魔幻的2020年在牛市的陪伴下落下了帷幕,然而這一年中鏈上安全事件卻頻頻發生。律動BlockBeats將2020年中發生的鏈上安全事件進行了總結。《2020鏈上安全報告》主要分為四部分:2020影響幣圈行業的大事件、以太坊安全事件、合約保險以及DeFi合約外的其他攻擊。
2020影響幣圈行業的大事件
2020年新冠疫情對于全球經濟造成了極大的影響,美股一個月內經歷了三次熔斷,與此同時加密資產市場也受到了牽連。3月12日加密資產全體暴跌無一幸免,比特幣日內跌幅達50%,加密資產市場總市值近乎腰斬。隨后各國央行選擇以最簡單粗暴的方式來應對此次重創:瘋狂QE放水。這種刺激手段雖然是貨幣政策中最行之有效的,然而其副作用也是顯而易見的。
如果說次貸危機所引發的金融海嘯造就了比特幣,那么疫情所導致的大量印鈔讓更多人認識到比特幣是一種稀缺資產且可對沖法幣貶值的風險。合規買入、托管以及各類加密資產基建和衍生品的成熟從各個角度為加密資產需求者提供了完美的解決方案,諸多機構也就順理成章地選擇了比特幣以及其他龍頭加密資產作為資產配置的一部分。
報告:貝萊德比特幣ETF即便獲批也不會在2023年內推出:6月24日消息,Bloomberg Intelligence高級宏觀策略師Mike McGlone在社交媒體公布了最新一期《加密展望》報告內容,其中指出即便貝萊德申請的現貨比特幣交易所交易基金(ETF)真的獲得監管機構批準,該ETF也不會在2023年內推出。此外,Mike McGlone還指出美聯儲在最近的FOMC會議上已經宣布今年還將“再加息幾次”,加上流動性走弱和潛在股市走熊,這些都與復蘇預期相反,因此加密市場依然會遇到上升阻力。[2023/6/24 21:57:10]
若散戶未能享受到機構牛市所帶來的紅利,那么流動性挖礦的熱潮大家一定都沒缺席。那些曾經只將幣存放在中心化交易所的用戶為了成為DeFi「農民」將資產轉入「狐貍頭」中,將非生產性資產通過去中心化交易所換成了種地的「鋤頭」。瘋狂的挖礦讓以太坊鏈上資產市值飛上云端,但同時,這也成為了黑客嘴邊的肥肉。
以太坊上海升級硬分叉定于2023年3月進行,將釋放信標鏈質押ETH提款:12月8日消息,以太坊開發人員在周四的以太坊核心開發者會議中敲定上海升級硬分叉于 2023 年 3 月進行,將釋放信標鏈質押的 ETH 提款。開發人員還同意在上海升級中解決 EVM 對象格式 (EOF) 的實施問題。
上海升級中的以太坊改進提案包括 EIP 3540、EIP 3670、EIP 4200、EIP 4570 和 EIP 5450。會議還提到,若 EOF 問題因實施復雜而無法在下一次 All Core Developers 電話會議上進行,開發人員同意將 EOF 推遲到秋季,因此將不會延遲質押 ETH 的提款。[2022/12/9 21:32:21]
圖源:OKLink
以太坊的安全事件
在流動性挖礦的帶領下,沉寂已久的DeFi在2020年下半年成為焦點。用戶將資產存入合約,為協議提供流動性,從而獲得協議的費用分成和治理代幣獎勵。
The Sandbox:2021年虛擬土地銷售額超過3.5億美元,年內將推移動版產品:4月5日消息,據The Sandbox大中華區總監蔡和偉接受港媒采訪時透露,2021年The Sand box虛擬土地銷售額超過3.5億美元。據了解,The Sand box共有166,464塊虛擬土地,當中約七成已由超1.7萬名用戶所有。此外,The Sand box計劃年內開發手機移動版產品,App與電腦版將是同一個虛擬世界。[2022/4/5 14:04:45]
由于協議內存放著各類有價資產,這讓DeFi協議成為了被攻擊重災區。黑客們通過各種手段向合約發起攻擊,據PeckShield派盾統計2020年DeFi安全事件達到60起,損失逾2.5億美元,占統計的黑客攻擊造成總損失的12.5%,遠超2019年數據。
圖片來源:PeckShield派盾
發生在DeFi合約中最常見的三種攻擊分別為預言機操縱攻擊(閃電貸)、重入攻擊以及代碼漏洞。
bant.io公司宣布將從 2021 年第四季度開始接受加密貨幣支付服務:金色財經報道,一家 B2B 多合一的潛在客戶生成和銷售加速服務公司bant.io在一份聲明中宣布,它將從 2021 年第四季度開始接受加密貨幣支付服務。bant.io 創始人 Andrei Breaz 在接受采訪時解釋說:在過去五年中,我們創新了 B2B 潛在客戶生成,同時提供了業內最靈活的付款計劃之一。現在,通過接受除法定貨幣之外的加密貨幣,我們打算為我們的客戶提供更加靈活和無縫的支付流程,這也將滿足行業不斷增長的需求。
bant.io 為世界各地的公司制定個人和獨特的戰略,以實現其銷售目標并帶來新的業務線索。(live bitcoin news)[2021/10/4 17:22:48]
預言機操縱(閃電貸、套利)攻擊
在現今DeFi大熱的背景下,預言機攻擊極為普遍,因為大多數DeFi協議都需要通過喂價預言機來提供價格信息。一般來說,喂價預言機分為鏈上和鏈下兩種,鏈上預言機通過抓取去中心化交易所價格來獲取信息,而鏈下預言機則從中心化交易所獲得價格。
ETC發起第2020號協議以執行三大網絡提案:9月28日,Ethereum Classic官方發推宣布,由ETC前業務開發經理Donald McIntyre提起的ETC第2020號協議草案已提交至社區進行討論。第2020號協議旨在短期內尋求社區共識以盡快解決ETC網站問題。具體內容是根據ECIP-1000批準并實施ECIP-1049(Keccak256)、ECIP-1098(財政系統)和ECIP-1100(MESS)三個提案,并對ECIP-1098(財政系統)和ECIP-1100(MESS)兩提案增加了時間限制,以讓系統最終能自動回歸至最初的設計和核心原則,但與此同時使得Keccak256算法永久存在。三個提案具體內容為:1.ECIP-1049(Keccak256):將ETC工作證明算法更改為Keccak256;2.ECIP-1098(財政系統):希望對礦工征稅為各種開發人員團隊和輔助項目提供資金,以維持ETC開發。3.ECIP-1100(MESS):修正指數主觀評分,為網絡安全提升了額外的指數難度。[2020/9/28]
這兩種喂價預言機方式各有優劣,從鏈上獲取價格可以通過協議完全去信任化,但存在被操縱攻擊風險。鏈下預言機雖不存在被閃電貸攻擊風險,但其價格源需依賴于中心化交易所提供,存在中心化風險,且鏈下數據在鏈上反映較慢。
在鏈上,用戶可以通過閃電貸工具瞬間完成大額借款、兌換和大額存入等一系列操作,這使得攻擊者可以自行創造套利機會,從而操控去中心化交易所價格來擾亂其他使用該價格的DeFi應用,最終完成套利攻擊,典型案例有bZx,CheeseBank,Harvest以及Valley等喂價預言機攻擊事件。
重入攻擊
重入攻擊是一種危害性極高的攻擊手段,可以輕松榨干合約內所有資產。著名的theDAO被盜事件就是攻擊者運用重入攻擊導致以太坊硬分叉,損失了價值5000萬美元的以太坊。
智能合約不僅可以相互調用,也可以在內部調用。一般情況下,這不會產生任何問題,但當調用使得合約狀態不一致時,例如取款金額大于合約內金額時,或當某合約還未將余額設為零前就發起轉賬,此時攻擊者可濫用提現功能提取合約中所有余額。今年經典的重入攻擊案例有:Akropolis,dForce以及Origin。
合約漏洞
此類攻擊通常是由于開發者在編寫智能合約時,出現邏輯漏洞或自留后門所導致的。大多合約漏洞出現在未經審計的合約上,較常見的手法是攻擊者通過合約漏洞無限鑄幣隨后榨干流動性池內資產,凍結合約內資產,或是合約開發者取走合約資產后跑路。
合約保險
在去中心化的世界中,由于DeFi應用迭代速度過快,為了追趕熱度許多應用的合約在沒有通過第三方審計的情況下就進行了發布。由智能合約漏洞而損失的資產也是不計其數。許多用戶可能會抱怨項目方不負責任,但有些項目并沒有公開項目信息,由于FOMO情緒,用戶為了搶先一步參與到項目中,會通過蛛絲馬跡尋找尚未公開的項目合約。
例如在9月29日凌晨,YFI創始人在其參與開發的新項目的推特上發布了兩張項目相關設計圖,隨后被黑客找到此項目合約地址并利用閃電貸攻擊盜取了1600萬枚DAI。
合約審計對于高速迭代的DeFi產品來說耗費時間過長,保險或許會是更好選擇。DeFi要發展,需要保險這樣的基礎設施。如果只是靠DeFi協議用戶自行去購買保險,這是不現實的。一種方案可由協議的交易費用或挖礦收益中抽取一部分,存入項目的金庫中,金庫中一部分用于購買協議保險。
DeFi合約外的其他攻擊
除了合約攻擊外,公鏈攻擊、交易所以及錢包攻擊也不占少數。大多數公鏈攻擊的方式為51%攻擊,自年初開始,多個區塊鏈項目相繼遭受51%雙花攻擊。1月到2月間,BTG網絡多次遭到雙花攻擊,損失達到5萬美元以上。7到8月之間,以太經典遭受了三次51%攻擊,損失高達上千萬美元,OKEx一度考慮從交易所中下架ETC。11月8日,GrinNetwork受到51%攻擊,由于反應及時,故并未造成損失。
發生51%攻擊的主要原因在于區塊鏈項目的共識程度不夠,礦工轉向其他項目,致使維護網絡運轉的算力下降,給了攻擊者可乘之機。例如ETC、BTG、AE,這些都是幾年前的老牌區塊鏈項目,項目熱度嚴重下降,幣價表現不佳,由于礦工收益與幣價有直接關系,礦工們也就順勢投身收益更高的公鏈中。
當然,一部分新項目也會成為被攻擊對象,雖然幣價表現一般,但因其尚未凝聚強大的社區,故而沒有足夠的共識和算力,攻擊成本也相對較低,最終也會是黑客下手的目標。從具體實現方式上看,隨著被攻擊網絡算力下降或其本身的算力不足,攻擊者可通過租用算力獲得足夠的算力進行攻擊,并且攻擊成本較低,收益一般遠高于成本。
圖片來源:Crypto51.app
Kucoin交易所熱錢包被盜事件也引起了圈內人的重點關注。本次入侵影響了該交易所的比特幣、以太坊和ERC-20熱錢包,平臺損失了近2.81億美元資產。然而KuCoin的攻擊者貌似十分著急,試圖直接將USDT打散充入幣安和抹茶交易所變現,然而,還沒來得及操作相關賬戶就被兩家交易所及時凍結。隨后Bitfinex、Tether也相繼凍結KuCoin攻擊地址上約3300萬USDT,忙活了大半天,這名黑客似乎什么也沒有得到。
總結
在魔幻的2020年加密市場經歷了太多太多,在312過后人們重拾信心,DeFi所點燃的FOMO情緒不亞于當年的IC0,用戶的熱情無疑讓開發者更有動力開發出更有趣、優質、吸引人的鏈上應用,當然安全性是第一位的。現今傳統金融機構已經將目光聚集在加密資產之上,加密金融應用將必定成為關注焦點,若想讓加密金融應用完全去中心化,那么首要關注點就必須是安全性。在未來,將必定出現合約保險外的其他衍生品來對沖資產安全風險,日益完善的技術也將從各維度增加攻擊成本。相信在加密市場飛速發展的明天,安全事件會越來越少!
親愛的用戶:幣安將支持Bounce智能合約置換為AUCTION及代幣增量計劃,目前正在進行技術對接,幣安將協助BOT持倉用戶處理任何技術問題.
1900/1/1 0:00:00尊敬的Hotbit用戶:????根據QTUM官方信息,QTUM將在區塊號793,284附近為QTUM持倉快照用戶空投QiSwap代幣QI,空投比例為:2QTUM:1QI.
1900/1/1 0:00:00據報道,印度中央銀行證實,印度儲備銀行正在積極研究數字貨幣,并將“很快”做出決定。同時,支付巨頭貝寶正在關閉其在印度的支付服務.
1900/1/1 0:00:00親愛的用戶:幣安逐倉杠桿已增加LIT資產,并開放LIT/BTC、LIT/USDT逐倉交易對。說明:1分鐘學會杠桿交易如何杠桿做空-高賣低買如何杠桿做多-低買高賣風險提示:杠桿交易是具有高市場風險.
1900/1/1 0:00:00編者按:本文來自?互聯網刑事犯罪研究,星球日報經授權發布。本來都準備睡了,深夜一則消息讓我瞬間清醒了,《防范和處置非法集資條例》已經2020年12月21日國務院第119次常務會議通過,現予公布,
1900/1/1 0:00:00親愛的用戶:幣安將支持QiSwap對Qtum持幣用戶的代幣空投計劃。幣安將于Qtum主網區塊高度793,284對QTUM持倉用戶進行快照.
1900/1/1 0:00:00