區塊鏈是一片鼓勵創新的熱土,在某種角度上因其安全風險也成為了滋生犯罪的溫床。
當年眾籌超過1.5億美金的TheDAO被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。
自區塊鏈創世以后,各種針對交易所、錢包以及Dapp的黑客盜幣事件頻發。
那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?
2021年區塊鏈黑客盜幣事件整理
由于2021年市場情緒熱烈,黑客盜幣的金額打破了往年的歷史記錄。
截至三季度,統計一共有32起黑客入侵事件導致了15億美金的資產被盜,而去年全年這個數字是1.8億美金。
DeFi協議
UraniumFinance——邏輯漏洞
2021年4月份流動性挖礦協議Uranium受到了攻擊,被攻擊的智能合約是MasterChief的修改版本。
數據:Blur交易總量達50億美元:5月30日消息,Dapprader 數據顯示,NFT 市場 Blur 交易總量已達 50 億美元,獨立買家數量 257,909 個,平均交易價格 1400 美元。截止目前,Blur暫報0.516美元。[2023/5/30 9:50:15]
其中,用于執行“質押獎勵”的代碼出現了邏輯漏洞,使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子,并將它換成了價值130萬美元的BUSD以及BNB。
CreamFinance——預言機操縱
10月27日,CreamFinance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池來操縱預言機對yUSD的報價。
在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走CreamFinance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。
Arbitrum開發團隊Offchain Labs將為Arbitrum推出性能超越EVM的編程環境Stylus:金色財經報道,Arbitrum 開發團隊 Offchain Labs 宣布將于今年晚些時候為 Arbitrum One 和 Arbitrum Nova 推出下一代編程環境 Stylus,Stylus 通過 WebAssembly 智能合約功能,允許用戶使用他們最喜歡的編程語言(包括 Rust、C 和 C++)部署應用程序,以便與 Arbitrum 上的 EVM 程序一起運行。Stylus 的速度快了一個數量級,并且能夠降低費用,并且與以太坊虛擬機(EVM)完全互操作。Offchain Labs 將 Stylus 稱之為 EVM+,Stylus 不會取代 EVM。[2023/2/8 11:53:07]
BadgerDAO——前端惡意代碼注入
攻擊者獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。
美聯儲明年2月加息25個基點的概率為68.9%:金色財經報道,據CME“美聯儲觀察”,美聯儲明年2月加息25個基點至4.50%-4.75%區間的概率為68.9%,加息50個基點的概率為31.1%;到明年3月累計加息25個基點的概率為20.1%,累計加息50個基點的概率為57.9%,累計加息75個基點的概率為22.1%。[2022/12/29 22:13:37]
當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易,就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。
Anyswap——后臺簽名
出事是因為后臺簽名時采用了不恰當的值,攻擊者通過兩筆交易來推導出了它簽名的私鑰。
錢包——釣魚信息
舉個比特幣錢包Electrum的例子,當用戶舊版本并連接到攻擊者的節點時,攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時,黑客便輕松掌握了用戶的私鑰。
腦洞科技:將購買最高價值2400萬港元的加密貨幣:金色財經報道,香港上市公司腦洞科技(02203.HK)公布,于2022年11月30日,公司已批準加密貨幣購買事項,公司將于公開市場交易中購買最高價值2400萬港元的加密貨幣;及根據加密貨幣購買事項于公開市場交易中以總代價約102萬美元購買了約800.91單位的以太幣。于本公告日期,公司已累計凈購買價值約102萬美元的加密貨幣。
截至2022年11月30日收盤,腦洞科技(02203.HK)報收于0.12元。投行對該股關注度不高,90天內無投行對其給出評級。腦洞科技港股市值9600萬港元,在半導體行業中排名第15。[2022/11/30 21:12:36]
交易所
不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析,交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。
一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。
中間件協議基礎設施Pocket Network與NEAR集成:5月17日消息,Web3 RPC中間件協議基礎設施Pocket Network(POKT)宣布與NEAR集成,以改善NEAR區塊鏈的網絡帶寬,同時為Web3開發人員提供更快的部署時間。
據稱,與NEAR的最新集成允許本地開發者在其他獲支持的區塊鏈上部署他們的應用程序,包括以太坊、Solana、Fuse、Avalanche、Harmony和Polygon。此外,通過與多個區塊鏈的集成,可以減少NEAR開發人員圍繞由于瓶頸或其他服務中斷而導致的單點故障的擔憂。(Cointelegraph)[2022/5/17 3:22:25]
資產被盜后的處理方式
關于資產被盜后的處理方式,可以從三個角度——項目方、交易所以及第三方安全機構來分析。
項目方一般會采取這幾個解決方式
及時暫停智能合約中的通證轉移和交易服務,對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。
同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。
聯系第三方安全機構,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。
對于被盜資金的去向——假如合約里面存在黑名單功能,第一時間屏蔽黑客地址,防止黑客進行資金轉移。
和安全機構和執法部門合作追回被盜的財產,同時提出合理的補償方案以減少用戶的損失。
從交易所的角度來說,有兩種情況
假如交易所本身被盜,需第一時間暫停所有的提現充值功能,把損失降到最少。交易所保留系統里面的所有信息以便日后做分析使用,聯系安全機構或者執法部門,協助進行財產追蹤。
假如某個項目被黑的話,交易所可以監控黑客相關鏈上地址,如果監測到最新充值的關聯地址,則立即凍結該賬戶。
安全機構則需要做到以下幾點
在事件發生之后分析漏洞產生的原因,并修復漏洞。
在項目重新上線之前提供安全審計服務,以減少項目重新上線之后的安全風險。
發布社區警告,同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞,可以通過保密渠道發出警告。
通過鏈上技術手段來追蹤資金流向以及分析鏈下信息,協助執法部門抓到黑客。
那么,為何安全機構對漏洞已進行層層篩查,還會被黑客有機可趁?
事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。
今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。
其次,跨鏈橋和其他DeFi項目的不同的點是:普通DeFi項目幾乎100%的邏輯是在智能合約上實現的,而跨鏈橋是web2和web3的結合,是智能合約和傳統后臺的結合。
非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。
簡而言之,DeFi協議除了自身的代碼需固若金湯,因其需與其他協議交互的可組合型,業務邏輯也要嚴絲合縫。
最重要的是,DeFi協議需借助第三方服務,而這些第三方服務很有可能面臨外部操縱的風險,這也是產品受到黑客攻擊的主要原因。
未來區塊鏈安全展望
未來隨著技術的發展,區塊鏈行業會變得日益安全嗎?
理論上是的。
先說底層技術,首先編寫智能合約的Solidity語言慢慢變成熟。
在最近的Solidity版本8.0之后,之前比較常見的一種漏洞叫做integeroverflow便銷聲匿跡了。
其次,區塊鏈業內對于安全的重視度正在大幅增加。
最后,安全的開源代碼庫也會提高安全系數。
OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。
另外,現在有很多安全工具會對代碼進行檢查——它可以幫助項目方在沒有聯系安全公司的情況下,找到一些潛在的漏洞,從而提高代碼的安全性。
例如CertiKSkynet天網掃描系統,它作為一個24*7全天候運行的安全情報引擎,可為智能合約的鏈上部署提供多維度和實時的透明安全監控并24小時運行監控和危險警報提示。
除此之外,例如公開透明展示安全數據的安全排行榜以及項目預警系統也可為除項目方外的投資人提供安全見解。所有投資者都可以通過這個這個不受限制的安全洞察數據庫查詢所需要的安全數據信息。
隨著越來越多的技術人員加入到這個領域來,區塊鏈行業的安全壁壘會不斷被加固。
總而言之,DeFi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。DeFi行業在安全性上達到無懈可擊,是這一賽道項目必須實現的目標——尤其對中心化嚴重的跨鏈賽道而言。
Tags:區塊鏈TRUDEFDEFI區塊鏈幣排名TrustUSDnSights DeFi TraderEVAL DEFI
在加密美元和非同質化代幣(NFT)等革命性技術擴散的刺激下,我們預計美國將在2022年全面接受加密貨幣并推出適當的監管,這些都會對價格上漲帶來一些影響.
1900/1/1 0:00:002021年是NFT突破性的一年,買家在數字收藏品上的花費幾乎與傳統藝術品一樣多。2021年初,只有小眾的加密貨幣愛好者知道什么是不可偽造的代幣.
1900/1/1 0:00:00DoomHero,NFT+DeFi+RPG?3D戰略游戲牛年臨近尾聲,新年即將到來,值此新年之際全球歡慶時節,DoomHero在萬眾期待中即將重磅上線,鎖定2022年1月1日12點.
1900/1/1 0:00:00在Web3.0革命愈演愈烈的同時,風險投資也正在經歷代際性的變化——a16z代表了VC平臺化經營的想象力,而個人VC則開始成為全球風險投資的下一波趨勢.
1900/1/1 0:00:002021年,對區塊鏈行業來說,是跌宕起伏的一年,盡管如此,區塊鏈憑借其去中心化、開放透明的特性,在行業內外的努力下,仍取得了良好的成績.
1900/1/1 0:00:00——元宇宙的突然火爆引發了大眾的參與和學習,于是我準備從宏觀角度出發,逐步為大家分享關于這方面的內容。元宇宙的火爆恰逢其時,近30年迭代鑄就今日輝煌.
1900/1/1 0:00:00