去中心化金融交易平台（DeFi）遭駭侵攻擊情況日益嚴重

資安廠商 Chainalysis 日前發表研究報告指出，各種針對加密貨幣的去中心化金融服務（Decentralized Finance, DeFi）平台所發動的駭侵攻擊，近年不但日益增加，在今年第一季財損甚至達到史上最高記錄。

以損失金額來說，各種針對加密貨幣平台發動的駭侵攻擊，於去（2011）年達到史上最高記錄，全年的總損失高達 32 億美元，其中針對去中心化金融平台的全年攻擊損失，達到 25.1 億美元。

然而光是在今（2022）年第一季，針對加密貨幣相關服務的攻擊總損失，已來到 13 億美元，而針對去中心化金融平台的單季攻擊損失，就高達 4.3 億美元。

若以各平台的攻擊占比來看，針對去中心化金融平台的全年攻擊損失占比，2020 年約為 30%，2021 年大幅成長到 72%，到了今年第一季更高達 99%。

該報告也指出，在針對加密貨幣相關的攻擊形態上，近年來也發生相當大的變化。在 2020 年時，駭侵者主要是以取得平台或用戶持有的登入資訊來發動攻擊，這種攻擊的比例在 2020 到 2022 年之間占所有攻擊損失額的 35%；但是針對去中心化金融服務平台的攻擊，主要是透過攻擊去中心化金融交易協定所使用的智慧合約，在程式設計上的邏輯漏洞，例如所謂的「閃電貸款」。這種攻擊比例自 2020 年的 10% 左右，上升到 2022 年的近50%。

報告分析指出，駭侵者主要是攻擊去中心化平台為取得加密貨幣正確價格資料所需的「預測機」（Oracle）機制，最近發生的多起去中心化交易所遭駭事件，都是駭侵者利用預測機的程式邏輯漏洞，進而竊起鉅資。

本文轉載自TWCERT/CC。