DeFi 安全性解析：从交易威胁到协议漏洞及其他 - CoW DAO

DeFi 安全性详解：从交易威胁到协议漏洞及其他

DeFi（去中心化金融）生态系统提供了很多东西：高收益、革命性的金融工具，以及一个更开放和公平的金融体系的承诺。但是，巨大的机遇也伴随着巨大的风险。DeFi 格局在很大程度上未受到监管，各种各样的威胁正在等待着没有准备的人：从狡猾的强盗到某些系统运作方式的根本缺陷。

本文是你关于 DeFi 安全性多方面世界的综合指南。我们将超越头条新闻，揭示生态系统各个层面上存在的威胁，从你发起交易的那一刻到你使用的协议的底层代码。

我们的目标是让你掌握知识，将你从一个脆弱的新手转变为一个经验丰富的 OG，他了解风险并知道如何保护其数字资产。我们将把安全格局分解为三个关键类别：

• 交易威胁

• 协议级漏洞

• 个人安全风险。

交易威胁：MEV 和区块链抢劫的艺术

当你在以太坊等区块链上发送交易时，它不会立即执行。相反，它会进入一个名为 mempool 的公共等候室。在这里，你的交易与成千上万的其他交易一起等待验证者来选择它并将其包含在下一个区块中。这种短暂的公共暂停是第一层安全威胁出现的地方。

什么是最大可提取价值 (MEV)？一把双刃剑

从本质上讲，最大可提取价值 (MEV) 是验证者（或搜索者）可以从区块内交易的排序、包含或排除中提取的最大利润。这是区块链的固有特性，其中交易按队列处理。想象一下一个可以看到所有进来的食物订单（交易）的服务员。如果他们可以先为某些顾客服务以获得更好的小费（利润），这就是 MEV 的实际应用。

MEV 本身并非恶意。它具有双重性质，既有良性的一面，也有恶意的一面。

良性的一面：套利

套利是指在一个市场购买资产，同时在另一个市场出售该资产，以从价格差异中获利的行为。在 DeFi 中，当代币的价格在多个去中心化交易所 (DEX) 中不同时，就会发生这种情况。套利者通常使用自动化机器人，不断扫描 mempool 以寻找这些机会。通过执行套利交易，他们有助于保持整个生态系统内资产价格的一致性。这种形式的 MEV 被认为是“良性的”，因为它有助于提高市场效率。

恶意的一面：三明治攻击

三明治攻击是最常见且最具破坏性的恶意 MEV 形式之一。它是一种复杂的形式的抢先交易，攻击者将你的交易“夹在”他们自己的两个交易之间。以下是它如何工作的逐步分解：

• 攻击开始：你在 DEX 上进行大额交易，例如，将 100 ETH 兑换为特定的 altcoin。此交易位于公共 mempool 中。

• 攻击者的行动： 一个“三明治机器人”看到了你的交易。它意识到你的大额交易将导致 altcoin 的价格上涨。

• 第一片： 机器人在你的交易之前立即下单购买相同的 altcoin，使用略高的 gas 费用以确保他们的交易首先包含在区块中。最初的购买推高了 altcoin 的价格。

• 中间： 你的原始交易现在以这个新抬高的价格执行，这意味着你获得的 altcoin 比你预期的要少得多。

• 第二片： 在你的交易之后，机器人立即下单出售他们刚刚购买的 altcoin。他们以现在更高的价格（由你的交易抬高）出售，从交易的双方都获得了利润。你剩下的所需资产较少，而攻击者则带着可观的利润离开。

CoW Protocol 对抗交易威胁的防御

这些交易威胁在公共 mempool 的透明性和顺序性中蓬勃发展。CoW Protocol 从一开始就被设计为消除这种攻击向量。它的解决方案是革命性的：它将你的交易的排序从 mempool 移到 gasless 的链下订单簿中。

以下是 CoW Protocol 如何保护你：

• 链下订单簿： 你的订单经过加密签名，但永远不会广播到公共 mempool。这种隐私使得三明治机器人和其他 MEV 攻击者甚至不可能知道你的交易存在。

• 批量拍卖： CoW Protocol 不是一个接一个地执行交易，而是将一段时间内提交的所有订单捆绑到一个“批量”中。然后，该批次被发送到具有竞争力的求解器网络。

• 求解器： 这些求解器是专门的角色，他们竞争为批次中的所有交易者找到最佳价格。他们可以通过将订单与批次中的其他交易者（点对点）匹配，或者通过将其路由到外部流动Source（如 DEX）来完成订单。他们有动力找到最有效的解决方案，因为他们会因提供最佳结果而获得奖励。

• 公平价格： 你的交易的最终价格由该批量拍卖确定，确保你获得公平、统一的价格。由于求解器负责支付 gas 费用，因此 CoW Protocol 还可以提供 gasless 交易，从而进一步降低用户的成本和复杂性。

协议级威胁：系统中的错误

除了交易层之外，DeFi 协议本身也可能容易受到其设计或代码中的缺陷的影响。这些不是对个人交易的攻击，而是对协议本身基础的攻击。

智能合约漏洞

智能合约是管理 DeFi 的代码。但就像任何代码一样，它们可能包含错误。漏洞可能就像一个访问控制缺陷一样简单，该缺陷允许任何人提取资金，或者像 reentrancy 攻击一样复杂，reentrancy 攻击导致了 2016 年著名的 DAO 黑客攻击。

在 reentrancy 攻击中，恶意合约可以递归地调用易受攻击的合约上的函数，以在初始调用完全完成之前耗尽其资金。对抗这些漏洞的唯一真正的防御是严格的智能合约审计，安全专家在协议上线之前仔细审查代码以查找和修复错误。

Oracle 操纵

许多 DeFi 协议，尤其是借贷协议，都依赖于 oracle：向区块链提供外部数据（如资产价格）的服务。如果攻击者可以操纵此数据，他们就可以利用该协议。最常见的方法涉及闪电贷。

闪电贷攻击

闪电贷是一种不需要抵押品但必须在同一区块链交易中借入和偿还的贷款。虽然闪电贷可用于好的方面（例如，无风险套利），但它们已成为老练的攻击者的强大工具。

通过借入大量资产，攻击者可以操纵 DEX 上的价格，诱使易受攻击的 oracle 向借贷协议报告虚假价格。然后，攻击者可以使用此操纵后的价格根据其抵押品借入大量资金，然后再偿还闪电贷，所有这些都在一次原子交易中完成。2021 年的 BadgerDAO 漏洞是此类攻击的经典示例。

Rug Pull

Rug Pull 是项目开发人员的恶意行为，他们突然放弃项目并从去中心化交易所撤回所有流动性，使投资者留下毫无价值的代币。这通常发生在匿名团队和未经审计的代码中。

治理攻击

在去中心化自治组织 (DAO) 中，代币持有者对关键决策进行投票。攻击者可以获得大量协议的治理代币，通常通过闪电贷，以通过恶意提案，允许他们窃取资金或以其他方式损害协议。2022 年的 Beanstalk 漏洞是一个突出的例子，攻击者使用闪电贷通过了一项恶意治理提案，该提案耗尽了协议的资金。

个人威胁：你钱包的安全性

如果你（用户）成为个人安全漏洞的受害者，那么世界上所有的交易和协议级安全性都毫无意义。你的私钥是你拥有的加密货币中最重要的信息。如果它受到威胁，攻击者可以完全访问你的资金，无论你使用的是什么协议。

私钥和助记词安全

你的私钥（以及生成它的 12 或 24 个单词的助记词）是你钱包的主密钥。你绝不能与任何人分享此信息。警惕要求你“验证”助记词的网络钓鱼诈骗。你的助记词应离线存储，最好存储在非数字介质上，例如纸张或金属板。

常见诈骗

网络钓鱼： 模仿合法服务的恶意电子邮件或消息，诱骗你点击链接并输入你的私钥或助记词。

恶意软件： 可以安装在你的设备上以窃取你的私钥甚至在交易期间更改你钱包的收件人地址的恶意软件。

虚假网站： 完美模仿流行的 DEX 或钱包以窃取你的登录信息的网站。

更聪明地交易，而不是更努力地交易

DeFi 生态系统是一个强大而令人兴奋的空间，但必须以对风险的清晰理解来对待它。通过了解这些威胁：从 MEV 和三明治攻击等交易漏洞，到智能合约错误和 oracle 操纵等协议漏洞，最后到个人钱包安全的重要性，你可以保护自己。

虽然这种格局可能令人生畏，但新一代协议正在构建中以解决这些问题。像 CoW Protocol 这样的工具是抵御一些最常见和最昂贵的交易威胁的强大防御，但真正的安全是一种多层方法。

它需要使用强大、经过审计的协议，了解生态系统中固有的风险，最重要的是，实践警惕的个人安全。通过结合这三者，你可以充满信心地进行交易并安全地驾驭去中心化金融的前沿。

下一步

准备好亲自体验 DeFi 的力量了吗？前往 CoW Swap 并尝试交易！

相关阅读：

• DeFi 中资金如何流动：解构去中心化金融系统

• 了解 DeFi 借贷

• 找到适合你的 DEX：为什么 DEX 并非都以相同方式构建

• 原文链接： cow.fi/learn/de-fi-secur...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～