“如果那東西看上去像鴨子,走起路來也像鴨子,我們就說它是鴨子。”這句來自某位政客所說的話被許多人奉為圭臬。如同我們每一個人,很多時候我們對外界釋放出的信息都會再通過外界評價反饋和影響到自身。這個道理不僅僅應用于某一個特殊領域,相反,它在所有事情上都可以找到痕跡。
區塊鏈發展日久,但對于很多人來說,它依舊是一個暗藏著騙局、跑路、黑客的法外之地。人們心中的認知很難被其他信息所影響,當然,這也的確需要歸因于目前區塊鏈項目所受的攻擊愈發猛烈。在鋪天蓋地的黑客事件中,想要扭轉人們對于區塊鏈的不安和抗拒只有依靠提高區塊鏈的安全標準,建立安全健康的區塊鏈生態。同理,當整個區塊鏈不再受負面新聞所纏身時,這個“鴨子”也會變成有利的那一只。
經統計,2020年傳統領域的網站及軟件安全率達到了97.5%,其中損失最大的一筆資產僅僅是接近5萬人民幣。而區塊鏈領域內,智能合約及相關節點的安全率只有89%,且損失往往處于600萬至6,000萬人民幣之間,這是需要幾個大卡車都運不下的天價資產。一次來自于區塊鏈領域的損失資產,也許就是傳統網絡損失資產的千倍以上。因此,CertiK安全專家盤點了2020年較為典型的21個區塊鏈項目,分析了其受攻擊的原因和黑客使用的攻擊方式,以作為業內安全事故警示的參考。在分析的這23個區塊鏈項目中,其中實現邏輯錯誤所導致的攻擊事件8起,價格預言機操縱事件4起,項目方欺詐事件3起,重入攻擊事件3起,閃電貸攻擊事件2起,錢包攻擊事件1起。這些安全事故項目列表如下:
Tim Draper:比特幣到2022年底或2023年初將達到25萬美元:1月11日消息,風險投資家、德豐杰(DFJ)創始人Tim Draper發推表示,銀行不喜歡比特幣,因為它使它們的關聯性降低,因此您會在周末看到他們試圖操縱比特幣的情況。比特幣到2022年底或2023年初將達到25萬美元。[2021/1/11 15:53:14]
表1:2020年區塊鏈重大事故項目列表
圖一:2020年區塊鏈重大事故項目損失圖表一和圖一展示了2020年區塊鏈重大事故項目損失情況。
圖二:攻擊類型損失圖
2020年重大攻擊事件明細
CoverProtocol
2020年12月28日晚,CertiK安全驗證團隊發現CoverProtocol發生代幣無限增發漏洞攻擊。攻擊者通過反復對項目智能合約進行質押和取回操作,觸發其中包含鑄造代幣的操作,對Cover代幣進行無限增發,導致Cover代幣價格崩盤。最終損失共計約2850萬人民幣。WarpFinance
波卡代幣發行與轉賬框架Polimec處于啟動階段 預計2021年8月上線首個項目:波卡的代幣發行與轉賬框架Polimec正處于啟動階段,背后團隊與區塊鏈身份協議KILT有關。KILT Protocol主管Ingo Ruebe表示創建一個這樣社區自有的的代幣系統原因多樣,不僅僅與以太坊高額轉賬費用有關。以往波卡生態內項目方會發行ERC-20代幣。KILT主網將在11個月后上線,代幣將首次使用Polimec框架。(Coindesk)[2020/9/17]
2020年12月17日,攻擊者利用WarpFinance項目使用的oracle計算質押的LP代幣資產價格錯誤的漏洞,從Warpfinance項目中獲利約1462枚ETH代幣,總價值約615萬人民幣。此外,攻擊者還mint了價值大約3,990萬人民幣的DAI-ETHLPshare,約650萬人民幣的獲利流入了uniswap和sushiswap的LP中。在本次攻擊中,Warpfinance遭受的損失大約為5,000萬人民幣。Compounder.Finance
2020年12月1日下午3點,CertiK安全技術團隊通過Skynet發現Compounder.Finance項目智能合約發生數筆大量代幣的交易。經過仔細驗證得知這些交易為內部操作,項目擁有者將大量數額代幣轉移到自己的賬戶中。經過統計,最終共損失價值約7,610萬人民幣的代幣。SushiSwap
2020年11月30日,Sushiswap項目被發現遭到惡意流動性提供者的攻擊,攻擊者利用該項目SushiMaker合約中的漏洞進行攻擊,最終獲利約10萬人民幣。Compound
湖南:到2022年推動3萬家企業“上鏈”:為大力發展區塊鏈產業、搶抓發展機遇,湖南省不久前出臺了首個省級區塊鏈產業發展行動計劃《湖南省區塊鏈產業發展三年行動計劃(2020-2022年)》,提出力爭到2022年,建成10個以上區塊鏈公共服務平臺,推動3萬家企業“上鏈”,建成5個左右區塊鏈產業園,相關產業營業收入達到30億元。根據《行動計劃》,湖南將積極拓展區塊鏈行業應用。一方面,拓展區塊鏈應用場景,推動區塊鏈技術在社會治理、社會救助、知識產權、供應鏈、工業檢測存證等領域的應用,探索數字經濟模式創新;另一方面,開展行業應用示范,結合湖南省產業基礎優勢和發展規劃布局,分別在工業、金融、商務、政務、文化等領域,組織開展企業級、區域級、特定領域的區塊鏈融合創新集成應用示范。
湖南將開展五大專項行動,分別是:工業區塊鏈融合發展行動,推進“工業互聯網+區塊鏈”創新應用;金融區塊鏈信用共建行動,推進基于區塊鏈的金融信息共享與基于區塊鏈的產業金融;流通區塊鏈應用創新行動,支持貨運物流區塊鏈應用,打造跨境電商區塊鏈服務平臺;公共服務區塊鏈共治便民行動,推動政務數據開放共享共治,鼓勵民生服務區塊鏈示范應用;文化區塊鏈價值創新行動,推進和探索數字內容區塊鏈、數字版權區塊鏈創新發展。(經濟日報)[2020/7/13]
2020年11月26日,Compound項目發生價格預言機代幣價格錯誤。其所采用的Coinbase價格預言機對DAI價格出現巨大波動,導致約58,250萬人民幣的資產被清算。PickleFinance
2020年11月22日凌晨2點37分,CertiK安全驗證團隊通過Skynet發現PickleFinance項目遭到攻擊。攻擊者利用合約中未檢查外部Jar合約是否合法的漏洞進行攻擊。最終項目共損失約1975萬枚Dai代幣,價值約12,800萬人民幣。OriginProtocol
云南省區塊鏈中心征集2020年第一批區塊鏈技術應用先行先試項目:為認真貫徹落實省委省政府關于把云南建設成為區塊鏈產業發展試驗場聚集區的部署要求,重點聚焦農業、產品溯源、市場監管、政務、司法存證等領域,按照“切口小一點、研究深一點、更管用一點”的原則,省區塊鏈中心先期在五華區開展區塊鏈應用試點,發布了《云南省區塊鏈中心關于2020年區塊鏈技術應用試點項目(第一批)發榜的公告》,誠邀國內各有關單位積極揭榜。首批8個發榜項目內容涉及農業、產品溯源、市場監管、政務、司法存證等領域。(云南日報)[2020/6/22]
2020年11月17日,OriginalProtocol項目OUSD遭到閃電貸與重入攻擊的組合攻擊。攻擊者利用合約中mintMultiple()函數中的重入漏洞,增加閃電貸貸來的資金作為杠桿,擴大攻擊收益。項目最終損失約4,500萬人民幣。CheeseBank
2020年11月16日,DeFi項目CheeseBank遭到閃電貸攻擊。攻擊者通過操縱流動性池中代幣數目,利用重置預言機來提高UniswapLP流動性憑證價格進行攻擊。最終項目損失約2,100萬人民幣,其中包括價值1,300萬人民幣的USDC。ValueDeFi
2020年11月15日,DeFi項目ValueDefi遭到閃電貸攻擊。攻擊者通過項目中使用Curve價格預言機,通過閃電貸操縱預言機代幣價格計算漏洞進行攻擊。最終攻擊者獲利約4,800萬人民幣價值的DAI。Eminence
2020年9月29日,攻擊者使用腳本程序,通過閃電貸借得初始資金,利用Eminence項目中的聯合曲線模型漏洞,反復購買出售EMN和eAAVE來獲得收益。項目最終損失約9,800萬人民幣。GemSwap
富國銀行:預計2020年全球經濟萎縮2.9% 重點轉向服務業:富國銀行表示,全球經濟的主要關注點已經從制造業轉向服務業,鑒于疫情對經濟沖擊的嚴重程度,預計全球經濟在今年上半年陷入衰退,并在今年晚些時候趨于穩定,全年經濟萎縮2.9%。[2020/4/19]
2020/09/26日,DeFi項目GemSwap遭到項目擁有者的后門攻擊。項目擁有者通過調用后門函數emergencyWithdraw()將所有的流動性證明取出并轉移至自己擁有的賬戶中,最終項目損失約850萬人民幣。SodaFinance
2020年9月21日,CertiK安全研究團隊發現soda區塊鏈項目中存在智能合約安全漏洞。該漏洞允許任意外部調用者通過調用智能合約函數,無視受害用戶債務中的代幣數目,強行結算受害用戶的債務,并將通過結算操作所得的收益轉入到自己的收款地址。最終項目損失約105萬人民幣。BASED
2020年8月14日,流動性挖礦項目Based出現初始化失誤造成的漏洞。其智能合約在進行部署時,Base官方僅通過調用智能合約中的renounceOwnership函數聲明了所有者,而并沒有對智能合約初始化。而一名外部攻擊者在Based官方之前,搶先調用initialize函數對智能合約進行了初始化。YAM
2020年8月12日,YAMFinance官方宣布他們發現了一個智能合約漏洞,并稱該漏洞將生成超出最初設定數量的YAM代幣,在計算totalSupply時,給出了錯誤的結果,這會導致系統保留的代幣數量過多。最終項目損失約500萬人民幣。NUGS
2020年8月11日,CertiK安全研究團隊發現基于以太坊的代幣項目NUGS出現安全問題。其智能合約中存在安全漏洞,致使其代幣系統出現巨額通脹。由于該智能合約的安全漏洞無法被修復,因此最終NUGS項目官方發布公告決定放棄該項目,存入其中的代幣也無法被取出。此次攻擊損失巨大,直接造成該項目失敗。Opyn
2020年8月4日,DeFi項目Oypn發生攻擊事件。攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。攻擊者在向智能合約中發送某一數量的ETH時候,智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致,而不是動態的檢查攻擊者發送的ETH數量是否在每一次的交易之后仍舊等于完成該次期貨買賣所需要的數量。也就是說,攻擊者可以用一筆ETH進行抵押,并在贖回兩次交易,最終獲得自身發送數量兩倍的ETH最終項目損失約240萬人民幣。Cashaa
第一次攻擊發生于7月10日北京時間晚6點57分,Cashaa的比特幣錢包之一被盜用并向攻擊者賬戶轉移了1.05977049個BTC。根據Cashaa報告中描述,攻擊者通過控制受害者電腦,操作受害者在Blockchain.info上的比特幣錢包,向攻擊者賬戶轉移BTC。第二次攻擊發生于7月11日北京時間凌晨8點10分,Cashaa的總計8個比特幣錢包,共計335.91312085個比特幣被攻擊者通過同樣的手段轉移到同一個地址中。最終項目損失約2,000萬人民幣。Balancer
2020年6月29日凌晨2點03分,攻擊者利用從dYdX閃電貸中借到的WETH,大量買進STA代幣,使得STA與其他代幣的兌換價格急劇上升。然后使用最小量的STA不斷回購WETH,并在每次回購后,利用Balancer的合約漏洞重置其內部STA的數量,以此穩住STA的高價位。攻擊者不斷利用漏洞,用高價的STA將某一種代幣完全買空,最終用WETH償還閃電貸,并剩余大量STA,WETH,WBTC,LINK和SNX,并通過uniswap將非法所得轉移到自己賬戶中。繼6月29日凌晨2點CertiK捕獲Balancer攻擊事件后,2020年6月29日20點與23點23分,Balancer項目再次遭到攻擊。攻擊者從dYdX閃電貸中借到代幣并鑄幣后,通過uniswap閃貸獲得cWBTC和cBAT代幣,然后將借得的代幣在Balancer代幣池中大量交易,從而觸發Compound協議的空投機制,獲得空投的COMP代幣,再使用Balancer有漏洞的gulp()函數更新代幣池數量后,取走所有代幣并歸還閃電貸。攻擊者相當于利用了Compound協議的金融模型、閃電貸和Balancer代碼漏洞,無中生有了COMP。兩次攻擊直接導致Balancer損失了約300萬人民幣。Hegic
2020年4月27日,Hegic項目中由于代碼實現存在錯誤,導致合約中用戶資金被鎖定,無法被任何方法操作。最終項目損失約18萬人民幣。Lendf.Me
2020年4月19日,Lendf.me項目遭到基于ERC777標準缺陷問題的重入攻擊。最終項目損失約16,200萬人民幣。Uniswap
2020年4月18日,DeFi項目Uniswap遭到攻擊。攻擊者利用ERC777可以在同一筆交易中完成代幣兌換的特性,通過其tokensToSend()函數對Uniswap進行重入攻擊。最終Uniswap項目損失共計約150萬人民幣。總結
從上文的數據統計里可以看出,這21次重大攻擊事件,損失總金額高達約13億人民幣。這13億人民幣被包括價格預言機操縱、重入攻擊、實現邏輯錯誤、閃電貸攻擊、項目方欺詐、錢包攻擊在內的各種攻擊方式所盜取,讓人防不勝防。計算機領域中早有統計,平均每1000行代碼中,會有1-25個bug。也就是說,這個概率的區間是千分之一至百分之二點五。想知道這個概率意味著什么嗎?點擊尋找答案!獲取答案后可以在CertiK官方微信公眾號底部對話框留言哦。
如需觀看本文視頻講解,請于微信視頻號右上角搜索區塊鏈領域內,任何一個小bug都可能會給項目或者投資者造成無法挽回的損失。想要改變“鴨子”的偏見和刻板印象,建立起安全有保障的區塊鏈健康生態,離不開每一個項目和個人對于安全的堅持與付出。安全審計對于區塊鏈項目來說,其重要性毋庸置疑,然而經過靜態審計的項目也并非可以百分之百的保證其靜態與動態安全。CertiK安全專家統計,業內經過審計的智能合約及節點的安全率是92.6%,但是經過CertiK使用形式化驗證技術審計過后的安全率可以高達99.6%!剩下的0.4%大多是由于智能合約在交互過程中產生了變動,從而導致靜態審計失效。在這個時候,一個隨時可以監測安全狀況的安全預言機以及事故發生后可以獲得理賠的去中心化資金池將是所有項目最堅固的后盾與保障。
Tags:區塊鏈NCECERANC區塊鏈域名誰在管理DEFILANCER幣Soccer CryptoY-5 Finance
編者按:本文來自巴比特資訊,作者:DavidHoffman,編譯:隔夜的粥,星球日報經授權發布。歡迎來到2021年,現在的情況有些不同了.
1900/1/1 0:00:002021.1.18第52期本期關鍵字OEC主網正式上線、波卡Rococo測試網插槽開始接入、Optimism主網開啟軟啟動、SNX質押已在二層上線、灰度單日入資超7億美元、Curve上線跨資產交.
1900/1/1 0:00:00昨晚比特幣行情走的也是比較令人失望,自下午開始反彈后便一直持續到晚上,到了晚上十二點左右一度沖高至38000美元附近,但隨后便開始回調,回調至36000美元附近時稍微止跌進行了小幅的反彈.
1900/1/1 0:00:00很多用戶在參與DeFi流動性挖礦的過程中,需要授權合約,但大家可能有所不知,如果你不小心授權了某些不靠譜的合約,錢包里的幣就危險了.
1900/1/1 0:00:00近期,加密資產基金灰度在最新一份新聞聲明中,正式對外宣布正著手解散XRP信托。幾天前,灰度宣布從其數字大盤基金中清算XRP頭寸,灰度援引美國證券交易委員會上個月對Ripple提起訴訟為作出此決定.
1900/1/1 0:00:00NFT是只有在區塊鏈領域里才存在的工具,有著廣泛的應用和機遇。ERC721代幣標準可以構建收藏品、獨立代幣、票據、游戲等多種應用,對于那些想要參與構建的開發者來說,一個動態和隨機的NFT是一個很.
1900/1/1 0:00:00