文/TRMLabs,譯/金色財經xiaozou
根據TRM?Labs對黑客事件的回顧,針對DeFi項目和跨鏈橋的黑客攻擊讓加密貨幣生態系統今年成為黑客攻擊創紀錄的一年。截至2022年11月,被盜資金已超過36億美元。
DeFi和非DeFi黑客攻擊竊取的總金額
幾個數字
3.5:1——這是針對DeFi的黑客攻擊與非DeFi攻擊的比例。?
80——這是今年由于DeFi攻擊導致的加密貨幣被盜總額的百分比,數額高達30億美元。
11x——跨鏈橋黑客攻擊平均規模大約是非跨鏈橋攻擊的11倍。針對DeFi支持的跨鏈橋黑客攻擊雖不如針對其他目標的黑客攻擊那么常見,但平均規模要大得多。
金色午報 | 11月18日午間重要動態一覽:7:00-12:00關鍵詞:18000美元、墨西哥富豪、CCTV-2
1.墨西哥第三大富豪已將10%的流動資產投資于比特幣;
2.Polkadot已抵押超6.71億DOT抵押率達66%;
3.SushiSwap鎖倉量24小時激增157%至10億美元;
4.海南推出基于區塊鏈技術的冷鏈食品溯源管控系統;
5.去中心化抵押借貸市場總借款量達30億美元創歷史新高;
6.F2Pool:ZEC區塊獎勵預計今日減半由6.25枚ZEC減半為3.125枚;
7.CCTV-2報道:第四季度以來,比特幣在不到50天的時間里大漲70%;
8.Bitcoin ABC推出0.22.7版本分別適用于BCHA網絡和BCHN網絡;
9.比特幣持續上漲,現已突破18000美元,為2017年12月以來首次。[2020/11/18 21:10:47]
13——這是截至2022年11月,TRM?Labs檢測到的跨鏈橋黑客攻擊數量,失竊金額近20億美元。
金色晨訊 | 4月30日隔夜重要動態一覽:21:00-7:00關鍵詞:經濟日報、日本、CME、浙江
1. 經濟日報:充分利用區塊鏈等推動金融產品和服務創新應用;
2. 以比特幣為主題的漫畫在日本推出;
3. CME比特幣期貨5月合約收漲超13%;
4. 解放軍報:強化運用區塊鏈等推動軍隊改革建設的能力;
5. 美國SEC專員:央行數字貨幣存在信任和隱私問題;
6. 觀點:股東大會等場合可以利用區塊鏈實現電子投票;
7. 浙江省數字服務貿易云展會運用區塊鏈等提升產品體驗;
8. Caitlin Long:美元貶值將使加密貨幣獲得采用;
9. BTC現報8785.41美元,日內漲幅5.12%,市值前十幣種均出現上漲。[2020/4/30]
9/10——截至當前,2022年10個最大的黑客攻擊中有9個是針對DeFi的,其中有5個是針對跨鏈橋的。如能預防最大的9次DeFi攻擊,將使65%的資金免于被盜。
金色晨訊 | 香港將監管數字貨幣交易所 以色列政府使用區塊鏈技術:1.香港證監會將對本地運營的數字貨幣交易平臺進行監管
2.以色列政府在內部通訊系統上使用區塊鏈技術
3.IMF:交易所將繼續成為黑客攻擊的目標
4.俄羅斯教會進行加密貨幣挖礦將需要支付更高的電費
5.Ripple首席營銷策略師:SEC對XRP是否歸為證券或將永遠不會到來
6.John McAfee:我的競選將使區塊鏈和數字貨幣成為最熱門的話題
7.V神:很后悔在以太坊中采用“智能合約”這個術語
8. Roger Ver:閃電網絡削弱了比特幣的功能
9.印度Unocoin將在該國內安裝首臺數字貨幣ATM機[2018/10/15]
金額巨大和安全漏洞使DeFi成為極具吸引力的目標
據Defilama數據,DeFi的總鎖定價值在過去兩年里呈爆炸式增長,從2020年10月的約100億美元增長到2022年11月的420億美元。Defilama數據同樣顯示,在11月底的7天里,橋交易量約為13億美元。
金色財經現場報道 新加坡Regulus投資與資本控股公司主席David Nguyen:在越南政策清晰前,越南項目將主要在新加坡建立:金色財經現場報道,在火幣Pro舉辦的Blockchain Festival千人大會上,新加坡Regulus投資與資本控股公司主席David Nguyen就《2018區塊鏈創業趨勢:越南和新加坡在生態系統中的角色》進行演講,他指出:應該支持區塊鏈企業發展,并提供資金支持。2018年,越來越多的項目會從越南技術社區崛起,在越南的法律政策更清晰之前,越南的項目將主要在新加坡建立。[2018/5/24]
除了規模龐大外,DeFi項目和跨鏈橋的其他兩個關鍵特征使它們成為潛在黑客的理想目標,也更容易遭受攻擊:
復雜性:DeFi生態系統復雜且相互關聯,這讓黑客以開發人員無法預料或測試的方式利用漏洞。例如,在閃電貸款攻擊中,黑客可以使用與目標無關的服務來操縱資產價格或放大攻擊對主要目標的影響。
透明度:DeFi項目自然非常重視透明度,通常構建在開源代碼之上。這使得任何人,無論是安全研究人員還是黑客,都可以查看代碼并搜尋可利用的漏洞。
一些黑客還聲稱,可以在不違反法律的情況下操縱和攻擊DeFi項目。這可能導致潛在攻擊者將DeFi項目視為比CeFi目標風險更低的項目。
2022年10月,基于Solana的平臺MangoMarkets損失了約1.15億美元,原因是有個團隊操縱了其價格預言機。自稱為黑客領袖的AvrahamEisenberg后來透露了自己的身份,并將其團隊活動描述為“利潤豐厚的交易策略”,而非黑客行為。Eisenberg是否會被起訴,目前尚不清楚。
MangoMarkets黑客發布推文稱其行為是合法的
DeFi黑客攻擊包括基礎設施攻擊、代碼漏洞攻擊和協議攻擊
到目前為止,基礎設施攻擊、代碼漏洞攻擊和協議攻擊占今年黑客竊取資金總量的大部分。一些黑客還組合使用這些攻擊類型來竊取資金。
基礎設施攻擊讓黑客侵入目標的安全控件,進行未經授權的交易,例如將資金從受害者地址發送到黑客所控地址。這種攻擊類型的常見方法有竊取私鑰、助記詞,及前端攻擊。
針對智能合約的代碼漏洞攻擊使攻擊者能夠在未經授權的情況下從DeFi協議中移除資金。在智能合約代碼漏洞攻擊中,黑客可能會使用已發現的漏洞對協議展開攻擊。今年早些時候,Solana的wormhole橋成為黑客攻擊的目標,導致該DeFi協議中超過3億美元被盜取。
協議攻擊是一種業務邏輯攻擊,主要結果是攻擊者可以操縱代幣的價格,并創造套利機會,在一個市場低買,在另一個市場高賣。閃電貸款和治理操縱是其中最常見的協議攻擊類型。
CeFi的失敗可能助長DeFi攻擊
最近FTX和其他備受矚目的中心化加密公司的失敗,可能會使人們對DeFi解決方案越來越感興趣。如果投資者因此大批涌向DeFi,可能會進一步助長黑客的攻擊動機。
為了降低這種風險,DeFi項目應該求助于傳統的bug賞金計劃、智能合約安全審計和商業安全解決方案。
傳統的bug賞金計劃給黑客和安全研究人員發放獎勵,激勵他們發現漏洞并將漏洞報告給DeFi項目。然后就可以在攻擊利用該漏洞之前修補該漏洞。相比之下,加密賞金計劃在攻擊后向黑客支付資金鼓勵其歸還一定比例的被盜資金,這實際上會激勵黑客的攻擊行為。
安全審計可以發現DeFi項目頂梁柱——智能合約——中的漏洞,允許項目在黑客得以利用這些漏洞之前將其修復。但是,審計并不是萬無一失的,應該與其他安全控件和策略合并使用。
新的商業解決方案正在開發,以提高整個DeFi生態系統的安全性。特別是當與現有的控件相結合時,創新的安全產品可能會提供更好的DeFi安全性,盡管現在判斷其效力還為時過早。
當結合使用時,這些控件和技術可以縮小DeFi協議的攻擊面。隨著DeFi的不斷增長,黑客將尋求更大膽的方法來利用其弱點和漏洞——因此,保持持續的警惕性必不可少。
21:00-7:00關鍵詞:Messari、高盛、華爾街日報、ARK方舟基金1.美民調:70%的選民不希望拜登競選連任;2.CynthiaLummis:獲得的捐款來自FTX捐贈.
1900/1/1 0:00:001.年終盤點|2022年度一覽:深析NFT巨鯨動向回顧過去的一年,我們看到NFT領域出現了很多新場景,新應用和新變化。而買賣NFT的玩家也有一些新動作.
1900/1/1 0:00:00金色財經報道,本周一匿名人士泄露了與加密貨幣交易服務有關的10萬個API密鑰,FBI正在調查3Commas數據泄露事件.
1900/1/1 0:00:00雖然現在是熊市,但也是進入Web3和區塊鏈的好時機,當前Web3行業的全球平均基本工資為128,?606美元,就這個數值而言,加密行業的從業者可能比Web2從業者要掙得更多.
1900/1/1 0:00:00文:孟永輝 從Meta股價的一路走低到扎克伯格發布的頭顯并不被用戶買賬,Facebook全力擁抱Meta正在經歷一場過山車.
1900/1/1 0:00:00本文,我們將深入探討傳說中的NFT項目Frosties跑路過程,以及該項目的創始人在私吞超100萬美元后是如何被抓獲的.
1900/1/1 0:00:00