原文作者:MaxCobo?安全總監
原文來源:CoboGlobal
受Moledao邀請,Cobo安全總監Max近日通過網絡為社區成員分享了一堂DeFi安全課。Max為大家回顧了過去一年多Web3行業遭遇的重大安全事件,并著重探討了這些安全事件發生的原因以及如何規避,總結了常見智能合約的安全漏洞及預防措施,還對項目方和一般用戶給出了一些安全建議。在此,我們將Max分享的內容分為兩篇發布,供DeFi愛好者收藏。
根據慢霧統計,?2022年發生了300?多起區塊鏈安全事件,總涉及金額達43億美元。
本文詳細講解以下八個典型案例,這些案例損失金額基本都是大于1億美元,其中Ankr涉及的金額雖然較小,但也是一個比較典型的案例。
2022年3月23日,NFT游戲AxieInfinity側鏈RoninNetwork表示,早些時候發現,SkyMavis的Ronin驗證器節點和AxieDAO驗證器節點遭到入侵,導致在兩筆交易中橋接了17.36萬枚ETH和2550萬USD。
美國財政部表示,朝鮮黑客組織Lazarus與AxieInfinityRoninNetwork6.25億美元的黑客事件有關。
據媒體引述知情人士透露,黑客通過領英聯系了AxieInfinity開發商SkyMavis公司的一名員工,經過幾輪面試告知其以高薪被錄用。隨后該員工下載了以PDF文檔呈現的偽造的“Offer”錄取信,導致黑客軟件滲透到Ronin的系統,從而黑客攻擊并接管Ronin網絡上九個驗證器中的四個,只差一個驗證器無法完全控制。隨后,黑客又控制了未撤銷權限的AxieDAO來實現最終的入侵。
Cobo COO:數字資產托管的三位一體包括三個方面:用戶、技術和應用:金色財經現場報道,在Coinlive舉辦的峰會上, Cobo COO Lily Z. King的第三場主題演講的主題是“數字資產托管的必然未來”。她解釋說,Web2拿的是你的數據,而Web3拿的是你的資產,數字資產托管其實就是對客戶數字資產/私鑰的保管,是一整套相關服務蓬勃發展的基礎──托管基本上是網關機構采用加密貨幣。接下來,塑造機構如何存儲其數字資產的趨勢如何?她分享,數字資產托管的三位一體包括三個方面:用戶、技術和應用。托管方需要迎合新用戶群體的不同需求,緊跟和適應各種新技術。 “Web3的概念肯定會成為主流,”Lily 補充道。最后,她總結說,在 Cobo,他們認為數字資產托管的未來是全棧解決方案、統一的用戶體驗、可編程性和完全去中心化。[2022/12/22 22:01:01]
朝鮮黑客團體已經存在很長時間,在Web3技術還未盛行的時候,已有多起新聞報道一些銀行或大型商業機構遭到入侵。現在,越來越多傳統的黑客團體,以及一些國家級勢力,已從以往盜取數據和信用卡信息的行為,演變成攻擊區塊鏈項目,直接獲得實際利益。
這次事件的攻擊方式非常典型,在傳統的安全領域稱作APT,即高級持續性威脅。黑客團體一旦確定目標,就會通過社會工程學等方法,先控制目標組織內的一臺電腦,作為跳板點,以進一步滲透,最終達成攻擊目的。
此事件也暴露出了AxieInfinity公司員工安全意識較弱,以及公司內部安全體系存在一些問題。
根據Wormhole發布針對該事件的報告中指出,此次事件中Wormhole的漏洞具體是Solana端核心Wormhole合約的簽名驗證代碼存在錯誤,允許攻擊者偽造來自“監護人”的消息來鑄造Wormhole包裝的ETH,共損失約12萬枚ETH。
貝萊德前高管Martin Bednall將擔任數字資產投資管理公司Jacobi首席執行官:金色財經消息,數字資產投資管理公司Jacobi Asset Management宣布任命貝萊德前高管、FinEx董事總經理Martin Bednall為其新任首席執行官,自2022年8月1日起生效。此外,Bednall將繼續在FinEx Capital Management任職。(Businesswire)[2022/7/28 2:43:26]
JumpCrypto投入12萬枚以太坊以彌補跨鏈橋Wormhole的被盜損失,支持Wormhole繼續發展?
Wormhole遇到的問題主要是代碼層面的,因為它使用了一些廢棄的函數。拿以太坊舉例,初期版本的Solidity中,有些函數設計不完善,隨著后續的更新逐漸被廢棄。其他生態中也是一樣的情況。因此,建議開發者使用最新版本,以避免出現類似問題。
跨鏈互操作協議Nomad橋遭受黑客攻擊,是由于Nomad橋Replica合約在初始化時可信根被設置為0x?0?,且在進行可信根修改時并未將舊根失效,導致了攻擊者可以構造任意消息對橋進行資金竊取,攻擊者能夠從攻擊中榨取超過1.9億美元的價值。
黑客正是利用該漏洞,找一筆有效交易反復發送構造好的交易數據抽取跨鏈橋被鎖定的資金,從而導致Nomad上鎖定的資金被幾乎全數盜走。
派盾(PeckShield)監測顯示,Nomad被攻擊事件中,約41個地址獲利約1.52億美元(占80%?),包括約7個MEV機器人(約710萬美元)、RariCapital黑客(約340萬美元)和6個白帽黑客(約?820萬美元),約1?0%的ENS域名地址獲利610萬美元。
動態 | 投資者懷疑Cobinhood申請破產是退出騙局:據FXStreet 5月24日消息,加密貨幣交易所Cobinhood在Dexon ICO成功后申請破產。由于該公司管理層沒有提供細節,情況仍不明朗。Cobinhood已申請破產,并委任清算人處理勞工相關事宜。然而,矛盾的信息和管理層缺乏回應引發了退出騙局的傳聞。 該消息震驚整個社區,因為Cobinhood在2019年4月完成Dexon(DXN) ICO并籌集350萬美元。該公司本應于5月20日發行并分配在ICO出售的DXN代幣,但買家尚未收到代幣。DXN在幾個小時內暴跌85%,從0.15美元跌至0.04美元。COB在新聞發布時從0.006美元降至0.0026美元。 投資者懷疑該交易所進行一個退出騙局。推特網友稱,“來自Cobinhood和Dexon Foundation(同一家公司)的經典退出騙局。就在上個月籌集300萬美元后,他們解鎖所有代幣并將其傾倒在市場上,并宣布他們任命一名清算人。” Cobinhood和Dexon創始人之一黃偉寧試圖安撫社區。“臺灣公司正在重組,但一切照常進行。為了降低運營成本,我們取消質押的一些屬于基金會的節點。我們沒有傾銷任何基金會擁有的DXN代幣。”[2019/5/24]
NomadBridge這個事件很典型,本質上是因為它的設置在初始化的時候存在一些問題,如果黑客找到一批曾經有效的交易然后重新廣播出去的話,那么那筆有效交易涉及的資金就會重新再去執行,并將收益返回給黑客。在整個以太坊生態中,參與者有很多,除了項目方和參與者之外,還有很多MEV機器人。在這個案例中,當自動化的機器人發現了這筆攻擊交易無論誰廣播出去,發出廣播這個人都會得到收益。只要能覆蓋Gas費,大家都多去廣播,所以整個事件就變成了一個搶錢事件。這次事件涉及到的地址非常多,雖然事后項目方找到一些ENS以及一些白帽黑客的地址,追回一部分資金,但絕大部分資金都沒有被追回來。如果黑客用一個非常干凈的設備,非常干凈的地址的話,是很難從一些數據關聯的角度找到背后的人是誰。
動態 | 加密貨幣錢包公司Cobo完成1300萬美元A輪融資:據coindesk報道,總部位于北京的加密貨幣錢包創業公司Cobo已經完成了1300萬美元的A輪融資,以擴大其海外服務。此次融資由丹華風險投資公司,NEO基金會和雙湖資本公司支持。據悉,該加密貨幣錢包公司由F2pool創始人毛世行(神魚)創立。[2018/10/18]
雖說像Google、微軟、Facebook、阿里、騰訊等都經受過黑客攻擊,但是他們的程序都是閉源的;而在以太坊生態,或者是整個智能合約生態,很多程序都是開源的,對于黑客來講,分析開源的實際上是相對簡單的。所以當項目有漏洞的時候,基本就宣布了這個項目的失敗。
基于以太坊的算法穩定幣項目BeanstalkFarms在這次閃電貸攻擊中的損失約為1.82億美元,具體資產包括79238241枚BEAN?3?CRV-f、?1637956枚BEANLUSD-f、?36084584枚BEAN和0.54枚UNI-V2_WETH_BEAN。攻擊者獲利超8000萬美元,包括約24830枚以太坊以及3600萬枚BEAN。
本次攻擊的主要原因在于提案的投票與執行兩階段間無時間間隔,導致攻擊者在完成投票后未經社區審核可以直接執行惡意提案。
攻擊過程:
提前一天購買代幣并質押獲取提案資格,創建惡意提案合約;
通過閃電貸獲取大量代幣投票惡意合約;
惡意合約執行,完成套利。
Beanstalk也是很典型的案例,黑客沒有用到什么漏洞,只是利用了項目的一個機制。這個項目的機制是任何人抵押代幣之后可以提交提案,提案也是一個合約。攻擊者在實施攻擊的前一天買了一定的代幣,然后提交了一個惡意的提案,提案在24小時之后就可以被投票,投完票之后沒有任何時間窗口,沒有任何時間鎖,投票被通過,就可以立刻執行。
吳忌寒表示:Cobra稱比特大陸控制53%的算力系誤導:3月16日下午7點左右,bitcoin.org的創始人Cobra在推特上發文表示,“至少有53%的算力被BTC.COM、蟻池和微比特控制,而這些礦池都歸比特大陸所有。”對此,比特大陸吳忌寒回復稱:“幾乎所有的算力任何時候都可以從蟻池和BTC.COM離開,我們不擁有對這些哈希算力的控制權。”同時吳忌寒稱Cobra的說法存在誤導性,實際上微比特不屬于比特大陸,雖然他們擁有其股份,但與Viabtc創始人相比,他們的股份少的多。今天上午Cobra再次表示:“你的行為已經表明你控制了絕大多數的算力。通過多個礦池實體來分割算力,并試圖使挖礦顯得更加分散,但實際上這阻礙了技術的改進。”[2018/3/17]
現在很多項目都講社區自治,用純去中心化的方式,就會出現很多問題。比如提案,每一個提案是否有審核機制?一個提案到底是正常的提案還是惡意的提案?提案如果被通過,閃電貸過來直接抵押投票就有用,還是創建一種機制必須要staking一定的時間,甚至是發放投票代幣才可以?以及提案通過之后到執行這個階段,到底應不應該有一個時間鎖?理論上是應該有的,這樣的話大家只要看在時間鎖內的操作,給了大家一個出逃的機會,如果沒有的話,假如執行的是一個惡意操作,誰也跑不了。
2022年9月21日早上,EvgenyGaevoy在推特上公布被盜事件進展,稱Wintermute確實曾于6月份使用Profanity和一個內部工具來創建錢包地址。這樣做的原因是優化手續費,而不只是為了創建靚號,并稱在上周得知Profanity存在漏洞后,Wintermute加速棄用舊密鑰。但由于內部錯誤,調用了錯誤的函數,因此Wintermute沒有刪除受感染地址的簽名和執行操作。?
我們可以看到網上很多前面有八個0這種號,以太坊地址中的0越多,手續費就越低,所以很多MEV的搶跑機器人和項目方都比較喜歡用,尤其是一些相對高頻操作的。
Wintermute是一家做市商,當時他們把很多代幣發到一個合約里,用靚號生成程序生成合約地址。這個合約的Owner也是一個靚號,剛好非常不巧的是這個Owner靚號私鑰被人給強算出來了,合約里的錢直接都被轉走了。
當我們在網上使用一種開源工具的時候,一定要有接受可能帶來一些不好后果的準備。當使用一個外部程序的時候,強烈建議要對它進行一個相對比較充分的安全評估。
Horizon跨鏈橋損失逾1億美元,包括超1.3萬枚以太坊及5000枚BNB。
Harmony創始人稱,Horizon被攻擊是由私鑰泄露導致。
據彭博社報道,根據區塊鏈研究公司Elliptic的最新分析,被稱為LazarusGroup的疑似朝鮮黑客組織被認為是在Harmony跨鏈橋Horizon盜取1億美元的幕后黑手。Elliptic的分析強調了此次黑客事件中指向LazarusGroup的關鍵因素,包括自動存入Tornado.Cash以模擬RoninBridge事件的程序化洗錢,以及盜竊的時間等。
Harmony這個事件沒有公布具體的細節,但最后的報道說可能還是朝鮮黑客集團,如果是朝鮮黑客組織的話,與RoninBridge攻擊手法是一致的。朝鮮的黑客組織這些年非常活躍,尤其是針對幣圈,最近很多公司都受到過他們的釣魚攻擊。?
Ankr:Deployerupdate合約。
Ankr:Deployer給AnkrExploiter轉了BNB。
AnkrExploiter通過更新后合約的鑄幣方法進行鑄幣。
被憑空鑄造出10萬億枚aBNBc,黑客A將aBNBc通過PancakeSwap兌換出500萬枚USDC,掏空了交易池,導致aBNBc幾乎歸零;,黑客A后續將幣跨到以太坊,并轉入TornadoCash。
黑客A鑄幣之后的約半小時,aBNBc暴跌,產生了套利機會,套利者B利用借貸協議Helio的預言機6小時平均加時權重的設置,利用aBNBc在市場上和在Helio系統中的價差將其換成hBNB,并將hBNB質押換出穩定幣HAY,并將其換成BNB和USDC,總共套出超過1700萬美元等值的穩定幣和BNB,基本掏空HAY的交易對池子。
Ankr將從1500萬美元恢復基金中調資購買增發的HAY以補償攻擊事件受害者?
Ankr的整體的損失不大,我們單獨來說一下。因為現在很多DeFi的項目都是樂高積木,A依賴B、B依賴C,各種組裝,那么當鏈條中其中某一環節出現問題的時候,整個鏈條中的上游下游可能全部都受影響。
后來Ankr發文說明了事件發生的緣由:歸結于一個已離職的內部員工作惡。暴露的問題:首先,Staking合約Owner是一個EOA賬戶而不是多簽,本質上來講誰掌握私鑰,誰就能控制智能合約,這是非常不安全的;其次,Deployer的私鑰又能被所謂的核心員工所掌控,甚至是離職之后依然可用;也就是說整個內部安全體系基本沒有起到什么作用。
黑客使用了兩個賬戶一共1000萬USDT起始資金。
第一步,黑客首先向Mango交易平臺A、B地址分別轉入500萬美元。
第二步,黑客通過A地址在Mango?上利用MNGO永續合約做空平臺TokenMNGO,開倉價格0.0382美元,空單頭寸4.83億個;與此同時,黑客在B地址做多MNGO,開倉價格0.0382美元,多單頭寸4.83億個。(多空雙開的原因在于,Mango平臺深度較差,如果不和自己做對手盤,倉位就很難開到這么高)
第三步,黑客轉身拉盤多個平臺(FTX、Ascendex)上MNGO的現貨價格,致使價格出現5-10倍的增長,該價格通過Pyth預言機傳遞到Mango交易平臺,進一步推動價格上漲,最終Mango平臺上MNGO價格從0.0382美元拉升至最高0.91美元。
第四步,黑客的多頭頭寸收益為4.83億個*(?0.91美元-0.0382美元)=4.2億美元,黑客再利用賬戶凈資產從Mango進行借貸。好在平臺流動性不足,黑客最終只借出近1.15億美元資
攻擊發生后,黑客發布了一項新提案,表示希望官方利用國庫資金(?7000萬美元)償還協議壞賬。據了解,目前國庫資金約為1.44億美元,其中包括價值8850萬美元的MNGOToken以及近6000萬美元的USDC。黑客表示,如果官方同意上述方案,將返還部分被盜資金,同時希望不會被進行刑事調查或凍結資金。“如果這個提案通過,我將把這個賬戶中的MSOL、SOL和MNGO發送到Mango團隊公布的地址。Mango國庫將用于覆蓋協議中剩余的壞賬,所有壞賬的用戶將得到完整補償......一旦Token如上述所述被送回,將不會進行任何刑事調查或凍結資金。”
據CoinDesk報道,此前公布身份的Mango攻擊者AvrahamEisenberg2022年12月26日在波多黎各被捕,AvrahamEisenberg面臨商品欺詐和商品操縱的指控,這些指控可能會受到罰款、監禁的懲罰。?
Mango這個事件可以定義成安全事件,也可以定義為套利行為,因為問題不是安全漏洞,而是業務模式漏洞。其交易品類中包括BTC、ETH等市值較高的幣種,也有MNGO這樣的小幣種,而這種小幣種在熊市流動性不足時,只要花很少的錢可能就把幣價拉起來,這種幣價操控行為使永續合約的平臺的頭寸管理變得十分困難。
所以作為項目方,要充分考慮到各種場景,在測試的時候,要把所有超出預期的場景都包含在測試用例中。
而作為普通用戶,去參與某個項目的時候,不能只盯著收益,還要多考慮考慮本金安全。拋開安全漏洞層面,要花心思去看一下它的業務模式有沒有一些漏洞可能被利用。
原文鏈接
2月10日,ETHGlobal和?Filecoin?聯合舉辦的FVM?黑客松決賽名單已經出爐,共篩選出12個項目,包括DeFi、GameFi、存儲、去中心化計算等領域.
1900/1/1 0:00:00熊市的來臨讓很多存儲企業感到沮喪,在全球加息、疫情反復的壓力下,加密市場的牛角恐怕還需要在等等,熬一熬。熊市是見真情的時候,它也最公平的,無論你是誰,大家一起熊,從來沒后門,也不網開一面.
1900/1/1 0:00:00當ChatGPT-3.5在2022年10月份上線的時候,我們可能覺得這不過是一次迭代升級。當各種網友調戲ChatGPT的段子泛濫網絡的時候,我們可能覺得新一代聊天機器人進步挺大.
1900/1/1 0:00:00原文來源:Floki ElonMusk啟發了加密貨幣Floki,許多人認為它是下一個ShibaInu,而Floki認為亞洲將在2023年引領世界經濟增長,下一波大規模加密增長將來自亞洲.
1900/1/1 0:00:00人工智能的爆炸式增長吸引了全世界的目光,加密市場也不例外。隨著投資者爭相涌入,Al代幣已成為加密貨幣領域的主流趨勢,其價格大幅上漲。人工智能(AI)加密貨幣最近已成為加密領域的熱門話題.
1900/1/1 0:00:00卡爾達諾維護者IOG證實了這一消息,這無疑會激發大量ADA粉絲。IOG的社區協調員麗貝卡·霍普伍德(RebeccaHopwood)透露,期待已久的升級已安排在情人節那天進行.
1900/1/1 0:00:00