流行 DeFi 项目基础安全风险分析

# **背景**

近年来，DeFi 项目快速增长，引领了一场金融创新革命。 DeFi项目利用区块链技术提供去中心化的金融服务，如借贷、交易、资产管理等，让用户直接互动，无需传统金融中介。

但由于DeFi 项目拥有一定的资金规模和用户基础，因此也成为黑客潜在的攻击目标。很多项目方认为，DeFi 安全就是合约安全。这是一个误解，因为DeFi 还包含域名、服务器等信息。

鉴于此，各类钓鱼诈骗团伙应运而生，其中最特殊的是【天使排水者】(http://mp.weixin.qq.com/s?__biz=MzU4ODQ3NTM2OA==mid=2247498735idx=1sn=18f23b8e602081a143997de7638c6870chksm=fdde8568caa90c7ebd85dad9fe088d899929cd7f0f4c2b1675847092585301de089ffe0715d5scene=21#wechat_redirect），今年钓鱼组有Balancer、Galxe、Frax Finance、VelodromeFi等DeFi项目， Aerodrome.Finance已发起攻击。 Angel Drainer通过接管项目的DNS来劫持域名，向前端注入恶意js代码，骗取用户签名，最终达到窃取资产的目的。

在此背景下，本文旨在对DefiLlama排行榜上的DeFi项目的基本安全风险进行评估和分析。 DefiLlama是一个提供DeFi项目数据和排名的平台。其排名上的项目代表了市场上最受关注和最广泛使用的DeFi 服务。

# **测试项目及方法**

首先，我们根据DefiLlama的排名将项目分为不同范围：前50名、前100名、前200名、前500名、前3000名进行统计。主要收集DNSSEC相关信息、域名whois信息、CDN信息、各项目对应域名的源IP暴露情况进行分析。

### **DNSSEC 安全问题**

DNSSEC（域名系统安全扩展）是用于增强域名系统（DNS）安全性的技术扩展。其主要功能是提供一种机制来确保DNS查询的数据完整性、真实性和认证。 DNSSEC的主要功能如下：

**1\\.数据完整性：** DNSSEC采用数字签名技术对DNS数据进行签名，确保其在传输过程中不被篡改。这可以防止恶意攻击者篡改DNS 响应、将用户重定向到恶意网站或劫持网络流量。

**2\\.数据真实性和身份验证：** DNSSEC 可以验证DNS 响应的真实性，确保数据来自权威DNS 服务器而不是恶意DNS 服务器。这有助于防止DNS 欺骗攻击，即攻击者试图伪造DNS 响应来欺骗用户。

**3\\.防范缓存中毒攻击：** DNSSEC 可以防止缓存中毒攻击，即防止攻击者将虚假DNS 记录插入DNS 缓存，从而导致用户被引导至恶意网站。通过数字签名验证，DNSSEC 可以检测并拒绝虚假DNS 记录。

**4\\.增强DNS安全：** DNS是互联网的关键基础设施之一，许多网络活动都依赖于DNS。使用DNSSEC可以提高整个互联网的安全性，降低恶意攻击的成功率，从而增强用户和组织的网络安全。

简而言之，DNSSEC的作用就是通过数字签名和验证机制增强DNS的安全性，保证DNS查询的数据完整性和真实性。特别是当DNSSEC开启时，可以验证域名的权威DNS服务器是否真实，降低域名劫持和DNS欺诈的风险，有助于提高互联网的整体安全性和可信性。

本次测试通过脚本和https://domsignal.com/等第三方检测网站进行DNSSEC安全分析，检查项目域名的DNSKEY是否配置正确、RRSIG是否有效等，样本如下：

### **域名注册商安全问题**

域名注册商负责域名的注册和管理。其安全措施包括保护用户帐户免遭未经授权的访问、防止域名被恶意转让或更改、确保域名注册数据的安全。安全域名注册商通常会提供双因素身份验证、定期安全审核和强大的隐私保护功能。

使用不安全的域名提供商可能会导致各种DNS 安全问题，其中一些主要问题包括：

**1\\. DNS 劫持：** 不安全的域名服务提供商可能容易受到DNS 劫持攻击，攻击者可以篡改DNS 响应并将用户重定向到恶意网站。这可能会导致用户被欺骗并面临网络钓鱼、恶意软件或其他恶意活动的风险。

**2\\. DNS 缓存中毒：** 攻击者可以通过向不安全的域名服务提供商提供虚假DNS 记录来实施缓存中毒攻击。这会导致不安全的DNS 服务器在其DNS 缓存中缓存虚假数据，从而影响广泛的用户并将他们引导至恶意网站。

**3\\.数据篡改：**不安全的域名服务提供商可能容易受到中间人攻击，攻击者可以在DNS 查询传输过程中篡改数据，导致用户收到虚假的DNS 响应。这可能会导致用户连接到错误的服务器或面临恶意网站的风险。

**4\\.服务不可用：** 如果不安全的域名提供商遭受分布式拒绝服务(DDoS) 攻击或其他网络攻击，其DNS 服务器可能会变得不可用，从而导致网站和在线服务无法访问。

**5\\.缺乏DNSSEC支持：**不安全的域名服务提供商可能不提供DNSSEC支持，这会增加DNS查询的不安全性，使用户更容易受到DNS欺骗和其他攻击。

总之，使用不安全的域名服务器可能会导致DNS 安全问题，使用户和组织面临各种网络威胁。因此，选择一个值得信赖、提供强大安全措施（如DNSSEC 支持）的域名服务器对于保护您的域名和网络安全至关重要。 DeFi项目方应仔细评估和选择域名服务提供商，确保其提供的服务安全可靠。

本次测试使用https://www.godaddy.com/whois等whois服务商进行域名查询，收集项目域名对应的Register和当前Name Server。样本如下：

### **CDN和流量保护安全问题**

内容交付网络(CDN) 是一种通过在全球多个节点分发网站内容、减少延迟并提高访问速度来优化网站性能和安全性的服务。 CDN 安全措施包括防范分布式拒绝服务(DDoS) 攻击、网站应用程序防火墙保护以及HTTPS 支持，以确保数据传输过程中的安全和加密。

不安全的内容交付网络(CDN) 供应商可能会带来各种安全风险，其中一些主要风险包括：

**1\\.数据泄露：** 不安全的CDN 供应商可能没有采取足够的措施来保护其服务器上托管的数据。这可能会导致敏感信息泄露，例如客户数据、登录凭据或敏感文档。攻击者可以利用CDN 中的弱点获取或窃取这些数据。

**2\\.中间人攻击：** 攻击者可能会尝试在CDN 和最终用户之间进行中间人攻击。这意味着攻击者可能会篡改或监视通过CDN 的数据流量，以获取敏感信息或传播恶意内容。

**3\\.服务不可用：** 如果CDN 供应商遭受分布式拒绝服务(DDoS) 攻击或其他网络攻击，CDN 服务可能会中断，导致网站或应用程序无法访问。这可能会对业务可用性和性能产生严重影响。

**4\\.恶意内容的传播：** 如果CDN 供应商没有采取足够的安全措施来验证和审核其网络上托管的内容，恶意用户可能会滥用CDN 来传播恶意软件、恶意脚本或其他有害内容。

**5\\.缺乏加密支持：** 不安全的CDN 供应商可能无法提供足够的加密支持，从而导致数据传输容易被窃听。这可能会导致数据泄露和隐私问题。

**6\\。安全利用：** 攻击者可以利用不安全的CDN 中的安全漏洞来破坏CDN 网络并访问敏感数据或控制网络资源。

**7\\.法律和合规问题：**某些CDN供应商可能位于不同的国家或司法管辖区，这可能涉及法律和合规问题。这可能会导致数据隐私和合规性问题。

为了降低这些风险，DeFi项目所有者在选择CDN供应商时应仔细评估其安全措施、隐私政策和合规性。选择具有良好安全记录和专门安全团队的值得信赖的CDN 供应商是确保数据和网络安全的重要一步。

本测试获取项目域名对应的IP，统计市场上主流CDN的使用情况，如Akamai、Azure cdn、Cloudflare、Cloudfront、Fastly、Google云cdn、Maxcdn等。样本如下：

### **源IP暴露安全问题**

源IP暴露是指攻击者可以识别网站后端服务器的真实IP地址，从而绕过CDN或其他安全措施直接攻击服务器、绕过防火墙限制策略等。同时，Web服务器源IP暴露可能会导致以下安全问题：

**1\\.直接攻击：** 暴露的IP 地址成为黑客直接攻击的目标，包括分布式拒绝服务(DDoS)，这可能导致网站无法访问。

**2\\.安全漏洞利用：**如果服务器软件存在已知漏洞，黑客就可以利用这些漏洞入侵服务器。

**3\\.数据泄露风险：** 黑客可能通过暴露的IP访问敏感数据，导致数据泄露。

**4\\.网络钓鱼和欺诈：** 黑客可能会伪造服务器身份来进行网络钓鱼或欺诈活动。

因此，保护Web服务器的源IP地址是维护网络安全的重要措施。为了保护源IP不被暴露，通常会采取一些措施来隐藏真实的IP地址，例如使用反向代理服务器、配置安全的DNS记录、确保服务器的所有入口点都有适当的安全保护，这样可以降低直接针对源服务器的攻击的风险。

本次测试使用第三方服务尝试使用CDN绕过域名，检测项目域名的源IP是否暴露。示例如下：

基于以上测试，对结果进行统计分析如下。

# **结果统计**

### **DNSSEC 安全问题**

部分结果：

DNSSEC 统计：

（数量分布）

（百分比分布）

### **域名注册商安全问题**

部分结果：

域名注册商统计：

### **CDN和流量保护安全问题**

部分结果：

CDN使用统计：

可以看到，全球第一安全CDN厂商Akamai在DeFi行业的使用率基本为0，提高DeFi的基础安全和安全意识还有很长的路要走。

### **源IP暴露安全问题**

部分结果：

曝光统计：

源IP暴露带来的安全问题不容忽视。 12月7日，知名游戏项目@XAI\\_GAMES遭受DDoS攻击，导致其官方网站无法访问。同时，攻击者在该项目的Discord社区发布虚假官方网站，诱骗受害者访问欺诈网站并进行钓鱼攻击。结果，大量受害者被骗，损失约400 ETH。因此，DeFi项目方应注意保护Web服务器的源IP地址，降低直接针对源服务器的攻击风险。

# **总结**

综合以上各方面的统计信息，我们可以清晰地看到，当前DeFi 项目的基础安全风险十分严峻。大量DeFi 项目的配置不安全，存在被攻击的风险。

通过本文的分析，我们知道DeFi安全不仅仅是合约安全，安全是一个整体。

By: Mr.A@慢雾安全团队

鸣谢：@DefiLlama @censysio **参考链接：** https://www.akamai.com/blog/trends/dnssec-how-it-works-key-considerations https://en.wikipedia.org/wiki/Domain\\_name https://www.akamai.com/glossary/what-is-a-cdn 转载自freebuf： [https://www.freebuf.com/articles/blockchain-articles/386298.html](https://www.freebuf.com/articles/blockchain-articles/386298.html)作者：慢雾科技