OpenZeppelin为DeFi团队提供对抗闪电贷攻击的利器Defender

　　自2020年以来，闪贷攻击已经从DeFi项目窃取了近1.5亿美元。加密货币软件和安全公司OpenZeppelin刚刚发布了一套用于去中心化金融(DeFi)项目的软件，以应对闪贷攻击和其他漏洞，Defender是一个软件套件，当漏洞发生时，它为团队提供警报，以及实时响应该漏洞的自动脚本。

　　自从去年夏天出现以来，产量农业应用和其他DeFi市场已经填充了以太坊区块链，并吸引了数十亿的资本。这些资金池也成为了网络攻击的有利可图的蜜罐。

　　也许最常见的是闪贷攻击，其中攻击者一次从几个借贷池借入代币，并使用每笔贷款支付其他贷款，同时使用超额从其他市场提取价值。为了确保攻击能够快速进行，攻击者需要支付远高于平均水平的交易费用。

　　从渴望复合到奶油，去中心化的金融平台自2020年以来已经因这些攻击总计损失了近1.5亿美元。

　　OpenZeppelin的首席技术官Jonathan Alexander告诉CoinDesk, Defender suite旨在减轻这些攻击的影响，并在攻击发生时为团队提供自动工具来应对，这有助于减少未来的损失。

　　“如果你发现了什么，你可以通知团队，但你也可以自动化行动。您可以调用一个管理函数来暂停区块链或将令牌从一个地方移动到另一个地方。监控是很好的练习……但现在你也可以用自动行动做出回应。”

　　后卫是怎么工作的？

　　亚历山大说，Defender确保对攻击有一个适当的响应时间的关键是，它监视和改变团队的攻击，并为他们提供随时可以部署的代码来响应攻击。这些预先编码的脚本可以做暂停或升级智能合约之类的事情，或者它们可以执行更琐碎的、日常的自动化任务，比如事务中继。

　　两个更重要的功能，Defender Sentinel和Defender Admin，可以帮助阻止flash loan攻击，这些攻击在过去的一年里骗走了数亿代币。

　　在一个价值1100万美元的漏洞中，desire的攻击者通过在Aave上为USDT(+0.01%)和USDC提取闪贷，操纵了desire金库DAI(-0.03%)的汇率;然后，这些资金被存入曲线融资池，以捏造涉及USDT、USDC(+0.08%)和DAI的汇率，从而影响了DAI在渊金库里的价格，造成清算和损失。

　　Defender将通过扫描区块获取高额交易费用来查明这些攻击的发生。如果出现不正常情况，团队就会收到通知(比如Slack)，他们可以从防守者的自动脚本中选择一个来响应攻击。其中一种方法可以停止chain上的所有操作，例如，或黑名单地址。

　　现在，Defender不能在漏洞发生前阻止它，但它可以在剥蚀者带着一堆金币离开前阻止它。在未来，OpenZeppelin希望发布一个版本，可以跟踪以太坊的mempool(交易的虚拟存储池)中的恶意交易，尽管这需要时间。

　　“我们正在逐块监控。就在一个区块被布雷时，哨兵就会跑开并启动自动任务，所以我们说的是秒反应时间。这仍然是在事实之后，”亚历山大说，“但快速反应过去的业绩可以节省数百万美元。”

　　在这些攻击的响应协调依赖于社交媒体和消息平台之前，修复需要几分钟到几个小时。如果Defender能像上面描述的那样发挥作用，那么它在与区块链时钟的比赛中给球队带来的分秒优势可以为球队节省数百万美元的资金。

　　在使用以太坊区块链的历史状态向CoinDesk展示的演示中，OpenZeppelin回放了一个旧的DeFi漏洞，以演示Defender的反应和响应。亚历山大说，任何团队都可以使用该软件重现他们以前的漏洞，看看事情会有什么不同。

　　暂缓发放贷款可能会“改变游戏规则”

　　OpenZeppelin已经在与desire、dYdX、Synthetic等公司合作，让他们的解决方案在野外发挥作用。

　　“我们特别兴奋的是，我们能够在安全最佳实践的基础上实现自动化。最重要的是，Defender帮助我们解决了未知的安全问题，所以我们可以继续建设。”

　　Brendan Asselstine是prize pool DeFi protocol PoolTogether的首席技术官，他说他的平台使用Defender来“自动化我们协议的几个方面”，并且“依赖它作为我们基础设施的关键部分”。

　　鉴于对DeFi生态系统的flash loan攻击的速度，既然Defender已经推出，我们可能很快就会看到它的能力发挥作用。