原標題:《一文揭秘2021年區塊鏈黑客攻擊頻發的原因》
區塊鏈以無審查著稱,是一片鼓勵創新的熱土,也是滋生犯罪的溫床。當年眾籌超過1.5億美金的TheDao被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。自區塊鏈創世以后,各種針對交易所、錢包以及dapp的黑客盜幣事件頻發。那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?
2021年區塊鏈黑客盜幣事件整理
由于2021年市場情緒熱烈,黑客盜幣的金額打破了往年的歷史記錄。截至三季度,統計一共有32起黑客入侵事件導致了15億美金的資產被盜,而去年全年這個數字是1.8億美金。
Web3風投機構Coinsilium 2022年部署57.5萬美元的加密貨幣、元宇宙和DeFi投資:2月2日消息,英國上市Web3風投機構Coinsilium Group Ltd于2022年向DeFi、元宇宙、交易、玩賺和時尚領域幾家Pre-Seed和種子階段Web3項目注資57.5萬美元,投資項目包括Yellow Network(20萬美元)、Silta Finance(7.5萬美元)、GGs.io(10萬美元)、Metalinq Labs(20萬美元)。
Coinsilium還宣布,它已被任命為時尚品牌Blvck Paris的顧問,負責其“Blvck Genesis”NFT系列的發布。(Proactive Investors)[2023/2/2 11:43:37]
1)defi協議
Uranium?Finance——邏輯漏洞
2021年4月份流動性挖礦協議Uranium受到了攻擊,被攻擊的智能合約是MasterChief的修改版本。其中,用于執行“質押獎勵”的代碼出現了邏輯漏洞,使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子,并將它換成了價值130萬美元的BUSD以及BNB。
比特幣2022年價格下跌礦企仍提高了哈希率和產量:金色財經報道,CryptoSlate數據顯示,BTC的價格從年初的約47,766美元下跌64.68%至16,870美元。然而,根據Compass mining的一份報告,這并沒有阻止礦商在2022年增加比特幣挖礦能力。例如,CleanSpark的BTC挖礦哈希率從2022年初的1.9 EH/s增長到6.0 EH/s,到目前為止約有62,000名礦工,增長了189%。Bit Digital和Riot區塊鏈的哈希率分別提高了157%和148%。[2022/12/24 22:04:49]
CreamFinance——預言機操縱
10月27日,CreamFinance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池來操縱預言機對yUSD的報價。在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走CreamFinance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。
Uniswap 2020年空投代幣現在價值1.2萬美元:Uniswap在 2020年向每個使用Uniswap的人空投了400個UNI代幣,當時價格在2美元到4美元之間,UNI現在的價值約為30美元,那些持有空投代幣的人可以兌換1.2萬美元的現金。(CryptoPotato)[2021/2/21 17:37:27]
BadgerDAO——前端惡意代碼注入
攻擊者獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易,就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。
Anyswap——后臺簽名
出事是因為后臺簽名時采用了不恰當的值,攻擊者通過兩筆交易來推導出了它簽名的私鑰。
簡而言之,defi協議除了自身的代碼需固若金湯,因其需與其他協議交互的可組合型,業務邏輯也要嚴絲合縫。最重要的是,Defi協議需借助第三方服務,而這些第三方服務很有可能面臨外部操縱的風險,這也是產品受到黑客攻擊的主要原因。
世界銀行:預計2021年全球經濟將增長4%:世界銀行5日發布最新一期《全球經濟展望》報告,預計2021年全球經濟將增長4%、中國經濟將增長7.9%。[2021/1/6 16:30:45]
2)錢包——釣魚信息
舉個比特幣錢包Electrum的例子,當用戶舊版本并連接到攻擊者的節點是,攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時,黑客便輕松掌握了用戶的私鑰。
3)交易所
不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析;交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。
資產被盜后的處理方式
Alex Lightman:2020將成為加密貨幣和DeFi之年:據官方消息,由元界DNA總冠名的“FINWISE2020紛智云端峰會”海外場于歐洲時間5月29日盛大開啟。全球政策顧問、元界DNA全球戰略官Alex Lightman榮耀出席。
Alex指出,2020將成為加密貨幣和DeFi之年。原因如下:一、中國推出央行數字貨幣將推動加密貨幣和DeFi投資的增長。二、受新冠疫情影響,許多傳統金融機構嚴重受挫,而基于智能合約的DeFi將成為更好的選擇。三、比特幣已成為投資者在危機之下的新選擇,DeFi也將因此受益。四、以太坊2.0的樂觀預期使得加密社區繼續投資基于以太坊的DeFi服務設施。五、人們急需更可靠的價值存儲方式,而DeFi將成為替代銀行存款和債券的可行方式,其衍生品也將成為投資多樣化的有效方式。六、失業率飆升、衛生醫療等緊急服務需求的上升將催生更多的DeFi需求。在新格局之下,元界DNA將繼續發揮時代賦予的優勢,有效運用社會趨勢轉變帶來的機會。[2020/5/30]
關于資產被盜后的處理方式,可以從三個角度來分析。
項目方一般會采取這幾個解決方式:
1)即時暫停智能合約中的通證轉移和交易服務;對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。
2)同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。
3)聯系第三方安全公司,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。
4)對于被盜資金的去向,假如合約里面存在黑名單功能;第一時間屏蔽黑客地址,防止黑客進行資金轉移。
5)和安全公司和執法部門合作追回被盜的財產,同時想出合理的補償方案來減少用戶的損失。
從交易所的角度來說,有兩種情況:
1)假如交易所本身被盜,需第一時間暫停所有的提現充值功能,把損失降到最少。交易所保留系統里面的所有信息以便日后做分析使用,聯系安全公司或者執法部門,幫忙做財產追蹤。
2)假如某個項目被黑的話,交易所可以監控黑客相關鏈上地址,如果監測到最新充值的關聯地址,凍結該賬戶。
安全公司需要做到以下幾點:
1)在事件發生之后分析漏洞產生的原因,并修復漏洞。
2)在項目重新上線之前提供安全審計服務,以減少項目重新上線之后的安全風險。
3)發布社區警告,同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞,可以通過保密渠道發出警告。
4)通過鏈上技術手段來追蹤資金流向以及分析鏈下信息,幫助執法部門抓到黑客。
那么,為何安全公司對于漏洞已經層層篩查,還會被黑客有機可趁?事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。
今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。其次,跨鏈橋和其他Defi項目的不同的點是:普通Defi項目幾乎100%的邏輯是在智能合約上實現的,而跨鏈橋是web2和web3的結合,是智能合約和傳統后臺的結合。非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。
未來區塊鏈安全展望
未來隨著技術的發展,區塊鏈行業會變得日益安全嗎?理論上是的。先說底層技術,首先編寫智能合約的solidity語言是在慢慢變得成熟的。在最近的solidity版本8.0之后,之前比較常見的一種漏洞叫做integeroverflow便銷聲匿跡了。
其次,安全的開源代碼庫也會提高安全系數。OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。https://github.com/OpenZeppelin/openzeppelin-contracts
現在有很多安全工具會對代碼進行檢查;它可以幫助項目方在沒有聯系安全公司的情況下,找到一些潛在的漏洞,從而提高代碼的安全性。隨著越來越多的技術人員加入到這個領域來,區塊鏈行業的安全壁壘會不斷被加固。
從人為因素出發,項目方需要考慮金融模型以及商業邏輯是否值得推敲,并進行不計其數的測試才能消弭潛在的風險。
總而言之,Defi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。環顧Defi出事的所有原因,最主要的還是Defi項目還無法完全去中心化,需要借助第三方的外部服務。Defi行業在安全性上達到無懈可擊,是這一賽道項目必需實現的目標,期待行業下一周期跑出擁有全新業務邏輯的Defi產品來!
Tags:DEFDEFIEFI區塊鏈DEFI S價格Blaze DeFiWorld of Defish區塊鏈MOVEZ幣
來源:央視財經 近期,元宇宙成了市場上的熱點,但與此同時,市面上出現了很多打著元宇宙旗號的區塊鏈游戲。這些游戲宣傳稱可以一邊玩游戲一邊賺錢,月收益甚至接近100%.
1900/1/1 0:00:00據Cointelegraph11月26日消息,澳大利亞稅務局表示,它不能依靠加密貨幣投資者來跟蹤他們的加密貨幣交易和利潤.
1900/1/1 0:00:002021年12月15日,比原鏈發布BytomSidechain測試網,比原側鏈Vapor將升級為新的BytomSidechain.
1900/1/1 0:00:00據CoinDesk消息,12月8日,谷歌提起訴訟,旨在關閉一個復雜的加密劫持僵尸網絡,該網絡利用比特幣區塊鏈來躲避網絡安全官員.
1900/1/1 0:00:00——元宇宙的突然火爆引發了大眾的參與和學習,于是我準備從宏觀角度出發,逐步為大家分享關于這方面的內容。人們當下所追逐的浪潮,未必是元宇宙真正的形態.
1900/1/1 0:00:0011月30日,在線上直播活動,DFINITY中國區負責人Herbert首先表達了對SNZ、Bithacks、ICPL、Delandlabs等IC生態的技術大使們的感謝.
1900/1/1 0:00:00