以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 非小號 > Info

首發 | 解讀DeFi典型漏洞及其安全風險_ANC:EFI

Author:

Time:1900/1/1 0:00:00

自DeFi興起以來,在短短9個月時間內迅速風靡全球。

BSC憑借低廉的gas和高速壯大的生態應用建立起了日漸完整的生態系統,成功成為了領先的公鏈平臺之一。

數據來源:https://bscscan.com/

如今每天,都有數百個項目在BSC上進行數千萬的交易。

圖片來自https://twitter.com/BinanceChain/status/1395060714390315008

但是鏈上交易的熱度將另外一個隱患帶到了我們面前——安全隱患。

目前可被黑客所利用的不同級別漏洞越來越多。

CertiK安全專家將這些漏洞分為四大類?,下文將為各位讀者帶來DeFi相關安全風險講解。

管理員密鑰泄露

在智能合約中,某些功能受到函數修改器(modifier)的保護——只有特定的操作者才能調用特定的功能。

在大多數情況下,這些功能是用于修改合約配置或管理智能合約中持有的資金。因此如果攻擊者破壞了管理密鑰,他們可以完全控制智能合約,調用該功能從而竊取用戶資產。

密鑰泄露的原因

第一種可能性是計算機木馬程序。?

攻擊者可以使用木馬程序來竊取存儲在計算機上的私鑰,或者進行網絡釣魚攻擊,以誘騙用戶將其私鑰發送給攻擊者。

LBANK藍貝殼于3月22日18:00首發 DORA,開放USDT交易:據官方公告,3月22日18:00,LBANK藍貝殼首發DORA(Dora Factory),開放USDT交易,現已開放充值。

資料顯示,Dora Factory 是基于波卡的 DAO 即服務基礎設施,基于 Substrate 的開放、可編程的鏈上治理協議平臺,為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時,開發者可以向這個 DAO 即服務平臺提交新的治理模塊,并獲得持續的激勵。[2021/3/22 19:07:06]

對DeFi合約來說,往往是幾個人共享一個管理密鑰。

這就意味著如果有內部人員心懷不軌,那么他可以調用管理功能將項目的代幣轉移到自己的錢包地址中。

這里有兩個案例:2021年3月5日,PAIDNetwork因其私鑰管理不當而遭受“鑄幣”攻擊,經推測攻擊者很可能是通過網絡釣魚攻擊從管理員的計算機中竊取了密鑰。

PAID代幣合約位于可升級代理服務器之后,這意味著代幣合約可以被代理服務器的所有者替換。

這類惡意代碼有鑄幣功能,攻擊者銷毀6000萬個PAID代幣,然后為自己鑄造了5900萬枚代幣。

當時2,501,203美元的PAID代幣在Uniswap上被出售,代幣價格也從2.8美元暴跌為0.3美元。

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]

2021年4月19日,EasyFi創始人聲稱該黑客為獲取管理密鑰對管理員進行了針對性的攻擊。298萬個EASY代幣被從EasyFi官方錢包中轉移到了幾個未知錢包中。

因此安全存儲私鑰對于項目安全的重要性可見一斑,管理者切忌將未加密的管理員密鑰存儲在電腦設備上,或將其無防備的放置于Metamask熱錢包中。

CertiK安全專家建議管理者使用硬件錢包創建賬戶。

如果多人團隊的每位管理者均使用硬件錢包,一旦其中一位管理者試圖進行特權交易,也需獲取大部分成員的簽署同意,這樣可以防止攻擊者僅獲取一個密鑰訪問權時就可以調用所有特權功能。

代幣合約應盡可能避免鑄造新代幣的功能。如果需要鑄造新代幣,應使用DAO合約或時間鎖合約,而非EOA帳戶。

編碼錯誤

大家一提到DeFi漏洞,往往會認為漏洞必然是很復雜的,其實并非總是如此。

首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現,北京時間10月24日,17:07分發生了一筆18000枚BTC的轉賬,經分析,這實際上是交易所Bithumb的內部整理工作,將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常,對各種“面值”的UTXO進行整數級別的整理,屬于交易所的規律性操作。[2019/10/24]

有時一個小小的編碼錯誤,就可以導致數百上千萬美元的資產一朝蒸發。

一些常見的編碼錯誤示例:

1.函數權限,修改器(modifier)缺失

2.錯別字

3.數字位數不正確

4.變量值分配缺失/不正確

有一個非常典型的例子就是UraniumFinance曾發生的受攻擊事件:黑客攻擊了UraniumFinance未受審計的合約,項目因此損失了5700萬美元。

管理員在交換前后比較池中兩個代幣余額的乘積時使用了不一致的乘數,這使得攻擊者可以僅用1Wei就從池中換出大量代幣。

Uraniumfinance的代碼:

正確的代碼:

另一個例子是ValueDeFi,被黑客攻擊導致損失了1000萬美元。

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報,截止北京時間6月13日15:50,EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬,占比2.96%;EOS佳能的得票總數為877萬,占比2.87%。此前異軍突起的EOSflytomars暫居第17位,得票總數為630萬,占比2.07%。目前躋身前30名的超級節點競選團隊中,有八個團隊來自中國。[2018/6/13]

此次事件發生的原因在于ValueDeFi合約中的初始化函數缺少“initialized=true”,這意味著任何人都可以將資金池初始化并將自己設置為管理員。

2021年5月5日,攻擊者將資金池初始化,將自己設置為管理員,然后使用“governanceRecoverUnsupported()”函數耗盡了已抵押的代幣。

ValueDeFi中的易受攻擊的代碼:

解決方法:

只需通過適當的同行評審、單元測試和安全審計,這一類型的代碼錯誤往往極易避免。

閃電貸和價格操縱

閃電貸可以在無需提供任何抵押的情況下進行貸款,當然所有操作必須在一個交易區塊內完成。

開發人員可以從Aave或dYdX等協議中借貸,條件是在交易結束之前將流動資金返還到資金池中。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道:今日,EOS Go在 steemit上公布新增的兩條復選條件為:

1. 保證安全的計劃:候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃,“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會;

2. 立場:描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場(候選節點在steemit發布)。主要闡述以下兩個問題:

該組織是否會出于任何原因向EOS令牌選民提供支付,包括BP選舉和社區建議?

該組織是否有書面的無票付款政策?如果是這樣,請提供一個鏈接。[2018/4/27]

如果資金未能及時返回,則交易將被撤回,從而確保儲備池的安全。

閃電貸的一般運行步驟如下:

1.使用閃電貸借入大量代幣A

2.在DEX上將代幣A交換為代幣B

3.攻擊一個依賴A/B價格的DeFi項目

4.償還閃電貸

上周PancakeBunny遭受了閃電貸攻擊,攻擊者竊取了11.4萬BNB和69.7萬Bunny。

攻擊者利用閃電貸操縱PancakeSwap?USDT-BNBV1池的價格,導致大量的BNB流入BNB-Bunny池,這使得該合約能夠以虛高的BNB/Bunny的價格鑄造Bunny。

PancakeBunny使用了以下函數來計算Bunny的價格:

大量的BNB流入BNB-Bunny池造成變量“reserve0”變得更大,且價格計算公式存在缺陷,因此導致攻擊者非法獲取了69.7萬Bunny。

閃電貸攻擊的受害者很多,包括DeFi領域的一些知名項目:PancakeBunny,Harvest?Finance,Yearn,ValueDeFi,AKROPOLIS,CheeseBank,XToken,bZx?等等。

從這些實例中不難看出——項目方應著重預防價格被閃電貸惡意操縱。

為了防止這種情況的發生,CertiK安全專家建議①使用時間加權平均價格,因為攻擊者只能在一個區塊中操縱價格,因此平均價格并不會被影響,從而規避相關惡意操縱,②或使用可靠的鏈上價格預言系統,例如Chainlink。

濫用第三方協議和業務邏輯錯誤

許多項目,例如PancakeSwap和UniSwap都是獨立運行的,用戶并不與其他第三方協議進行交互。

在PancakeSwap中,用戶可以通過提供流動性以獲得獎勵代幣或將一個代幣交換為另一個代幣。

但其他項目的運作方式并不同。

比如YearnFinance是收集用戶資金并將其放入第三方合約,通過投資用戶代幣以獲取收益的。

第三種情況則是一些項目會從其他項目“借用”代碼。

后兩種情況下,如果第三方代碼的來源安全風險較大,那么所有使用該代碼的項目也會受到攻擊。

假如項目的開發人員不熟悉他們使用的第三方代碼,一旦代碼存在漏洞,所導致的后果將是災難性的。

2021年5月8日,ValueDeFivSwapAMM的非50/50池被攻擊,損失總額約為1100萬美元。

為了實現非50/50池,ValueDeFi從屬于Bancor協議的“BancorFormula.sol”中復制了“power()”函數。

在power()函數的用法說明中,已寫明該函數并不支持“_baseN<_baseD”的情況。

但ValueDeFi并未注意到此注釋,因此攻擊者成功利用此漏洞,通過往函數中傳入特定的參數來用少量的代幣A交換代幣B。

ValueDeFi的代碼:

DeFi領域中還有許多其他類似的情況。

2021年5月8日,一名攻擊者通過利用集成在RariCapitalV2中的AlphaHomoraV1的ibETH池Bank合約的功能,從RariCapitalEthereumPool中消耗了大約2600個ETH。

BearnFinance使用BUSD的提款金額在其“BvaultsStrategy”合約中提取ibBUSD,從而讓攻擊者輕易轉移了池中10,859,319枚BUSD。

這類問題較難檢測,因此項目管理者應謹慎與任何第三方協議進行交互,更不應盲目地復制并部署開發人員不了解的代碼。

CertiK安全專家建議:

1.開發人員在集成第三方協議并將部署到生產運行過程中之前,應充分了解其及其分支項目的運行情況。

2.開發人員應在項目上線前,先將其部署在測試網上進行測試并及時檢查交易記錄中的異常情況。

總體而言,盡管項目難以保證100%的安全,但是以下幾點可以盡可能提高項目的安全性:

1.安全存儲管理員密鑰

2.避免簡單的編碼錯誤

3.參考可靠的鏈上價格

4.進行安全審計并做好審計前的準備

對于終端用戶來說,在使用個人資產與項目進行交互之前,有時很難找到有關項目的詳細信息。

為了方便用戶獲取項目的安全性信息,CertiK開發了全球首個公開透明展示區塊鏈項目安全數據的安全排行榜。

通過查看公開的安全數據,終端用戶可以實時了解項目安全情況。

https://www.certik.org

除以上防范方式以外,所有項目均應意識到安全審計的重要性。

那么審計前為了充分利用發揮安全審計的作用,應該如何準備資料和代碼?

以下有幾個小tips:

1.定義審計的確切范圍并設定審計目標

2.制作全面的審計代碼文檔

3.確保良好的代碼質量

4.審計前測試代碼

5.凍結代碼并在審核之前指定代碼的commithash

Tags:ANCDEFDEFIEFIZeropay Financedefi communityDEFI100Farm TokenDEFI幣

非小號
新華社:加密貨幣 是金融創新還是“龐氏騙局”?_加密貨幣:怎么做區塊鏈

從單價9000美元到超過6.4萬美元,再到一度跌破3萬美元,加密貨幣比特幣在一年時間里走出“過山車”行情.

1900/1/1 0:00:00
50萬枚GMKY空投來襲!_FEX:HTT

尊敬的用戶: WBF將聯合GMKY任性空投50萬枚GMKY糖果!填寫報名表單,即可領取,僅限前5000名用戶,名額有限.

1900/1/1 0:00:00
幣安Staking上線第二期“高收益特供”鎖倉活動,年化高達32.47%_binance:BIN

親愛的用戶:幣安Staking平臺將于2021年05月27日20:00開啟第二期“高收益特供”鎖倉活動,參與KSM、ONE、1INCH、ALGO、IOST鎖倉.

1900/1/1 0:00:00
Filecoin與NFT結合推動區塊鏈落地?_FILE:NFTT幣

過去的六個月中,NFT開始了爆發性繁榮,但也出現了一些存儲問題。由于NFT在創建后不能輕易改變,因此需要考慮如何存儲、處理NFT數據,并使其隨時間推移而持久化.

1900/1/1 0:00:00
星球日報 | 國家能源局四川監管辦將于6月2日召開虛擬貨幣“挖礦”調研座談會;Uniswap V3將部署到以太坊擴容方案Arbitrum_區塊鏈:我有20個比特幣能套現嗎為什么

頭條 國家能源局四川監管辦公室將于6月2日召開虛擬貨幣“挖礦”有關情況調研座談會星球日報訊國家能源局四川監管辦公室發布關于召開虛擬貨幣“挖礦”有關情況調研座談會的通知.

1900/1/1 0:00:00
DEEZNUTS交易賽火熱來襲_HER:IBOX

活動時間: 2021年5月29日20:00~2021年6月5日20:00(UTC8) 活動規則: 活動期間,DEEZNUTS交易額(買入*2賣出)≥500USDT的用戶即有機會參與瓜分價值2.

1900/1/1 0:00:00
ads