區塊鏈是一片鼓勵創新的熱土,在某種角度上因其安全風險也成為了滋生犯罪的溫床。
當年眾籌超過1.5億美金的TheDAO被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。
自區塊鏈創世以后,各種針對交易所、錢包以及Dapp的黑客盜幣事件頻發。
那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?
2021年區塊鏈黑客盜幣事件整理
由于2021年市場情緒熱烈,黑客盜幣的金額打破了往年的歷史記錄。
截至三季度,統計一共有32起黑客入侵事件導致了15億美金的資產被盜,而去年全年這個數字是1.8億美金。
DeFi協議
UraniumFinance——邏輯漏洞
2021年4月份流動性挖礦協議Uranium受到了攻擊,被攻擊的智能合約是MasterChief的修改版本。
數據:Lido以太坊質押總量突破800萬枚:8月10日消息,Lido以太坊質押總量已突破800萬枚,截至發文時為8,022,346ETH,約148.55億美元,已支付的以太坊質押獎勵達383,914ETH,約7.1億美元,當前以太坊質押APR為3.8%,此外Lido平臺質押代幣總價值約150億美元。[2023/8/10 16:16:58]
其中,用于執行“質押獎勵”的代碼出現了邏輯漏洞,使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子,并將它換成了價值130萬美元的BUSD以及BNB。
CreamFinance——預言機操縱
10月27日,CreamFinance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池來操縱預言機對yUSD的報價。
在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走CreamFinance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。
Synthetix創始人:建議在V3版本中引入新的SNX質押模塊:6月19日消息,Synthetix創始人Kain今日發文談及了關于SNX質押機制的更新計劃。
Kain提議在Synthetix V3中實施一個新的SNX質押模塊。該模塊將簡化整個質押過程,用戶只需存入SNX,無需面臨市場風險,也不用考慮對沖需求。最初財務委員會將資助該質押池,但未來也可能將Synthetix的部分協議費用分配給該質押池。Kain強調,這種更簡單的質押方式旨在吸引更多新用戶進入Synthetix V3系統。
在談及之所以建議如此時,Kain表示SNX質押流程的復雜性已構成了新用戶的入場障礙。多年來Synthetix社區一直都對SNX質押的復雜性抱有擔憂情緒,由于SNX的質押支撐著Synthetix上的所有交易,因此SNX的質押率非常重要。雖然在早些年間(2019年),通脹激勵曾是增加SNX質押率的有效策略,但其效果在2021、2022年已有所減弱。[2023/6/19 21:46:52]
BadgerDAO——前端惡意代碼注入
Pyth Network與期權協議Lyra達成合作,提供鏈下讀取預言機等服務:5月25日消息,預言機Pyth Network通過Synthetix Perps V2引擎與期權協議Lyra達成合作,提供低延遲、鏈下讀取預言機服務,以支持一鍵式期權策略、最大損失價差和組合。[2023/5/25 10:38:49]
攻擊者獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。
當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易,就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。
Anyswap——后臺簽名
出事是因為后臺簽名時采用了不恰當的值,攻擊者通過兩筆交易來推導出了它簽名的私鑰。
錢包——釣魚信息
舉個比特幣錢包Electrum的例子,當用戶舊版本并連接到攻擊者的節點時,攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時,黑客便輕松掌握了用戶的私鑰。
Hedera創始人:計劃在理事會節點之外添加社區節點以擴展性能:金色財經報道,Hedera聯合創始人兼首席執行官Mance Harmon在YouTube采訪中透漏了Hedera2023年路線圖,他計劃在理事會成員運行的節點之外添加社區運行的節點,從而擴展區塊鏈的性能。下一步是添加額外的分片,將有助于整體網絡的吞吐量。
此前報道,Hedera公鏈在2018年8月完成1億美元融資,BlockTower Capital參投。[2023/2/20 12:16:46]
交易所
不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析,交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。
一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。
21Shares推出以太坊ETP SHETH和CETH:金色財經報道,歐洲加密ETP發行商21Shares推出新的以太坊交易所交易產品(ETP)21SharesShortEthereumETP(SHETH)和EthereumCoreETP(CETH)。其中SHETH為做空以太坊的產品,通過借入以太坊并賣出來獲得做空收益;CETH則是提供了低成本的以太坊投資敞口,費用為0.21%,CETH還可用于抵押貸款。[2022/9/21 7:11:36]
資產被盜后的處理方式
關于資產被盜后的處理方式,可以從三個角度——項目方、交易所以及第三方安全機構來分析。
項目方一般會采取這幾個解決方式
及時暫停智能合約中的通證轉移和交易服務,對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。
同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。
聯系第三方安全機構,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。
對于被盜資金的去向——假如合約里面存在黑名單功能,第一時間屏蔽黑客地址,防止黑客進行資金轉移。
和安全機構和執法部門合作追回被盜的財產,同時提出合理的補償方案以減少用戶的損失。
從交易所的角度來說,有兩種情況
假如交易所本身被盜,需第一時間暫停所有的提現充值功能,把損失降到最少。交易所保留系統里面的所有信息以便日后做分析使用,聯系安全機構或者執法部門,協助進行財產追蹤。
假如某個項目被黑的話,交易所可以監控黑客相關鏈上地址,如果監測到最新充值的關聯地址,則立即凍結該賬戶。
安全機構則需要做到以下幾點
在事件發生之后分析漏洞產生的原因,并修復漏洞。
在項目重新上線之前提供安全審計服務,以減少項目重新上線之后的安全風險。
發布社區警告,同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞,可以通過保密渠道發出警告。
通過鏈上技術手段來追蹤資金流向以及分析鏈下信息,協助執法部門抓到黑客。
那么,為何安全機構對漏洞已進行層層篩查,還會被黑客有機可趁?
事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。
今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。
其次,跨鏈橋和其他DeFi項目的不同的點是:普通DeFi項目幾乎100%的邏輯是在智能合約上實現的,而跨鏈橋是web2和web3的結合,是智能合約和傳統后臺的結合。
非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。
簡而言之,DeFi協議除了自身的代碼需固若金湯,因其需與其他協議交互的可組合型,業務邏輯也要嚴絲合縫。
最重要的是,DeFi協議需借助第三方服務,而這些第三方服務很有可能面臨外部操縱的風險,這也是產品受到黑客攻擊的主要原因。
未來區塊鏈安全展望
未來隨著技術的發展,區塊鏈行業會變得日益安全嗎?
理論上是的。
先說底層技術,首先編寫智能合約的Solidity語言慢慢變成熟。
在最近的Solidity版本8.0之后,之前比較常見的一種漏洞叫做integeroverflow便銷聲匿跡了。
其次,區塊鏈業內對于安全的重視度正在大幅增加。
最后,安全的開源代碼庫也會提高安全系數。
OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。
另外,現在有很多安全工具會對代碼進行檢查——它可以幫助項目方在沒有聯系安全公司的情況下,找到一些潛在的漏洞,從而提高代碼的安全性。
例如CertiKSkynet天網掃描系統,它作為一個24*7全天候運行的安全情報引擎,可為智能合約的鏈上部署提供多維度和實時的透明安全監控并24小時運行監控和危險警報提示。
除此之外,例如公開透明展示安全數據的安全排行榜以及項目預警系統也可為除項目方外的投資人提供安全見解。所有投資者都可以通過這個這個不受限制的安全洞察數據庫查詢所需要的安全數據信息。
隨著越來越多的技術人員加入到這個領域來,區塊鏈行業的安全壁壘會不斷被加固。
總而言之,DeFi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。DeFi行業在安全性上達到無懈可擊,是這一賽道項目必須實現的目標——尤其對中心化嚴重的跨鏈賽道而言。
稅收制度是一個國家最重要的經濟制度之一,關乎國民經濟的發展、社會資源的公平分配和基礎公共服務的提供,具有牽一發而動全身的關鍵作用.
1900/1/1 0:00:002021年,"RugPull"已成為整個DeFi領域中“年銷售量”最多的詐騙類型之一。隨隨便便去媒體上搜索關鍵詞,就可以出來一票新聞: 資訊來源:金色財經 "RugPull"通俗一點來說,就是項.
1900/1/1 0:00:00Fairyswap即將開啟冷啟動。Fairyswap作為隱私公鏈龍頭Findora推出的首個Dex,吸引了不少原Findora社區群體的關注,本文將帶大家體驗Fairyswap的創新,以及我們用.
1900/1/1 0:00:00在宣布1億美元的Findora生態系統基金的六周后,今天Findora為Venice正式推出了共計1000萬美元的流動性挖礦獎勵計劃.
1900/1/1 0:00:00據知情人士透露,中環控股看好深藍智能的游戲研發實力和行業發展前景。通過本次戰略投資,中環控股將充分發揮自身在科技農業、互聯網方面豐富的產業投資及運營經驗,以及在國際資本市場金融服務、資源整合的綜.
1900/1/1 0:00:00推土機解釋:到處推倒或否決別人。通常,將偏好分解為幾個維度的嘗試集中在兩個主要維度上:“威權主義vs自由主義”和“左翼vs右翼”.
1900/1/1 0:00:00