比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > MEXC > Info

近4億美元損失,Solana的黑客攻擊都有什么共同點?_NCE

Author:

Time:1900/1/1 0:00:00

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;Nirvana:通過閃貸操縱價格,350萬美元被盜;Slope錢包:由于助記詞被泄露,400萬美元被盜。在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。這些黑客有什么共同之處?

某巨鯨地址2小時前在幣安賣出近47萬枚UNI,獲利13.3萬美元:7月25日消息,據Lookonchain監測,某巨鯨地址2小時前向幣安存入467,825枚UNI(270萬美元)并提取270萬枚USDT,售價約為5.77美元。6月26日,該鯨魚以5.49美元的均價于幣安購買467,825枚UNI(257萬美元),獲利約13.3萬美元。[2023/7/25 15:56:11]

1.幾乎所有黑客(SlopeWallet除外)都精心設計了一個或多個假賬戶。Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。CashioApp:黑客創建了8個假賬戶來通過有效性檢查。CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。2.所有黑客攻擊都涉及多次交易Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10+筆閃貸交易,從不同的代幣池中進行竊取。Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。Slope錢包:廣泛的攻擊持續至少8個小時。4.最大的損失是由于缺少帳戶驗證前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。無論是否是巧合,這些攻擊都造成了很大的經濟損失。5.閃貸牽涉到兩次黑客攻擊CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。在CremaFinance,閃貸被用來引導存款流動性。在Nirvana中,其內部價格預言機被閃貸操縱。如何防止未來類似的黑客攻擊?

HDAO再次登陸OKEX漲幅榜,日內最高漲幅近40%:據行情顯示,NFT概念項目HDAO再次登陸OKEX漲幅榜,日內最高漲幅近40%,交易量近2億枚,且創下Aicoin NFT板塊、DeFi板塊最大漲幅紀錄。[2020/11/1 11:22:12]

根據上面總結的這些攻擊的特點,我們推薦以下的安全措施:1.預部署:驗證智能合約的所有輸入帳戶

在編寫Solana智能合約時,要時刻牢記所有輸入都可能被攻擊者偽造,包括所有賬戶和外部程序(即用戶錢包賬戶、PDA賬戶和其他智能合約)。Solana的編程模型將代碼和數據解耦,因此程序中使用的所有帳戶都必須作為數據輸入傳遞。在幾乎所有情況下,都應該驗證:賬戶所有權賬戶簽名者帳戶之間的關系(或邏輯約束)根據協議邏輯,還應該檢查:如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。2.部署后:主動使用實時威脅監控

行情 | 全球加密貨幣市場24小時交易量創近4個月新低:據CMC數據顯示,全球加密貨幣市場24小時交易量在今日一度下降至400億美元下方,創近4個月新低。截至目前,全球加密貨幣24小時交易量為406.8億美元。其中,過去24小時比特幣交易量為111.17億美元。目前,比特幣市值占比為69.19%。[2019/9/1]

由于所有這些黑客攻擊都涉及跨越至少幾分鐘或幾小時的多個交易,因此可以提前主動檢測可疑交易,并在中間遏制攻擊。這是Solana的獨特屬性,它允許鏈上威脅監控技術作為一種防御解決方案,來幫助有效地預防和阻止安全攻擊:原則上,威脅監控解決方案可能會有幫助:監控SOL或SPL代幣的大規模轉移;監控針對你的智能合約的閃貸交易;通過升級依賴程序來監控潛在的漏洞;監控異常狀態(例如,計算費用);監控往返交易事件例如deposit-claim-withdraw在單個tx中);監控來自同一簽名者的重復交易;任何針對協議特定屬性的自定義監控。如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。原地址

美國槍支零售商:近45%的槍支交易由加密貨幣支付:據CoinDesk消息,美國銀行已經開始與槍支制造商就其產品性質進行討論,可能會導致合法槍支的無效支付。因此,美國一些槍支零售商已經接受虛擬貨幣支付訂單。德克薩斯州的Gunworks則在其網站上單獨概述了如何使用加密貨幣支付物品。Gunworks的所有者MichaelCargill告訴 CoinDesk,其收入中約45%來自加密貨幣。為了完成槍支與加密之間的聯系,他的商店配備了價值2000美元的3D打印機,能夠打印金屬槍組件以制造Liberator 2手槍,這是一種沒有序列號的手槍。制造商Defense Distributed由Cody Wilson組建,該公司自稱為“加密無政府主義者”,此前曾制作過“黑色錢包”,該項目旨在掩蓋基于互聯網的金融交易、槍支權和密碼之間的聯系深入。[2018/2/27]

Tags:SOLOLEFINANCESOLAPEole幣能發展起來嗎Sonne FinanceArvo Finance

MEXC
基礎層的中立性:制裁和審查對區塊鏈基礎設施的影響_加密貨幣

譯者導言 近期發生在加密貨幣領域的一個里程碑式事件觸動了加密社區的敏感神經,那就是監管機構對于TornadoCash的地址進行了審查監管.

1900/1/1 0:00:00
五步幫你建立一個高質量的DAO組織_HTT

“什么是DAO社區以及如何衡量健康狀況”,已經變得越來越重要。DAOrayaki社區特對此話題進行追蹤,我們發現RnDAO發布一項“衡量DAO社區健康狀況”研究.

1900/1/1 0:00:00
CoinMarketCap報告精編:8月加密市場分析_COI

本文來自CoinMarketCapResearch,經其獨家授權發布,由Odaily星球日報譯者Katie辜編譯。 僅在8月份,加密市場總市值就下降了9.97%,目前已降至1萬億以下.

1900/1/1 0:00:00
萬字解析“The Merge”對以太坊的深遠影響_以太坊

目錄 Coinbase在以太坊合并之前上線流動質押代幣cbETH,用戶可以通過cbETH出售、轉移、消費或以其他方式使用鎖定的質押ETH其它:ETC利好、礦工遷移對ETC生態ETC鏈的出現源于2.

1900/1/1 0:00:00
一文對比ETH質押平臺:流動性質押平臺的衍生品負溢價更低_STE

以太坊本次合并后由PoW轉向PoS,能源消耗減少99.95%,每年發行的ETH減少90%左右。在PoS區塊鏈中,驗證者鎖定原生代幣來為網絡提供安全性.

1900/1/1 0:00:00
Delphi Labs: 為何我們將研發重點聚焦在Cosmos生態?

介紹 DelphiLabs是Delphi的協議研發部門,擁有約50人的團隊,致力于構建新的Web3原語。此前該團隊專注于研究和開發Terra上的協議.

1900/1/1 0:00:00
ads