比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

2021年區塊鏈安全年度總結_區塊鏈

Author:

Time:1900/1/1 0:00:00

2021 年對于區塊鏈來說是一個巨大的里程碑,無論是對于用戶量還是對于機構接受程度。鏈資產比重都遠超歷史上的任何其他時期。

與此同時,興起了許多多元化的事物如號稱終極未來的元宇宙、邊玩邊賺的 GameFi 以及鏈鏈互信的跨鏈等。而各類傳統 Defi Dapp 也加速了步伐迎來了全新的升級,如 Uniswap V3, Aave V3 等新版協議問世。

種種這些,不僅為區塊鏈生態帶來了活力,同時也帶來了全新的安全挑戰。現在請跟隨 知道創宇區塊鏈安全實驗室 的視角一起回顧2021區塊鏈安全生態以及各月份的典型安全事件。

據 知道創宇區塊鏈實驗室[被黑事件檔案庫]不完全統計數據,截止本文發稿前,2021 年區塊鏈可供查詢的相關安全事件為 312 起,直接損失超 100 億美元。

對比往年數據來說依然是一個令人心悸的走高態勢。蓬勃發展的多鏈系統,鏈鏈互信的跨鏈需求,新鏈上的花式仿盤,都為這一龐大的數字做出了相應的"貢獻"。

在安全事件方面我們使用了6個緯度來進行統計,分別是 交易所、DeFi、跑路、錢包、公鏈、其他。其中以DeFi安全尤為突出達到了 141 起。

該原因主要在于區塊鏈底層技術愈加趨向成熟,但合約實現規范還沒有充分完備化和體系化,審計還沒有被足夠的落實。尤其合約具備著直接擔當著資金載體和運行邏輯的功能,這使得越來越多黑客將目標瞄向該領域。

歐盟將于2023年初提出數字歐元法案:2月11日消息,歐盟財務負責人 Mairead McGuinness 在 Afore Consulting 舉行的金融科技會議上表示,歐盟將在 2023 年初正式考慮圍繞數字歐元立法。 McGuinness 稱:“歐盟計劃在未來幾周內進行有針對性的立法磋商”。歐洲中央銀行于去年對數字歐元的優勢進行了研究,認為歐元 CBDC 可以幫助降低銀行的利率,使交易更加順暢和快捷,并最大限度地減少現金使用。歐洲央行行長Christine Lagarde曾表示,歐盟的 CBDC 可以補充傳統現金并成為比特幣等私人數字貨幣的替代品。(politico)[2022/2/11 9:44:08]

另一方面,攻擊者利用閃電貸和鏈上監控愈發成熟。使得攻擊面得以被充分暴露,同時各個項目方對于協議的實現也存在著巨大的差異,這些種種,無疑皆助長了該攻擊的廣泛性和頻繁性。

在資金損失方面則是跑路/騙局尤為嚴重,損失總計超 64 億美元。相較于 DeFi 安全事件的多發性來說,跑路/騙局對人們造成的經濟損失更加明顯。

跑路的方式由于 Owner 權限過大、合約可升級、DAO 比例操控等等難以避免。同時由于區塊鏈的不可追溯性導致該行為風險變得非常的低,甚至有項目方直接在群組公開宣告自己跑路的行徑,導致大量用戶失去信心。

無論是交易所清退詐騙、鏈上蜜罐、假錢包、轉賬釣魚,花樣眾多的攻擊方式也為鏈安全帶來了新的挑戰。當然,這不僅僅應該完全依賴安全公司,更多的還應該寄希望于群體安全意識提升的落地。

Argo Blockchain在12月份共挖礦214個BTC,2021年共挖礦2,045個BTC:1月7日消息,Argo Blockchain發布12月份運營更新,共挖礦214個比特幣或比特幣等價物,2021年挖礦的BTC總量達到2,045 BTC。截至12月底,公司擁有2,595個比特幣或比特幣等價物。(ADVFN)[2022/1/7 8:32:25]

關鍵詞:權限控制,手續費

1月27日,SushiSwap 因收取手續費的函數存在權限控制缺陷,被黑客利用操控了 DIGG/WETH 交易對的滑點,從而套取了 WBTC/DIGG 交易對的手續費。

安全月度風險評估:低

月度評價:新年伊始,但不應該是新漏洞的開始

關鍵詞:閃電貸,無限授權

Yearn Finance 被攻擊,黑客利用閃電貸操控 3pool 代幣平衡,并通過y Dai保險庫放大差異,獲利 280 萬美元,而保險庫損失 超1100 萬美元。

以太坊協議組合工具 Furucombo 智能合約被爆出存在請求授權權限過高問題,黑客可通過向 Furucombo 代理添加攻擊合約,從而獲得影響用戶賬戶的權限,該漏洞影響超 1400 萬美元。

安全月度風險評估:中

月度評價:同類型漏洞相繼爆發,需做好安全預警

關鍵詞:雙花交易,錯誤鑄幣,權限控制

吳忌寒:對2020年幣價感到樂觀:在2019年比特大陸主辦的法蘭克福大會上,吳忌寒表示可能減半之時牛市并不會到來。2020年初吳忌寒出于對減半行情的不確定性,對比特大陸進行了人員優化。年后比特幣價格狂跌,一定程度印證了吳忌寒的預測。在此次采訪中,吳忌寒表示,對2020年幣價感到樂觀。原因有二,第一是從中國及周邊國家經驗來看,新型冠狀病是可以用2個月左右的時間撲滅的;第二是目前全球各國都在采用極大的量化寬松貨幣政策。(吳說區塊鏈)[2020/3/25]

去中心化交易所 DODO 因未對init進行權限控制,導致黑客在進行閃電貸歸還操作時通過init函數將需要歸還的代幣修改為自己提前加入pool的垃圾代幣,從而規避校驗以次充好,損失超 200 萬美元。

Paid Network 鑄幣功能存在漏洞,被利用鑄造超 6000 萬枚PAID代幣。

Filecoin 由于節點特性出現“雙花交易”漏洞。

安全月度風險評估:高

月度評價:漏洞類型花樣百出,但核心都是資金安全

關鍵詞:重入攻擊,協議兼容性

Uniswap 上的 imBTC 池遭到黑客攻擊,漏洞原因是 Uniswap 與 ERC777 協議出現兼容性問題,當交易產生時,ERC777 中的迭代調用 tokensToSend 可以被用來實現重入攻擊,損失超 30 萬美元。

月度評價:經典漏洞以全新方式體現,說明安全理念并不會停滯,需要時刻進步

關鍵詞:重入攻擊,協議沖突,滑點,閃電貸

分析 | 2020年比特幣仍將是最活躍市場:BafeEx.io交易所首席分析師Zoy發布年度分析,他認為:1、2020年比特幣仍將是最活躍市場;2、比特幣市值占比將重回70%,同時主流競爭幣市值占比將會持平;3、比特幣算力將會穩步提升至140 EH/s,大批S9將會逐步過渡為降頻版。同時,雖然2019年年底市場仍然缺乏熱點,但是在減半的熱點下,BafeEx堅定認為2020年將是更好的一年。[2020/1/1]

合成資產協議 Spartan Protocol 遭到閃電貸攻擊,由于添加/移除流動性存在滑點修正機制的差別導致套利,損失 3050萬 美元

機槍池項目 Value DeFi 由于協議組合存在的沖突隱患遭到攻擊,損失 1000 萬美元,2 天后再次遭到攻擊,損失 1100 萬美元;

PancakeBunny 遭到閃電貸攻擊,由于 LP 代幣價格計算問題導致套利,損失約 4500 萬美元;

BurgerSwap 遭到閃電貸攻擊,由于重入漏洞和架構問題導致套利,損失約 330 萬美元;

月度評價:本月是閃電貸攻擊多發月份,造成的損害也及其重大,所以必須不放過任意可能存在漏洞的細節,避免無法挽回的結果。

關鍵詞:薅羊毛,錯誤變量,address(this),閃電貸

PancakeBunny 項目仿盤 PancakeHunny 項目遭遇黑客攻擊,主要漏洞原因在于mintFor函數錯誤地使用合約余額作為參數,且兌換 HunnyToken 使用的固定參數,導致套利可行。

以太坊 DeFi 項目 Alchemix 的 alETH 合約出現安全問題,由于部署腳本錯誤的創建 vault 值并在調用中使用了錯誤的索引,導致用戶獎勵超發

動態 | 中國信通院將于2020年啟動第四批可信區塊鏈評測:據通信世界網消息,中國信通院在2017年啟動了可信區塊鏈標準和測評體系的研究,目前已經完成了3批共50多個測試任務。2020年第四批可信區塊鏈評測也即將啟動,涵蓋區塊鏈基本功能、性能、安全等多個專項測試,目的是為行業提供權威、科學、客觀的第三方公共服務,有力推動區塊鏈安全、有序、高質量發展,促進區塊鏈技術在建設網絡強國、發展數字經濟等方面發揮積極重要作用。[2019/12/30]

BSC 鏈上DeFi協議 xWin Finance 遭到閃電貸攻擊,合約未對獎勵推薦人地址做校驗,導致同一地址推薦人獎勵可累計。

高月度評價:本月閃電貸攻擊依然多發,其提醒著控制變量值得反復審計。

關鍵詞:私鑰,雙花攻擊,tx.origin,邏輯漏洞

去中心化跨鏈交易協議 Anyswap 遭到攻擊,漏洞原因在于其 V3 路由器 MPC 帳戶下存在兩個 v3 router 交易,這兩個交易具有相同的 R 值簽名,攻擊者可以反推出 MPC 賬戶的私鑰,損失約800萬美元。

BSV 網絡遭受惡意攻擊,造成多個區塊重組,攻擊者借此進行了雙花攻擊。

去中心化跨鏈交易協議 THORChain 遭受多次攻擊,因其代幣特性 tx.origin 可被用做釣魚,損失約 2500 萬美元。

收益耕作協議 PolyYeld Finance 遭受攻擊,因其轉賬時存在實際到賬少于轉出的缺陷,被黑客利用控制了 MasterChef 合約中代幣,實現超額獎勵。

安全月度風險評估:中高

月度評價:本月存在各類型的邏輯漏洞,涉及私鑰、轉賬已經功能特性等,需做更全面的考慮。

關鍵詞:年度損失之最,重入攻擊,同類型協議攻擊,閃電貸

以太坊上DeFi 協議 Popsicle Finance 遭遇閃電貸襲擊,漏洞原因在于 PLP 池合約對手續費獎勵的計算存在缺陷,損失 2,070 萬 美元;

跨鏈協議 Poly Network 遭到攻擊,由于函數缺陷導致keeper可被修改,這次攻擊被稱為年度最大黑客事件,損失約 6.1 億美元;

BSC 鏈上DeFi 項目 Dot.Finance 遭受閃電貸攻擊,這次攻擊屬于 PancakeBunny 同類型協議攻擊,損失近 43 萬美元,迄今為止,此類攻擊已造成損失超 5,000 萬美元;

以太坊上的 DeFi 協議 Cream Finance 遭遇重入漏洞襲擊,損失超 1800 萬美元;

月度評價:本月各類攻擊損失都十分巨大,還有著堪稱全年損失之最的Poly Network攻擊,該月份攻擊不僅影響到新興的跨鏈項目也對同類型的協議敲響警鐘,這份影響持續著整個區塊鏈安全生態。

關鍵詞:初始化攻擊,恒定乘積校驗,預言機操控,閃電貸

NFT 賽馬項目 DeRac 被攻擊,其漏洞原理是:Vesting 合約 未進行 init 未初始化保護,從而讓黑客初始化了 init 中他想要的參數,最后通過緊急提款函數提取了合約資金,損失約400萬美元。

去中心化交易所 NowSwap 遭到黑客攻擊,由于沒有修改 swap 函數的參數導致閃電貸的恒定乘積校驗邏輯失效,攻擊者返還部分閃電貸金額即被認為是完全歸還,從而實現了攻擊,損失金額超100萬美元。

借貸協議 Vee.Finance ,超3500萬美元資產被盜,據官方調查,極可能是小數點未精確以及權限校驗問題導致預言機價格被操縱。

去中心化借貸協議 Compound 出現變量設置錯誤轉移了更多的 COMP 代幣, 該漏洞損失約 28 萬枚 COMP 代幣。

月度評價:本月各類攻擊損失依然巨大,但相較于新型漏洞,大多數漏洞都屬于可追溯漏洞即已經出現過的漏洞。

關鍵詞:價值描述,修補方案,多次攻擊

以太坊上被動收益協議 Indexed Finance 遭到攻擊,其漏洞產生的原因在于協議通過一種代幣來描述整個礦池價值,損失約1600萬美元。

去中心化借貸協議 Compound 在試圖通過 社區提案修補流動性挖礦代幣分發合約含有的漏洞的同時,因為 drip() 函數的調用而向漏洞合約打入了20萬枚 comp 代幣,由此該協議已面臨 1.58 億美元的潛在損失。

以太坊上 DeFi 借貸協議 Cream Finance 再遭受攻擊,此次攻擊產生的核心代碼原因在于價格因子pricePerShare通過簡單的資產數額占比來動態定價,損失約 1.3 億美元。

月度評價:各種漏洞產生的情況也是各有不同,有礦池功能存在問題、有兌換功能存在問題、甚至有鑄幣功能存在問題等,但是 Cream Finance 該年度已經多次遭受攻擊實屬應該做好防護。

關鍵詞:預言機操控,治理攻擊,私鑰泄露

以太坊上的 DeFi 協議 VesperFi Fianance 遭遇預言機操控攻擊,損失超 300 萬美元。

Curve.Finance 遭 Mochi 穩定幣 USDM 團隊「治理攻擊」,損失超 3000 萬美元。

DeFi 借貸協議 bZx 在 Polygon 和 BSC 鏈上的私鑰泄露事件已導致超 5500 萬美元資產被盜。

月度評價:該月份同樣問題嚴重,有傳統的預言機安全問題、私鑰泄露問題甚至還有著項目方反擼礦工的操作。

關鍵詞:閃電貸,重入

Fantom 鏈上復合收益平臺 GrimFinance 遭遇了閃電貸攻擊,攻擊者利用 depoistFor 函數不存在 token 校驗,通過將 token 地址指向自己的攻擊合約實現重入攻擊,損失超 3000 萬美元。

Definer 遭遇預言機操控攻擊,問題在于 OEC 鏈上對于預言機的實現存在問題,使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生。

月度評價:傳統的預言機安全問題與重入安全問題,但是殺傷力依舊巨大。

凡是過去,皆為序章。

2021年,注定是不平凡的一年。對區塊鏈而言,各種新事物不斷出現的同時,也產生了諸多的安全問題,同時帶來了全新的安全挑戰。

在這些種種安全事件中最亮眼的名詞當屬閃電貸,在上述經典攻擊事件中閃電貸工具被使用了數10次。而攻擊難度低,收益高的跑路和詐騙也時有發生。每年對于區塊鏈安全所造成的損失也仍在不斷增加,并且沒有一絲暫緩之勢。

在這些攻擊中,DeFi 仍是區塊鏈安全的重災地,由于各種項目方實現的多樣性和復用代碼造成的理解差異,導致了如此多的經濟損失值得每一個人深思。這不是某一個人或者某一個組織的事,而是需要整體行業大眾普遍安全意識的提升。

最后,希望大家在新的一年中,以此為鑒,砥礪前行。

Tags:區塊鏈ANCEFIDEFI區塊鏈幣在中國合法嗎xWIN FinancePEET DeFikingdefi幣歸零

火必交易所
Square更名為Block 聽聽Jack Dorsey如何押注區塊鏈_BLOCK

繼Facebook宣布改名為元宇宙(Meta)后,2021年12月,美國移動支付巨頭Square宣布將更名為Block.

1900/1/1 0:00:00
項目周刊|印度將推出首個比特幣和以太坊期貨ETF_以太坊

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.

1900/1/1 0:00:00
不管你承不承認 Web3時代確實已經到來了_NFT

就像人一樣,互聯網也可以被分為幾代。Web2.0(或Web2)是大多數人熟悉的互聯網,通常被稱為 "社會網絡".

1900/1/1 0:00:00
元宇宙的未來在哪里?_LUS

元宇宙:放飛想象,握緊現實繼PC連接的桌面互聯網時代、智能手機連接的移動互聯網時代之后,元宇宙引爆了下一個信息互聯時代的想象,通過虛擬與現實的完美連接,打造理想的虛擬世界.

1900/1/1 0:00:00
元宇宙火爆背后 最大的風險是什么?_VER

“現在,阿弘正朝著‘大街’走去。那是元宇宙的百老匯,元宇宙的香榭麗舍大街……這條大街與真實世界唯一的差別就是,它并不真正存在.

1900/1/1 0:00:00
元宇宙動畫電影《Belle》來襲 帶你一睹虛擬世界_NBS

自Facebook宣布更名后,似乎每個人都在談論「元宇宙」。與此同時,著名導演細田守的最新動畫電影《Belle》正在宣傳期,這部電影巧妙演繹了“美女與野獸“,場景設定在一個元宇宙般的虛擬世界中.

1900/1/1 0:00:00
ads