在 DeFi 中,一个简单的粗心假设、一个未经检查的合约或一个设置过大的滑点,都可能在几秒钟内将一笔有利可图的交易变成不可逆转的损失。
DeFi 的 DNA 中内置了一些 可靠的安全措施(我们的大型 DeFi 指南是了解更多信息的绝佳场所)。毕竟,它是开放、透明 且无需许可的。但虽然基础设施很强大,但保持警惕总会对交易者有所帮助。
但在我们开始之前,重要的是要注意:并非所有交易所都是一样的,并且学习评估安全市场与阅读图表一样重要。这是你安全浏览去中心化经济的指南。
这是 DeFi 诈骗者的黄金时代
诈骗和金融市场一样古老。然而,人工智能的兴起开启了金融生活各个方面(包括 DeFi)的诈骗者的“黄金时代”。
DeFi 的去中心化特性在发现这些新威胁方面创建了一个更陡峭的学习曲线。以下是一些经典的 DeFi 攻击 - 以及如何保护自己。
网络钓鱼
网络钓鱼攻击通过模仿受信任的平台或通信渠道,诱骗用户泄露私钥、助记词或凭据。借助人工智能生成的内容,这些尝试比以往任何时候都更加复杂。虚假的电子邮件、网站和支持代表可以令人信服地模仿合法来源。
请记住:钱包访问是不可逆转的。一个错误可能会立即耗尽你的资产。
底线: 始终验证 URL,仔细检查消息,并且永远不要共享私钥。网络钓鱼仍然是所有加密货币中最常见和最有效的攻击媒介。
虚假合约
攻击者经常创建看似安全但被编程为在获得批准后耗尽钱包的恶意智能合约。智能合约会立即且不可变地执行。一旦你签名,合约将执行其包含的任何指令 - 即使这意味着清空你的钱包。
底线: 在签名之前始终阅读合约权限。一个错误的批准可能会危及你的整个钱包。
流动性操纵
协调的团体以稀薄的流动性池为目标,以迫使剧烈的价格波动来利用毫无戒心的交易者。DeFi 市场变化迅速,并且低流动性环境是拉高抛售计划、价格扭曲和套利漏洞的主要目标。
底线: 稀薄的市场带来过高的风险。坚持使用具有有意义的交易量和活动的资产和平台。
常识对于 DeFi 交易来说大有裨益
区块链的美德之一是其透明性。它是为 DeFi 经济构建问责制的一个巨大机制。不幸的是,许多交易者没有利用这些事实来发挥自己的优势。诈骗者专门寻找懒惰、不知情的交易者。
以下是一些用于自我保护的常识性做法。
在交易之前研究市场
检查你即将交易的资产或平台的流动性、历史和更广泛的活动水平。
交易量低或社区小的市场更容易受到操纵、虚假流动性和协调的价格波动的影响。了解代币过去的事件、主要持有者和交易所上市情况有助于你评估自己是否正在进入一个健康的市场 - 或者走入一个陷阱。
底线: 活跃、被充分利用的市场更难操纵,让你的交易更加稳定并降低突然的、人为的价格变动的风险。
密切关注你的交易
使用区块链浏览器主动查看你的钱包活动、合约交互和待处理交易。
每个 DeFi 操作 - 交换、批准、转移 - 都会出现在链上。学习如何阅读这些记录有助于你在为时已晚之前发现可疑的合约调用、意外的代币批准或奇怪的 gas 模式。
底线: 攻击者正在追捕那些不关注这些东西的交易者。
保持你的滑点收紧
滑点是你预期交易价格与实际执行价格之间的差异。这在基于 AMM 的交换中尤其重要。
高滑点容差可能会被利用。攻击者将隐藏的滑点嵌入到恶意合约中,并且 bot 利用波动的流动性来从你的交易中提取价值。如果你的滑点设置得太宽,你可能会收到远低于预期的价格,而没有意识到你正在被窃取。
底线: 保持滑点收紧可以保护你的交易免受操纵,并确保你获得实际预期的价格。
选择智能合约的最佳实践
智能合约是 DeFi 的引擎, 但它们也是其最大的攻击面之一。每当你与合约进行交互时,你都授予它移动或管理你的资产的权限。这使得合约安全成为交易者可以学习的最重要的技能之一。
在签名之前仔细检查权限
这听起来像是显而易见的建议,但没有足够的人听取它:在批准任何交易之前,请检查你的钱包中请求的权限。许多恶意合约将危险的功能隐藏在看似无害的 UI 后面。
底线: 如果你不理解某个权限,请不要签名。
使用经过验证的合约来源
经过验证的合约使攻击者更难隐藏恶意指令。始终确认你正在交互的合约已验证。像 Etherscan 这样的浏览器使源代码可以公开查看并与已部署的字节码匹配。
底线: 经过验证的代码降低了与旨在耗尽你的钱包的合约进行交互的风险。
检查合约修订和部署者
攻击者经常创建模仿合法版本的虚假代币或类似合约。比较来自官方项目网站、文档和受信任来源的合约地址 - 而不仅仅是搜索结果或社交媒体帖子。
底线: 始终验证来源处的合约,而不是通过陌生人发送的链接。
使用基于意图的交易和批量拍卖来保持交易安全
以上策略依赖于你的警惕性。但是技术也可以为你完成繁重的工作。
基于意图的交易和批量拍卖从根本上改变了交易在 DeFi 中的执行方式。它们将环境从 bot 对你的每一个动作做出反应的环境转变为你的意图受到保护并按照你的条件执行的环境。
通过重新定义交易的表达方式和价格的结算方式,这些机制创造了更安全、更公平、更高效的交易体验。
基于意图的交易
基于意图的交易让你可以表达你想要的结果(例如,“以至少 Y 的价格出售 X”),而不是提交指示交易必须如何执行的原始交易。
由于你的意图从未进入公共 mempool,因此 bot 无法检查、模拟或在你的交易周围定位。例如,使用 CoW 协议,你签名的意图由求解器网络处理,而不是广播到公共 mempool。
求解器负责执行,减少了暴露于抢先交易、夹层攻击和其他 MEV 驱动的重新排序策略 的风险。
底线: 你的交易对 MEV bot 不可见,并且求解器承担执行风险。结果是更安全、更清洁和更可预测的填充。
批量拍卖
批量拍卖将许多用户意图分组在一起,并以单一的统一清算价格结算它们。
给定代币对的所有交易同时执行,而不是单独和按顺序执行。由于批量中的每笔交易都以相同的价格结算,因此交易的顺序不再重要。这消除了 MEV bot 为了利润而重新排序你的交易的动机。
批量拍卖还实现了直接的用户到用户匹配(需求巧合或“CoW”),从而减少了对浅薄或可操纵的 AMM 池的依赖。
底线: 你获得了公平、统一的定价,bot 无法利用。你还可以通过利用更安全、更高效的流动性来避免不必要的滑点。
CoW 协议如何保持交易安全
CoW 协议在架构层面上处理交易安全,消除了大多数 DeFi 交易者甚至没有意识到自己暴露的攻击面。
由于 MEV bot 监视着每笔公共交易,CoW 协议为交易者提供了一个从根本上更安全的执行模型,该模型消除了可见性、减少了操纵并保护了价值。以下是专为你的安全而设计的功能:
-
通过意图提交: 交易者签署基于结果的意图,而不是发送可见的 mempool 交易。保持交易细节的私密性消除了抢先交易和夹层 bot 的主要攻击面。
-
求解器网络吸收 MEV 风险: 经过审查的求解器竞争在所有流动性来源上执行你的意图。他们自己承担执行和 MEV 风险,从而将风险从交易者转移出去。
-
MEV Blocker / 私有 mempool 保护: MEV Blocker 通过受保护的提交层路由交易,该层一直隐藏它们直到纳入的那一刻。
-
盈余定价和广泛的流动性访问: 求解器聚合 AMM 流动性、聚合器、私人做市商报价和直接 CoW 以找到最有效的路径。这提供了更深的流动性,减少了滑点并使操纵更加困难。
-
透明、经过审计、DAO 管理的协议: CoW 协议是开源的,定期进行审计,并由 CoW DAO 管理,其核心是抗 MEV 设计。
下一步
DeFi 中的安全性不仅仅是避免诈骗;还在于选择通过设计来保护你的基础设施。
进一步阅读:
