以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > BNB > Info

近4億美元損失,Solana的黑客攻擊都有什么共同點?_CRE:golem幣有前景嗎

Author:

Time:1900/1/1 0:00:00

原文作者:sec3

原文編譯:ChinaDeFi

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。

重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:

Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;

CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;

DEX交易量達到中心化交易所交易量的近4%:金色財經報道,去中心化交易所的交易量在7月創歷史新高,超過40億美元。同時,據Block Research數據,去中心化交易所與中心化交易所的交易量比率在7月也增加了,達到了將近3.95%,高于6月份的2.1%。在6月之前,該比例從未超過1%。[2020/8/5]

CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;

Nirvana:通過閃貸操縱價格,350萬美元被盜;

Slope錢包:由于助記詞被泄露,400萬美元被盜。

在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。

今日交易所BTC流入量減少近4成:據合約帝交易所鏈上轉賬報告顯示,截至北京時間3月6日18:00,今日BTC流入交易所19126個,較昨日減少39.37%,流出交易所24413個,較昨日減少18.58%。今日ETH流入交易所334919個,較昨日增加49.39%,流出交易所365451個,較昨日增加46.32%。[2020/3/6]

Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。

CashioApp:黑客創建了8個假賬戶來通過有效性檢查。

CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。

Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。

動態 | 過去7天“比特幣伊朗”搜索量飆升了近4500%:根據谷歌趨勢的數據,過去七天, “比特幣伊朗”(Bitcoin Iran)這一搜索詞飆升了4450%。“比特幣”一詞在全球范圍內也出現了大幅上升,周三達到了100,而一周前是40。尼日利亞是這兩個詞使用頻率最高的地區。加拿大、新加坡和美國也對“比特幣伊朗”產生了濃厚的興趣。這些數據出爐之際,比特幣價格繼續大幅上漲,目前周漲幅超過15%。評論人士立即開始將其上漲歸咎于伊朗事件,稱地緣不穩定往往會導致價格上漲。不過另一些人則不那么信服,聲稱這種聯系實際上是一種虛構的敘述,但隨著它成為主流,它仍可能成為一種自我實現的預言。(cointelegraph)[2020/1/8]

SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。

行情 | XRP過去十分鐘漲近4%,短線突破0.33USDT關口:據Huobi數據顯示,XRP過去十分鐘漲近4%,短線突破0.33USDT關口,現報0.3306USDT,行情波動較大,請注意風險控制。[2019/4/17]

2.所有黑客攻擊都涉及多次交易

Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。

CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。

CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10筆閃貸交易,從不同的代幣池中進行竊取。

Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。

SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。

3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)

Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。

CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。

CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。

Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。

Slope錢包:廣泛的攻擊持續至少8個小時。

4.最大的損失是由于缺少帳戶驗證

前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。

無論是否是巧合,這些攻擊都造成了很大的經濟損失。

5.閃貸牽涉到兩次黑客攻擊

CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。

在CremaFinance,閃貸被用來引導存款流動性。

在Nirvana中,其內部價格預言機被閃貸操縱。

安全措施:

賬戶所有權

賬戶簽名者

帳戶之間的關系(或邏輯約束)

根據協議邏輯,還應該檢查:

如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。

如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。

監控SOL或SPL代幣的大規模轉移;

監控針對你的智能合約的閃貸交易;

通過升級依賴程序來監控潛在的漏洞;

監控異常狀態(例如,計算費用);

監控往返交易事件例如deposit-claim-withdraw在單個tx中);

監控來自同一簽名者的重復交易;

任何針對協議特定屬性的自定義監控。

如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。

Tags:OLEFINCREAFINgolem幣有前景嗎Vanci.FinanceCREDOAFINS

BNB
關于亞太區甄選體驗活動結束的通知_ITM:Medallion Coin X

尊敬的用戶: BitMillion全球甄選體驗活動已經持續1個多月的時間,在此期間,BitMillion邀請全球百余家優質社區參與此次活動,累計收集近千條寶貴的意見.

1900/1/1 0:00:00
幣圈老呂:以太坊無懼反彈還有新低,比特幣19500下繼續極弱_RATS:sats幣白皮書

大家好,我是幣圈老呂。接上篇,上一篇主題十分明確,繼續看以太坊刷新低,雖然預期的開空位置沒有到達,但起碼總體方向是沒變的,其實在大熊市中談到最多的就是做空,方向可能一目了然,因為畢竟大環境在那里.

1900/1/1 0:00:00
Gate.io 動態聊天室團圓九月,中秋相聚有禮_GATE:VIP

但愿人長久,千里共嬋娟。2022年中秋節即將到來,Gate.io動態圈聯合聊天室特推出“Gate.io團圓九月,中秋相聚有禮”特別活動,邀請你參與發布動態,與Gate.io分享你的幣圈故事,就有.

1900/1/1 0:00:00
Gate.io Startup:SuperWalk (GRND) Initial Sale Result & Listing Schedule

1SuperWalk(GRND)TokenSaleResultTheGate.ioStartupSuperWalk(GRND)saleresultisasfollows:GRNDStartupS.

1900/1/1 0:00:00
硬核科普:“與其糾結交易所風險,不如學會自己做冷錢包”_TOK:KEN

前兩天ETH突破1.6K,很多人跑來問ETH能不能追。結果一天之后劇情反轉,大家就都開始看更低的價格,1K、0.8K、0.5K....資本市場就是這樣,當好的時候,大家樂意看得更好,當差的時候,

1900/1/1 0:00:00
幣安下架USDC等穩定幣,我在幣安的資產會受影響嗎?_USDC:穩定幣

對于幣圈來說,這幾天簡直是熱鬧非凡,以太坊的合并前天晚上已經開始第一階段,最近在幣圈流傳就是關于幣安要下架usdc和穩定幣,很多朋友就擔心會不會影響自己的賬戶.

1900/1/1 0:00:00
ads