以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 非小號 > Info

中心化風險居高不下,2021年黑客攻擊損失高達13億美元_ERT:CERT

Author:

Time:1900/1/1 0:00:00

轉眼間已經陪伴CertiK走入了第五個年頭,然而隨著閱盡千篇審計報告,卻一直有一個問題,讓譬如小編這樣的技術門外漢倍感疑惑。有的時候,我們辨別一個項目的代碼是否優質,就是查看它的審計報告。而后根據審計報告中的風險等級和數目來判斷這個項目代碼的安全性是否達到標準。

但是近一年中,很多項目的代碼相對足夠完善和安全,卻不約而同地存在著一個主要風險——中心化風險。

那么具備這一風險的項目,假如它的代碼在其他方面表現得很良好,我們如何判斷它的代碼質量優質亦或不優質?

這樣的項目在以往的審計記錄中,占據了很大的比例——在CertiK統計的2021年1737份審計報告中,具備中心化風險的項目竟有286個之多,占據比例近17%。

Terra生態去中心化交易協議Astroport已上線“費用收取器”:金色財經消息,Terra生態去中心化交易協議Astroport已上線“費用收取器”(fees collector),任何人都可以通過這個UI調用maker合約,將費用兌換為ASTRO并將其分配給質押者。[2022/7/18 2:20:20]

而在CertiK近期發布的中,更是指出:2021年造成黑客攻擊最常見的原因是中心化風險,在因此產生的44起DeFi黑客攻擊事件中,總資產損失高達13億美元!

復制鏈接至瀏覽器即可下載安全報告:

https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese

劉昌用:POW的開放性和無主觀性是去中心化系統長期生存的基礎:北京大學經濟學博士、知密大學創始人劉昌用今日發微博稱,Vitalik(V神)對POS和POW的優劣判斷準確。我堅持優選POW,主要是因為更看重pow的開放性和無主觀性。即:不信仰密碼貨幣也會隨時參與挖礦賺錢;生態更能夠抗主觀的文化傾向影響。這兩點是去中心化系統長期生存的基礎。[2020/11/6 11:53:04]

DAO乃至整個加密世界最獨一無二的核心本質。

從定義上講——百度百科搜索的結果如下:在一個分布有眾多節點的系統中,每個節點都具有高度自治的特征。節點之間彼此可以自由連接,形成新的連接單元。任何一個節點都可能成為階段性的中心,但不具備強制性的中心控制功能。這種開放式、扁平化、平等性的系統現象或結構,我們稱之為去中心化。

TokenPocket上架去中心化交易平臺OneSwap:據官方消息,知名區塊鏈錢包TokenPocket 已于近日上架去中心化交易平臺OneSwap。

OneSwap由CoinEX投資孵化,是一個基于智能合約的完全去中心化的交易協議。據悉,OneSwap是首個支持“掛單挖礦+流動性挖礦”雙挖模式的交易平臺,并于9月19日-10月9日開啟為期20天的創世挖礦,用戶在錢包內搜索OneSwap即可操作。

TokenPocket是領先的數字貨幣錢包,支持ETH、TRON、EOS等多鏈DeFi,體驗絲滑訪問速度快,是目前最受DeFi用戶喜愛的錢包之一。[2020/9/21]

而中心化風險僅在這一層面,就背離了加密領域創建的初衷。

聲音 | Joseph Young:數字貨幣的下一階段是說服用戶切換到去中心化的系統:福布斯分析師Joseph Young發推文稱,你可以建立最先進的產品, 但如果沒有人使用它,它就沒有意義。你可以說你的食物比米其林三星好, 但如果沒有人來吃,也是沒有意義的。數字貨幣的下一個階段是說服用戶切換到去中心化的系統。[2018/10/10]

中心化風險的核心是DeFi協議內的單一故障點——擁有中心化所有權的智能合約比擁有時間鎖或多簽名密鑰所有權的合約風險更大。

一旦這一風險被惡意攻擊者利用,那么無限鑄幣、RugPull以及其他各類型的攻擊事件將接踵而來。

如果你的合約具備鑄幣漏洞,那么攻擊者但凡能拿到合約私鑰,即可轉手鑄造無數代幣然后想給誰就給誰。

很明顯,這種攻擊方式對于項目的所有者來說簡直就是印鈔神器,當然也有些項目會成為其他黑客的ATM機。

另一種比較典型的攻擊方式就是RugPull,CertiK剛剛發布分析的BabyMusk攻擊事件就是一個典型的案例。

在這種攻擊手法中,有些是項目所有者惡意拋售其所持有的全部代幣以此消耗去中心化交易所的流動性。還有些是項目所有者直接從合約中竊取代幣,如預售鎖定合約類的項目。

在有些去中心化交易所中,具備RugPull風險的項目簡直多如牛毛——因為上幣并不需要通過審計。

典型案例

DeFi協議bZx因私鑰管理不善于2021年11月被惡意攻擊導致損失高達5500萬美元。

該項目合約私鑰未采取多簽名,攻擊者通過釣魚郵件輕松獲取了私鑰的控制權。這一中心化風險使得攻擊者可以完全控制該私鑰管理的所有合約。

在這一案例中,一旦攻擊者獲取了合約的控制權即可將代幣從Polygon和BSC的部署中轉移出來。

如何減輕中心化風險?

怎樣才能減輕中心化風險?

智能合約審計是識別中心化風險的第一步,也是必要的一步。

通過智能合約審計,可以及時鑒別項目代碼中存在的中心化風險,但只有審計是不夠的,隨后的代碼修改同樣至關重要。

在很多情況中,安全專家發現的問題以及給予的修改建議會被項目所有者置之不理....

這些行為簡直就是在赤裸裸的呼喚黑客:快來呀,我這有錢給你!

CertiK將審計中發現的風險分為5個等級:嚴重、主要、中等、次要以及信息性。

上文中我們已經提過中心化風險屬于主要風險等級,這代表著在特定情況下,該風險可能導致資金和/或項目控制權的損失。它也許不會顯著影響平臺運作,但同樣是必須要解決的高危風險之一。

目前,CertiK官網已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及Rugpull相關的各種社群預警信息。

作為區塊鏈安全領域的領軍者,CertiK致力于提高加密貨幣及DeFi的安全和透明等級。迄今為止,CertiK已獲得了2500家企業客戶的認可,保護了超過3110億美元的數字資免受損失。

Tags:CERERTCERTcertikTracer DAOCERT立方根certik幣價

非小號
Solidity中的事件和日志_CHA:INK

Solidity事件對于智能合約開發者來說是不可或缺的,它允許我們對智能合約中特定變量進行測試,以自動化的方式改變前端等.

1900/1/1 0:00:00
Solo Capitalist:分拆傳統VC投資的新興勢力_SOLO:ESOL價格

原文作者:MarioGabriele 原文編譯:程天一 原文來源:海外獨角獸 就在上周四,TechCrunch的記者NatashaMascarenhas在Twitter上發布了一個?SEC?文件.

1900/1/1 0:00:00
Pocket Network 1月中繼服務數量達95億次,較上月增長80%_區塊鏈:Rocket Token

PocketNetwork是提供中繼服務的基礎設施中間件協議,它利用分布在全球的27,000多個全節點為37個區塊鏈的Web3應用程序提供RPC中繼服務.

1900/1/1 0:00:00
Axie Infinity聯合創始人:將改進PVP獎勵結構以減少SLP供應量_AXI:AXIAV3

2月11日消息,AxieInfinity聯合創始人JeffreyZirlin發推稱,游戲將改進PVP獎勵結構,即創建一個適用于PVP競賽輪次的全新獎勵結構.

1900/1/1 0:00:00
Hoo虎符研究院 | 幣圈后浪Nym——隱私基礎設施_HOO:OBI

關于虎符研究院 HooResearch致力于研究區塊鏈行業發展過程中具有前瞻性和戰略性的重大課題,解決行業內信息不對稱問題,助推區塊鏈行業綜合發展.

1900/1/1 0:00:00
Apollo Inu (APOLLO)_OIN:APO

一、項目介紹 ApolloInu($APOLLO)是一種以太坊(ERC-20)代幣,專為熱衷于優質創作者們而設計.

1900/1/1 0:00:00
ads