CertiK安全分析：8月數字貨幣相關攻擊事件分析總結_SUSHI:Experiencer

「幣圈一天，人間一年」，「DeFi一天，幣圈一年」。近期的鏈圈幣圈，熱度已幾乎都被DeFi掠奪。伴隨著項目的層出不窮，大量用戶的涌入，DeFi協議總鎖倉量已高達103.8億美元。極高的投資收益吸引了大量幣民加入，而8月，更是流動性挖礦項目如火如荼的一個月。從實驗性流動性挖礦項目Yam到目前仍舊具有極高話題度的SushiSwap，整個區塊鏈社區都在持續討論著其中的巨額利潤以及隱藏其下的安全隱患。在這一個月中，大量新的挖礦項目出現，其中絕大多數項目都直接復制其他類似項目的代碼，在未進行安全審計的情況下匆忙上線。因此導致了發現的智能合約安全漏洞數量眾多而且性質類似。如今，確定一個項目是否可以投資的首要條件應該是檢查項目及其合約是否由著名安全團隊進行過專業審計并取得較高安全評價。據CertiK安全技術團隊統計，8月份發生與區塊鏈相關的安全事件盤點如下：8月11日，基于以太坊的代幣項目NUGS出現安全問題，其智能合約中存在安全漏洞，致使其代幣系統出現巨額通脹。由于該智能合約的安全漏洞無法被修復，因此最終NUGS項目官方發布公告決定放棄該項目，存入其中的代幣也無法被取出。8月12日，流動性挖礦項目Yam爆出智能合約漏洞，該漏洞將預留巨大數目的代幣，導致對項目進行治理所需要的代幣數目隨之增長，最終由于社區沒有足夠的代幣，任何治理行為都無法進行。8月14日，流動性挖礦項目Based存在智能合約安全漏洞并遭到攻擊者攻擊，該項目中一號池智能合約中函數被錯誤設置為可以被外部任意調用，造成其被外部攻擊者搶先初始化，導致一號池中任何質押行為都無法完成。8月28日，Sushiswap智能合約中被發現存在多個安全漏洞，該漏洞允許智能合約擁有者在無任何社區授權情況下，任意進行取款。同時，該合約還存在重入攻擊漏洞，會導致潛在惡意代碼被執行多次。8月31日，用戶由于使用存在漏洞的舊版本electrum錢包應用，導致1400枚比特幣被盜。8月31日和9月1日，Sushiswap仿盤Yuno和Kimchi兩個項目智能合約均被發現存在安全漏洞，該漏洞允許智能合約擁有者無限增發項目對應代幣，可能導致項目中代幣產生巨大通脹。列表如下：

Multicoin升任Spencer Applebaum和Shayon Sengupta為投資合伙人:金色財經報道，Multicoin官網宣布，投資團隊中任期最長的兩位成員Spencer Applebaum和Shayon Sengupta已晉升為投資合伙人。[2023/3/10 12:53:22]

事件詳情

以下是8月安全典型事件的具體分析：1號事件是一個非常典型的，由于邏輯實現上失誤而造成的漏洞。NUGS項目的商業實現模型是一個彩票抽獎的系統，彩票抽獎以輪為單位，在每一輪抽獎中，投資者可以向該輪獎池中存入資金。經過一段時間后，NUGS智能合約中的開獎函數可以被外部調用，從而確定本輪彩票抽獎的贏家。贏家獲得獎池獎金，而來自外部調用開獎函數的調用者也會獲得一小部分獎勵。該輪抽獎結束，獎池中數額清零，因此每一輪抽獎開始時，獎池內的初始數額應當為“零”。然而NUGS智能合約中存在一個關于獎池獎金初始數額的邏輯實現漏洞：當一輪抽獎結束后，獎池中數額未被清零，導致了下一輪抽獎開啟后，獎池中的初始數額為上一輪的總獎金。因此獎池中的獎金會越來越多，最終導致通脹、幣值飛快貶值。2號事件發生在Yam流動性挖礦項目上，也是一個由于邏輯實現上的失誤導致的安全漏洞。在Yam智能合約中存在一個rebase函數，其目的是在確保代幣的價格穩定，而由于在代碼層面的疏忽，對每一次rebase執行時，代幣總共供給量totalSupply的數值被錯誤的進行計算，導致totalSupply的數目只能持續增加，因此最終同樣導致了通脹發生。以上兩個事件中的漏洞都是屬于邏輯實現層面出現的漏洞。邏輯實現上的漏洞雖然非常直觀，但依靠任何現有的自動檢測工具均無法檢查，需要依靠專業的安全審計和/或嚴謹的數學證明才能夠避免該類漏洞。3號事件發生于流動性挖礦項目Based。其智能合約在進行部署時，Based官方僅通過調用智能合約中的renounceOwnership函數聲明了所有者，而并沒有對智能合約初始化。而一名外部攻擊者在Based官方之前，搶先調用initialize函數對智能合約進行了初始化。這使得智能合約的所有者和初始化的操作者不一致，最終任何質押行為都無法完成。該安全漏洞是由“智能合約自身調用安全風險”和“部署智能合約風險”兩者同時影響產生的。對該種智能合約的部署應該確保發送部署智能合約的交易和對智能合約的初始化等操作交易的原子性，即該兩者交易應該相互關聯，確保沒有第三方利用時間差進行惡意攻擊操作。4號和6號事件相同：存在多個智能合約漏洞，其上線前均未進行安全審計，對于項目擁有者過大權利的問題，均缺乏相應社區監管機制。這兩個事件的主角項目分別是SushiSwap以及其仿盤Yuno和Kimchi。SushiSwap項目智能合約中，智能合約擁有者有權利在無監管的情況下，使用setMigrator函數任意修改migrator的值，然后通過調用migrator.migrate來調用任意智能合約外部代碼。該外部代碼對于智能合約本身是未知的，因此智能合約擁有者可以通過該操作執行惡意代碼。Yuno和Kimchi項目中也存在著類似的漏洞：智能合約擁有者有權利通過mint函數來進行無限制數量的鑄幣操作。最初，該類漏洞的解決方法是將任何來自智能合約擁有者的操作使用timelock智能合約加入延遲鎖，SushiSwap、Yuno和Kimchi都通過該種方法為自身加入了48小時的操作延遲。其初衷是給予投資者48小時的窗口，對任何來自智能合約擁有者的疑似惡意交易，都有足夠的時間進行撤資等操作。雖然SushiSwap項目中的ChefNomi成功轉走的大筆代幣后來返還了，但最終SushiSwap項目還是采用了多簽名錢包來確保項目的去中心化。可以說，延遲鎖并沒有辦法根本解決智能合約本身的漏洞。5號事件是由于受害者使用了舊版本的Electrum錢包，攻擊者利用存在于舊版本中的軟件漏洞進行釣魚攻擊。此軟件漏洞會對Electrum節點服務器返回的交易錯誤信息進行HTML渲染。攻擊者可以搭建一個惡意的節點，當該節點接收到來自用戶發起的交易請求時，讓用戶錢包彈出一個包含釣魚信息的窗口，讓用戶去下載一個所謂的“錢包更新”。而這個”新版錢包“實際上是一個包含惡意代碼的假的錢包。一旦用戶將自己錢包導入，該假錢包會將其中所有代幣轉移至攻擊者的錢包中。安全建議

Lancer Capital領投Matou Network為虛假消息:近日有投資者稱名為Matou Network發表其項目獲得Lancer Capital領投，經核實，Lancer Group 及Lancer Capital, Media,EDU等旗下其他業務機構均沒有開展與Matou Network任何形式的合作。特此聲明，望廣大投資人注意風險。[2021/3/23 19:09:29]

綜上所述，8月安全事件頻發，CertiK安全團隊提出以下建議：對于區塊鏈項目的安全風險不僅需要從代碼漏洞層面觀察，同時也應該仔細了解項目的邏輯實現與其邏輯設計是否一致。區塊鏈項目需要為其整個部署流程規劃詳細的設計與實施流程，確保部署操作的原子性。面對區塊鏈項目智能合約擁有者權利過大的問題，不應僅僅依靠外部強制機制來限制，更是應該從智能合約代碼實現以及社區治理等多角度綜合，從而確保項目不會被任意一方濫用。DeFi熱度持續上升，區塊鏈作為時代顛覆性的核心技術，也已在各個領域得到了廣泛的應用，隱藏在收益和利好之下的安全隱患也不應被忽視。CertiK致力于構建區塊鏈健康安全生態，利用業內領先的技術解決區塊鏈與智能合約的安全痛點。

去中心化網絡存儲協議Ceramic啟動Clay測試網 將于Q1末或Q2初啟動主網:1月28日消息，去中心化網絡存儲協議Ceramic宣布正式啟動測試網“Ceramic ClayTestnet”，并將于2021年一季度末或二季度初啟動Ceramic Fire主網。該測試網運行3個JavaScript客戶端，分別為Core客戶端、HTTP客戶端和CLI。另外，在Clay上創建的文檔將無法遷移到主網上。Ceramic Fire主網將包括其他性能優化、完全去中心化的對等點發現機制、網絡監控以及其他漏洞修復等。[2021/1/28 14:13:24]

mStable：已為USDC和WETH Balancer池分配25萬枚MTA獎勵:基于以太坊的穩定幣聚合協議mStable發推稱，已經為USDC和WETH Balancer池分配25萬枚MTA生態系統獎勵。下周，新的MTA/mUSD Balancer池將在現有池的基礎上獲得7.5萬枚MTA的獎勵。[2020/7/20]

現場 | Hashtag資本合伙人Spencer Yang：接下來一周還將有6個項目IEO:4月23日，金色沙龍新加坡第一期在新加坡舉行。Hashtag資本合伙人Spencer Yang在沙龍主題演講中表示，近三個月IEO已經超過50個項目IEO，接下來一周還將有6個項目IEO。他還從從項目方、投資者和交易所三個角度分析了IEO。對項目方來說，IEO可以募集資金，可以市場宣傳和營銷，并保證能上交易所；對投資者來說，有精心挑選的項目和明確的投資；對交易所來說，可以帶來更多的用戶，更高的交易量，并能得到上幣費用。因此非常利好平臺幣，平臺幣價格在過去3個月都有非常不錯的表現，價格都有數倍增長。[2019/4/23]

Tags：CERNCESHISUSHISOCCERExperiencerKISHIMOTO幣3X Long Sushi Token

幣安app下載