FBI 說許多網路攻擊者愈來愈常利用去中心化金融平台 (decentralized finance platforms, DeFi) 竊取加密貨幣,造成受害者們金錢上的損失。
有觀察到有心人士透過投資方在 DeFi 平台交易時,由程式自動生產的買賣方智慧契約 (smart contracts) 偷取投資者的加密貨幣。有心人士利用投資者對於加密貨幣的興趣和複雜的跨鏈交易以及 DeFi 的開源性質,進行惡意的加密貨幣竊取。
單單在今年 (2022) 一月到三月的短短三個月間,網路犯罪者就已經竊取了約 1,300,000,000 美金 (近 400 億台幣) 的加密貨幣;根據 Chainanalysis 的統計結果,其中有 97% 的受害金額來自於 DeFi 平台上的交易,相較於 2021 年的 72% 和 2020 年的 30%,是一個顯著的成長幅度,也反映出了駭客對於 DeFi 平台上漏洞的利用愈發的普及和頻繁。
FBI 觀察到駭客們透過以下三種詐騙手法,在 DeFi 平台上竊取加密貨幣:
(1) 在 DeFi 平台上,發動閃電貸 (Flash Loan)。閃電貸是一種區塊鏈上,即時且無需抵押的貸款行為。許多惡意人士經常利用此類貸款無需抵押的性質,利用大額的閃電貸,操縱虛擬市場上的買出和賣出,並利用各種 DeFi 協議,在短時間無需償還利息之前,獲取可觀的利潤。在今年一月到三月,約造成了 3,000,000 美金的損失。
(2) 利用 DeFi 平台中跨鏈橋的簽名驗證弱點 (signature verification vulnerability) ,將鎖定平台上持有的加密貨幣全數釋出。在今年一月到三月,約造成了 320,000,000 美金的損失。
(3) 利用 DeFi 平台上的數個弱點,例如:單一價格計算 (single price oracle) 對加密貨幣的價格進行操弄;並繞過滑點檢查 (slippage check) 錯誤地計算交易的金額,從中獲得計算錯誤的交易加密貨幣。在今年一月到三月,約造成了 35,000,000 美金的損失。
FBI 建議加密貨幣投資者在進場前特別注意以下幾點:
(1) 先研究 DeFi 平台上的資訊,例如:該平台的協定、智慧契約內容、潛在的風險等。
(2) 確認該 DeFi 平台的平台源碼是否經過第三方的源碼查核和分析,以減少或排除平台上存在可被利用漏洞的可能性。
(3) 若無法確認第二點,請對 DeFi 平台的借貸時間窗口提高警覺,並選擇借貸時間窗口極短 (短到無法進行Flash loan) 的 DeFi 平台。
(4) 若 DeFi 平台有提出漏洞修補時,請注意此修補是否來自於可以信任的開發者。
投資一定存在風險,如何提高警覺、避免不避要的損失是每一個投資者都應該學習的課題。
資料來源
Cyber Criminals Increasingly Exploit Vulnerabilities in Decentralized Finance Platforms to Obtain Cryptocurrency, Causing Investors to Lose Money, Public Service Announcement (29 Aug 2022): https://www.ic3.gov/Media/Y2022/PSA220829
FBI警告,駭客愈來愈愛開採DeFi漏洞
,iThome (30 Aug 2022): https://www.ithome.com.tw/node/152771