1. 2024 年最常见的 DeFi 攻击向量是什么？

2024 年最常见的攻击向量包括：

• 被盗私钥：造成 4.49 亿美元的损失。
• 价格预言机操纵：造成 5200 万美元的损害。
• 功能参数验证不当：导致 6900 万美元的损失。
• 重入攻击：造成 4700 万美元的损失。

2. DeFi 协议如何防止私钥被盗攻击？

为了防止私钥被盗，协议和用户可以：

• 实施多重签名钱包以增加安全性。
• 使用冷存储解决方案保存大额储备。
• 定期对钱包管理系统进行安全审计。
• 教育员工和用户避免网络钓鱼和恶意软件威胁。

3. 什么是价格预言机操纵？它是如何工作的？

价格预言机操纵涉及通过利用价格预言机中的弱点来扭曲资产的价格。攻击者通常使用闪电贷来操纵流动性池或汇率，从而从抵押不足的贷款或套利中获利。

4. 从 2024 年的 DeFi 漏洞中吸取了哪些教训？

2024 年的关键教训包括：

• 强调强大的输入验证和访问控制的重要性。
• 需要分散、可靠和多样化的预言机系统。
• 教育和安全意识的价值在于减轻内部威胁。
• 扩展安全范围，不仅限于审计，还包括基础设施和操作安全。

5. 治理攻击如何威胁 DeFi 协议？

治理攻击发生在恶意行为者操纵投票机制以通过耗尽资金或更改协议参数的提案时。所采用的技术包括：

• 通过闪电贷获取临时投票权。
• 提交缺乏充分审查的恶意提案。
• 利用选民冷漠或不充分的法定人数要求。

6. 有哪些措施可以防范重入攻击？

可以通过以下方式减轻重入攻击：

• 在智能合约中使用 nonReentrant 修饰符。
• 采用 Checks-Effects-Interactions（CEI）模式，在进行外部调用之前更新状态。
• 限制不受信任的外部调用，并启用拉取支付而不是推送支付。

7. 输入验证为何在 DeFi 智能合约中至关重要？

输入验证不当会使协议面临以下漏洞：

• 操纵敏感参数以绕过逻辑检查。
• 利用开发者可能未预料到的极端情况。
• 导致财务损失或协议不稳定。

8. 协议如何增强其对漏洞的防御能力？

协议可以通过以下方式提高安全性：

• 对智能合约和基础设施进行独立审计。
• 对关键操作实施多重签名批准。
• 使用断路器在可疑活动期间暂停操作。
• 教育开发者关于安全编码和测试的最佳实践。

9. 2023 年到 2024 年间 DeFi 漏洞中观察到哪些趋势？

• 总体损失减少：从 2023 年的 11.5 亿美元降至 2024 年的 7.3 亿美元。
• 攻击向量的变化：内部威胁和功能验证缺陷变得突出，而价格预言机操纵的影响有所减少。
• 私钥被盗的一致性：它仍然是主要的攻击向量，两年间均造成了最高的经济损失。

10. 用户在参与 DeFi 时如何保护自己？

用户可以通过以下方式保护自己：

• 仅与经过审计的协议交互并使用信誉良好的钱包。
• 避免分享私钥或将它们存储在不安全的地方。
• 将资产分散到多个平台以降低风险。
• 了解最新的 DeFi 漏洞和漏洞。

• 原文链接： threesigma.xyz/blog/2024...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～