從6月底到現在,一個月不到的時間,業界發生了多起較為重大的攻擊事件:
6月29日,THORChain受到惡意攻擊,損失估計達14萬美元。
7月3日,跨鏈項目Chainswap合約遭到攻擊,部分用戶代幣被主動從與 ChainSwap 交互的錢包中取出,總損失約為80萬美元,跨鏈橋暫停使用。
7月11日,跨鏈項目Chainswap發布推文表示再次遭到黑客攻擊,在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取,總損失價值400萬美元。
7月12日,跨鏈項目Anyswap新推出的V3跨鏈流動性池也遭到黑客攻擊,總計損失超過787萬美元。
7月16日,THORChain再次受到攻擊,損失約為1.3萬ETH,價值約為2500萬美元。
獨家 | 火幣宣布成立DeFi實驗室:8月3日,全球知名的數字經濟領軍企業,火幣集團宣布成立火幣DeFi實驗室,將投入數千萬美元作為初始投資基金,由火幣DeFi實驗室進行管理。
火幣DeFi實驗室專注于DeFi(去中心化金融)的研究、投資、孵化、以及生態的建設。計劃在未來通過與全球加密領域和DeFi社區合作,構建更好的金融系統。DeFi實驗室由火幣首席投資官Sharlyn Wu牽頭負責,Sharlyn Wu曾就職于瑞士聯合銀行,此前在招銀國際主導區塊鏈投資工作。
Sharlyn Wu表示:“在過去兩年中,我們見證了DeFi的誕生和指數級的增長,其創新的深度、廣度、速度都是史無前例的。DeFi正在全球范圍內釋放自由經濟的力量,但現階段從理論和技術上來看,仍有許多問題亟待解決。為了向主流用戶提供加密領域和DeFi服務,還需要加大投資者教育的力度。目前,DeFi還處在早期階段,需要全球社區共同努力推動,共同打造和建設DeFi生態。”[2020/8/3]
從上面這些案例,我們明顯發現這些攻擊事件表現出四個鮮明的特點:
獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,2月28日,Bakkt比特幣月度期貨合約單日交易額為830萬美元,環比下降56%;未平倉合約量為895萬美元,環比下降25%。[2020/2/29]
1.都是針對跨鏈項目展開的攻擊。
2.多個項目在一個月內反復受到攻擊。
3.項目因攻擊受到的損失金額越來越大。
4.不僅被攻擊項目本身的運作受到影響,而且部署在跨鏈項目的其它項目方的運作也受到影響。
縱觀這些被攻擊的項目,絕大多數都是因為在資產跨鏈的過程中,缺乏對資產、簽名等的驗證導致黑客抓住了其中的漏洞對項目進行攻擊。
這些問題中有一類(比如通過相同的簽名能夠反推出私鑰)是圈內早已知曉的問題,但在跨鏈這個新場景下,缺乏先例,導致開發團隊可能會因為疏忽而遺漏對這類問題的排查。另一類則是因為跨鏈應用涉及的場景復雜導致團隊在代碼邏輯的設計中稍有不慎就會遺漏一些對關鍵點的檢查。
獨家 | 極豆資本合伙人李泳:預計三大礦機巨頭上市順序與其市場占比排名一致:針對目前礦機三大巨頭企業謀求上市一事,金色財經獨家采訪到極豆資本合伙人李泳,在關于“預計三家企業上市順序及原因”這一問題上,他表示:“我個人認為上市順序和目前的市場占比排名一致,比特大陸、嘉楠耘智、億邦國際。比特大陸憑借強大的“幣生幣”經營策略加上產業上游聚攏起來的行業資源加持,影響力已經觸及整個產業鏈中的基礎設施研發、區塊鏈應用開發、區塊鏈媒體、投資工具等多領域。而嘉楠耕智更加注重深耕高性能的礦機,研發芯片,嘗試把挖礦產品多樣化。億邦國際主營業務從電信轉入區塊鏈,發展速度也是有目共睹的。”[2018/9/10]
任何一個新應用登場,項目方都要必須面對這樣的挑戰。
此外,跨鏈項目受攻擊還給業界帶來了一個新的安全挑戰:以往項目受到攻擊時,受損失的僅僅是項目方自己;而在跨鏈領域,由于跨鏈應用本身成為了平臺,它會承載其它的應用,因此一旦跨鏈應用本身受到攻擊,則連帶受到損失的就不僅僅是跨鏈項目本身而且還包括跨鏈應用承載的項目了。
獨家 | 朝陽區下發文件禁止任何場所承辦虛擬貨幣推介活動:近日,網曝北京市朝陽區金融社會風險防控工作領導小組發布禁止虛擬幣推介活動通知,要求各商場、酒店、賓館、寫字樓等地不得承辦任何形式的虛擬貨幣推介宣傳等活動,如知悉相關情況,及時向區處非辦報送。金色財經核實,該文件為真。朝陽區金融風險防控工作領導小組辦公室一位工作人員告訴金色財經,這份文件是上周就擬好的,但是這周才下發到各個場所。他表示,目前禁止承辦虛擬幣推介活動只是朝陽區的規定,全北京市層面還沒有動作。“我們在前一段時間監控到了互聯網金融和虛擬貨幣的風險,有一家虛擬貨幣交易所在朝陽舉辦了非法的推介活動,所以才有這樣的文件出來,預防可能出現的風險”。[2018/8/22]
在這些攻擊案例中,Chainswap第二次受到攻擊時,就導致部署在上面的超過20個項目連帶受到損失并不得不重新部署合約。恐怕這一點是此前很多項目方都沒有意識到的新動向和新問題。
這說明安全隱患涉及的問題無論在廣度還是在深度上都上升到了一個前所未有的高度。
我們相信這個問題只會越來越顯現:因為區塊鏈生態的豐富必然導致跨鏈應用成為剛需,成為一個無法阻擋的趨勢。這意味著未來跨鏈應用只會越來越多,同時也意味著資產跨鏈也會越來越頻繁,因此未來的項目方也在部署應用時不可能僅僅只考慮某個區塊鏈而要考慮應用的跨鏈場景。由此帶來的狀況就是安全問題必然越來越突出,攻防矛盾越來越尖銳。
面對這個新形勢,從應用的角度看:不僅跨鏈應用項目方本身要高度重視項目代碼的安全,對代碼的審查要比以往更加重視,而且部署在跨鏈應用上的第三方項目方未來除了注重項目自身的安全以外也也必須重視跨鏈應用的安全。
從代碼的角度看:跨鏈項目的代碼為了因應新的安全挑戰必然越來越復雜;部署在跨鏈應用上的項目也必然會越來越復雜,比如要增加處理緊急狀況的功能和接口,以便在事發的第一時間及時提取其部署在不同區塊鏈上的流動性。
從項目方的角度看:未來面對更加復雜的應用場景和更高的代碼難度,對代碼的審計必然要更加重視。
從用戶的角度看:一定要更加慎重地對自己投資或者有意向投資的項目進行詳細的審查,重點審閱項目方的審計報告。
從審計公司的角度看:面對越來越復雜的系統,審計的難度也將越來越大,審計的要求也會越來越高。對此作為從業者的靈蹤安全不僅將一如既往地在審計過程中做好代碼的審計,更已經準備好全面的保駕護航方案,隨時應對項目方受到攻擊后在事發的第一時間為項目方提供完備的補救措施和全面的改進方案。
關于靈蹤安全:
靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
作者:
靈蹤安全CEO 譚粵飛
美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事?。個人擁有4項區塊鏈相關專利、3本出版著作。
2021年6月10日,巴塞爾委員會(BCBS)發布咨詢文件《對加密資產敞口的審慎處理》,將銀行類金融機構對加密資產的敞口納入巴塞爾協議的監管框架.
1900/1/1 0:00:00因為區塊鏈透明、公開、不可篡改等特點,智能合約能實現傳統金融中很多難以實現的功能,Compound、Aave這一批最老的DeFi項目通過流動性挖礦完成了用戶與資金的積累.
1900/1/1 0:00:00Covid-19危機正在加速銀行和保險公司面臨的重大結構性挑戰,這些挑戰也給央行和監管機構帶來了前所未有的壓力,各國中央銀行需要在一條通向創新支付和CBDC的“未來之路”上共同努力.
1900/1/1 0:00:00伴隨著牛市的逐漸退潮,整個加密市場的活躍度都開始減弱,就連在牛市時期各指標屢創歷史新高的DeFi生態也不例外.
1900/1/1 0:00:00頭條 ▌V神將參與以太坊相關新紀錄片金色財經報道,電影制作公司Optimist正在制作第一部關于以太坊的長篇紀錄片,名為《以太坊:無限花園》.
1900/1/1 0:00:00在過去的十年里,音樂產業已經發生了翻天覆地的變化,一些關鍵性的技術正在沖擊著藝術家創作的方式,并且試圖將藝術家安置在行業內飛速前進的列車當中。然而即便如此,也不是一帆風順的.
1900/1/1 0:00:00