「Web3.0去中心化金融体系」安全趣解

背景

十年前曾经有一部动漫《 [C]THE MONEY OF SOUL AND POSSIBILITY CONTROL 》...

这部作品讲述的故事是：

20XX年，日本正处于严重的巨额财政赤字，在处于终结的危机之中，出现一个神秘的“金融街”。“金融街”中的大佬凭借资本操纵，让政府奇迹地实现了财政重建。日本政府脱离了财政崩溃的危机，但这期间国民的生活却未得到彻底改善，失业与犯罪、自暴自弃者引发的无差别杀人事件等行为仍然非常猖獗，社会处于绝望之中。

某天，一个自称“真坂木”的神秘男子出现在主人公面前，并询问他“若以你的未来为抵押换取金钱，你将如何利用自身的才智去使用这笔钱？”就这样，主人公被带到了这个被称为“金融街”的异世界...

想象

“金融街”是一个很神奇的虚拟金融世界，这个世界发行着一种称为“米达斯币”的虚拟货币，与正常的纸币不同，这是一种纯黑色的纸币，是“金融街”这个世界的专用货币。“米达斯币”在现实世界也进行了流通，在现实世界的黑钱只有进入过“金融街”的人才能区分出来，而普通人看这种纯黑色的虚拟币就跟正常的钱没有什么两样。

金融街中的人，每个人都有一张专属的“米达斯卡”，这张卡片的资产锚定了每个人现实中的资产，同时每个人也可以抵押自己的未来（未来的任何东西，人或物）获得“米达斯”币，每个人的未来也会具像化为一个“战斗伙伴”。在“金融街”中的人可以互相公平决斗，使用“米达斯”币驱动自己的“战斗伙伴”进行撕杀，输的一方将被吞并资产，甚至破产～失去现在和未来所有的一切。

读者可以感受下，动画中两个大财团代表的决斗过程：

历程

其实《 [C]THE MONEY OF SOUL AND POSSIBILITY CONTROL 》有一定的前瞻性，如果把“米达斯币”看成虚拟数字加密货币，把“米达斯卡”可以看作是每个人的数字钱包私钥，动漫中不少元素和Web3.0中的很多场景都是没有违和感的。

2014年， 泰达公司宣布支持发行三种锚定法币的数字加密货币，分别对应美元、欧元和日元。这相当于“米达斯币”在现实世界进行了流通。

2015 年，以太坊区块链将“智能合约”技术应用于其区块链上。美国国家标准与技术研究院将这个“智能合约”技术描述为，“在区块链网络上使用加密签名部署的，支持交易的代码和数据集合”，就是这个智能合约技术导致了区块链在经济领域的应用开始爆发。这相当于“米达斯币”可以驱动现实，交易抵押未来 。

...

安全对抗

在领略了动画里天马行空、内涵金融知识、利用资本的想象战斗场景后，笔者觉得其实Web3.0安全攻防的魅力也如同动画一样绚丽，来看看笔者梳理的一位安全社区人员对于现在Web3.0安全的见解：

•  预言机攻击 

许多协议依赖于提供资产定价信息的“预言机”。如果攻击者可以操纵此定价信息，他们可能会导致坏事发生 

• 闪电贷攻击 

操纵预言机通常需要大量的代币。许多成功的攻击使用闪电贷在同一笔交易中借入和归还大量代币，以利用智能合约的设计缺陷 

• 治理攻击 

如果攻击者可以积累大量的治理代币，那么他们可能能够通过协议的治理机制进行安全漏洞植入更改。将这种方法与闪电贷款相结合，您就有了 beanstalk exploit 

• 抢先交易 

设计不正确的协议可能允许攻击者在事务提交和执行之间操纵系统。这种类型的攻击困扰着早期的 Synthetix 协议 

• 管理员密钥 

许多协议都有一个所谓的“管理员密钥”，它允许特殊的钱包控制协议拥有的资金。如果此密钥被泄露，则资金可能会被盗。 

• 不安全的前端 

位于用户和智能合约之间的网站也可能受到XSS攻击 

• 社会工程学 

即使协议及其接口是安全的，攻击者也可以进入 Discords 和 Telegrams，假装是核心团队成员并诱骗用户访问虚假网站或创造攻击机会 

• 社交账户接管 

相关项目的社交网络账号也容易被恶意攻击者接管，然后恶意攻击者可以传播虚假信息，导致用户无意中放弃其资产 

• Layer 1攻击 

智能合约与它们运行的底层区块链安全性是一样的。低哈希率 PoW 链或低市值 PoS 链都可能受到攻击，从而否定可以采取的任何其他安全预防措施 

心得

最后，笔者总结一下，目前DeFi和Web3.0还处于早期，新兴事物一定会层出不穷，而在安全方面新类型的攻击也一定会伴生出现，了解这些黑客的攻击模式将可以帮助项目方更好的理解安全风险并审查项目；同时编码错误和人的认知是个大问题，需要了解项目方如何处理Bug的更多信息 ，才可以知道项目方是不是真的有能力可以应对安全问题。

原文始发于微信公众号（QZ的安全悟道）：「Web3.0去中心化金融体系」安全趣解