比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > ETH > Info

一次黑客攻擊_CRYP

Author:

Time:1900/1/1 0:00:00

編者按:本文來自橙皮書,Odaily星球日報經授權轉載。前段時間,我搭了一個很簡陋的博客,想用來寫點個人日記。代碼寫得很簡單,潦潦草草發布上去。后面有天我才發現,網站存在cookie里的session是沒有加密的,前端很容易就能解析出來,而我犯的一個錯誤是在session里存了敏感的信息。軟件世界有無數的陷阱。拿最簡單的web網站來說,SQL注入、XSS攻擊、利用第三方cookie重復使用的CSRF攻擊、圖片或者文件上傳的漏洞,各種死法花式上演。一個新手在網絡上架起了自己的第一個網站,就像水手駕著一艘顫顫巍巍的小帆船第一次出海,他不知道前方路上埋伏著無數的風暴、冰山和海怪。只是在大部分情況下,這些風險是幻象。船上的漏洞當然是一直存在的,風暴和海怪卻并不一定會出現。畢竟風暴和海怪也很忙,他們只攻擊那些值得攻擊的對象,要么掀翻滿載而歸的漁船,要么掠奪富商的貨輪。所以,也難怪有人說,軟件工程不像其他“硬工程”,土木工程如果出錯,樓會倒、路會塌,需要付出人命的代價;硬件芯片如果出bug,則會導致幾十上百億的損失;軟件如果掛了?最多讓一個網站宕機半天。當然,這句話其實是錯誤的。軟件正在吞噬整個世界。代碼充斥著世界的每個角落。今天軟件的漏洞,代表的不止是一個網站或者一個app,也是飛機和火箭上的控制系統。波音公司把客機軟件外包給更廉價的第三方,最終在航天史上留下了血淋淋的BUG。Dijkstra大神也講過類似的故事。1969年阿波羅登月后,他曾經問飛船軟件的負責人,你們為什么能把那么多的代碼寫正確,沒想到對方坦白道:僅僅在發射前五天,他才從登月器計算軌道的代碼里發現一個錯誤,這行代碼把月球的重力方向算反了。本來該吸引的,結果寫成了排斥。除了軍用軟件和航空軟件,現在我們還多了另一個領域——區塊鏈。天生與貨幣和金融綁在一起的crypto,讓我們又一次感受到,軟件世界的代碼安全究竟有多重要。昨天對中國DeFi圈而言是黑暗的一天。dForce的借貸平臺Lendf.Me遭黑客攻擊損失2500萬美元的資產,黑客利用了ERC777標準和Lendf.Me合約的組合漏洞,使用重入攻擊憑空制造出一堆imBTC,又用imBTC借走了平臺上的其他幣種,洗劫一空。就在dForce出事的前一天,Uniswap也剛剛遭受相似手法的攻擊。而ERC777標準的這個漏洞,在2019年6月份就被OpenZeppelin公布了,只是并未引起重視。這件事將會成為DeFi發展的一個重要節點。事件仍在發展中,最終能否追回資產、最大限度的降低用戶損失還要看后續進展,但各個crypto群里已經吵翻天了。這里面有太多的教訓。許多人將對DeFi失去信心,認為DeFi是偽概念,懷疑以太坊過去這幾年圍繞去中心化金融所講的這個故事。也有不少用戶從此不愿意把資產放入到DeFi產品中,而更愿意選擇中心化的金融產品,因為“CeFi出了事至少能維權”。這些爭吵都是正常的。DeFi是樂高,也是蜜罐,從現在到將來,永遠都會有一小撮黑客盯著,嘗試挖走里面的金幣。任何金融系統都需要經歷這樣的過程,逃不掉的。能通過考驗的、最終能幸存下來的,才有機會走向主流人群,成為更穩固的金融基礎設施。只是在這樣的過程中,每發生一次類似的事件,都讓人難免扼腕。因為背后的代價是由用戶真金白銀買單的。我想這應該是整個區塊鏈行業都不愿意看到的。只是很遺憾,事情發生后,我在Twitter和其他社交平臺上看到了挺多冷嘲熱諷的圍觀,有國外社區對中國社區的嘲諷、對以太坊社區的嘲諷,也有非DeFi圈對DeFi圈的戲謔。恰好也是在昨天,宅在家里看完了因為疫情而舉辦的全球慈善演出oneworldtogetherathome。在一片GlobalCitizen的氛圍中,默默聽完了來自世界各地的藝術家和歌手在家里錄制的表演。有人說,在病和反全球化趨勢下,象征人類大團結的東京奧運會都被取消了,唯有這場2020年的liveaid,能讓人從心里感受到一些聯結和溫暖。而其實整個crypto行業才多大呢?就這么小的一個圈子,中國真正從事區塊鏈的核心玩家,可能一個微信5000好友就能加滿了。何必如此。希望這次攻擊事件,能讓crypto圈和所有從事DeFi行業的人都能吸取教訓。開發者在寫智能合約時,對每一行代碼能更有敬畏之心;用戶在使用Crypto產品時,對風險能有更清楚的認識——記住哪怕是小概率的風險,只要時間夠長就一定會發生。安全,才是區塊鏈的立身之本。

Dedaub已通過一次白帽攻擊將DeFi Saver客戶的資金安全轉移:智能合約安全公司Dedaub發文稱,已通過一次白帽攻擊將DeFi Saver客戶的資金安全轉移。該文稱,在DeFi Saver部署的智能合約中發現一個關鍵漏洞后,Dedaub利用了該漏洞,并于1月5日與團隊取得聯系。DeFi Saver團隊立即作出回應,不到20小時,客戶資金已通過一次白帽攻擊恢復安全。

Dedaub稱,該漏洞將會影響DeFi Saver服務的主要用戶,過去2個月有200多名客戶將存款存入這個易受攻擊的合約中;該漏洞最初是通過復雜的靜態分析而非人工檢查來標記的,在涉及金融資產時,自動化分析通常是一種低價值的警告;通過使用DeFi Saver的閃電貸和代理授權功能可搶救用戶資產。[2021/1/11 15:51:17]

王小彬:所有BSS持有者將參與BICC今年第一次的分紅:據官方消息,Bicc 2.0發布會——“為交易而來”線上發布會直播群內,王小彬正式宣布平臺幣即將回饋分紅,即所有BSS持有者將根據持倉比例,參與BICC今年第一次的分紅,均分去年第四季度Bicc上線第一個季度的盈利的50%,一共10個BTC。[2020/4/30]

動態 | 廣東省稅務局:利用區塊鏈等技術 全面升級為“一次不用跑”:近日,廣東省稅務局正式發布公告,在全省范圍內實行辦稅費“一次不用跑”,并發布涉及的100項辦稅費事項清單。在“一次不用跑”試點過程中,廣東省稅務局鼓勵各地稅務部門在“電子辦稅為主、自助辦稅為輔、實體辦稅兜底”的智慧辦稅格局下,探索智能辦稅新路徑,開展個性化服務創新,將“最多跑一次”事項清單與“全流程無紙化”“互聯網+”“云計算”“區塊鏈”“人工智能”等緊密融合,全面升級為“一次不用跑”。(央廣網)[2020/2/6]

動態 | 外媒:印度計劃在下一次議會會議上提交加密相關法案:印度政府一直在審議一份由部際委員會(IMC)提交的加密報告,該委員會的任務是研究加密貨幣的所有方面并提出建議。這份包含加密法案草案的報告于7月22日公布,但該法案尚未提交給議會。 在周四最高法院的加密聽證會上,政府公布了關于該法案的計劃。Financial Express報道稱,政府已告知法院,IMC已建議在印度“完全禁止私人加密貨幣”,并補充道:“禁止加密貨幣及監管官方數字貨幣的法案,2019”(The Banning of Cryptocurrency and Regulation of Official Digital Currency Bill, 2019)將在下一次議會會議上提出。”[2019/8/10]

Tags:EFIDEFDEFICRYPSEFI價格World of Defish99DEFI價格Bitcoin Scrypt

ETH
從入門到高階:一文洞察IPFS_COIN

IPFS是一個點對點文件共享系統,旨在從根本上改變信息在全球及全球范圍內分發的方式。IPFS由通信協議和分布式系統中的多項創新組成,這些創新相結合產生了無與倫比的文件系統.

1900/1/1 0:00:00
MakerDAO生態報告:?黑色星期四之后,Maker協議下調了DAI儲蓄利率_DAI

編者按:本文來自加密谷Live,作者:LucasCampbell,翻譯:子銘,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
楊作興退居幕后?神馬礦機神秘新領袖陳建兵登場_ESS

神馬礦機正在準備召開一場盛大的發布會。幣圈老人王純、神魚、吳鋼甚至比特幣開發者領袖Adamback都發來視頻站臺。然而,神馬礦機要推上臺前的這位新領袖卻是幣圈、礦圈幾乎無人知曉的神秘人.

1900/1/1 0:00:00
起底盤圈APP開發黑產_STAR

編者按:本文來自蜂巢財經News,作者:嚯嚯,Odaily星球日報經授權轉載。幣圈成為資金盤重災區之后,越來越多的APP開發團隊盯上了盤圈,專注“區塊鏈系統開發”.

1900/1/1 0:00:00
星球日報 | 接近監管人士:央行數字貨幣相關工作一直在做?;Coinlist發布Filecoin代幣接收通知_OIN

頭條 接近監管人士:央行數字貨幣相關工作一直在做此前有媒體報道稱,央行數字貨幣在農行內測,深圳、雄安、成都、蘇州為試點城市。4月15日開盤后,數字貨幣概念股走強.

1900/1/1 0:00:00
礦業三大死亡螺旋,兩張圖看懂嘉楠發生了什么?_比特幣

幾個月前,嘉楠歡慶上市的盛景仿佛還在眼前,然而看到嘉楠剛剛發布的財報,只有感嘆“礦業維艱”。目前嘉楠股價為3.2美金,距離9美金的發行價跌去近60%.

1900/1/1 0:00:00
ads