買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 瑞波幣 > Info

EOS:成都鏈安報告:2022年Q1全球區塊鏈攻擊類安全事件造成的損失高達12億美元_Qroni

Author:

Time:1900/1/1 0:00:00

一、2022年Q1區塊鏈安全生態概覽,安全事件造成的損失高達約12億美元

2022年第一季度,根據成都鏈安監測到的數據統計,攻擊類安全事件造成的損失高達約12億美元,較去年同期的1.3億美元上漲約9倍。同時也比2021年的任何一個季度損失的金額都要高。

2022年3月,Ronin攻擊事件造成6.25億美元資金被盜,超越2021年8月PolyNetwork被攻擊的6.1億美元,登上Defi黑客攻擊損失榜第一位。當然,不是每個項目都能像PolyNetwork一樣能夠追回資金。截止本報告撰寫時,Ronin的黑客依舊在分批次進行洗錢。

擴展閱讀:

超6億美元資金被盜!Ronin跨鏈橋被攻擊事件簡析

成都鏈安關于PolyNetwork被攻擊事件全解析

從鏈平臺來看

Ethereum和BNB依舊是被攻擊頻次最高的兩條鏈,但高攻擊頻次并不意味著高損失金額。2022年第一季度,我們監測到Solana鏈典型攻擊事件2起,損失金額卻高達3億7400萬美元,遠遠多于BNBChain上的損失。

從資金流向來看

80%的情況下,黑客都會最終將盜取資金轉入Tornado.Cash進行混幣。有10%的情況,黑客會將資金暫時留在自己的地址,有時要等待幾個月,甚至幾年才對贓款進行轉移。有少部分黑客會主動歸還盜取資金。

成都鏈安:WienerDogeToken遭遇閃電貸攻擊事件分析:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,WienerDogeToken遭受閃電貸攻擊。成都鏈安安全團隊對此事件進行了簡要分析,分析結果如下:攻擊者通過閃電貸借貸了2900個BNB,從WDOGE和BNB的交易對交換了5,974,259,851,654個WDOGE代幣,然后將4,979,446,261,701個代幣重新轉入了交易對。這時攻擊者再調用skim函數,將交易對中多余的WDOGE代幣重新提取出來,由于代幣的通縮性質,在交易對向攻擊地址轉賬的過程中同時burn掉了199,177,850,468個代幣。這時交易對的k值已經被破壞,攻擊者利用剩下WDOGE代幣將交易對內的2,978個BNB成功swap出來,并且將獲利的78個BNB轉到了獲利地址。

這次攻擊事件中,攻擊者利用了代幣的通縮性質,讓交易對在skim的過程中burn掉了一部分交易對代幣,破壞了k值的計算。成都鏈安安全團隊建議項目上線前最好進行安全審計,通縮代幣在與交易對的交互時盡量將交易對加入手續費例外。[2022/4/26 5:11:33]

從攻擊手法來看

合約漏洞利用和閃電貸攻擊是黑客最常使用的手段。50%的攻擊手法為合約漏洞利用。

從審計情況來看

在被攻擊的項目中,70%的項目經過了第三方安全公司的審計。然而在剩余30%未經審計的項目中,因攻擊事件遭受的損失卻占了整個損失金額的60%以上。

巧克力COCO智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成巧克力coco智能合約項目的安全審計服務。據介紹,巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議,訂單簿DEX,智能挖礦等等功能的創新和聚合,進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募,社區高度自治。合約地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號:202010042149[2020/10/5]

從項目類型來看

DEFI項目依舊是黑客攻擊的熱點領域,占了總共被攻擊項目數量的60%。而跨鏈橋雖然被攻擊的次數不多,但涉及的金額卻巨大。

二、Q1發生典型攻擊事件超30起,跨鏈橋類項目損失慘重

2022年第一季度,區塊鏈領域共發生典型安全事件約30起。總損失金額約為12億美元,與去年同期相比增長了823%。

在前20排名里,損失金額最高的Ronin為6.25億,約是金額最低的BuildFinance的558倍。

從統計圖表可以看到,Ronin和Wormhole兩個項目的損失金額達到了9億5000萬美元,占2022年Q1總損失金額的80%。值得注意的是,這兩者均為跨鏈橋類項目。

仙人掌CTS智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成仙人掌CTS智能合約項目的安全審計服務。

?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈,同時包含去中心化穩定數字貨幣,去中心化預言機,去中心化保險,流動性挖礦,智能挖礦等等功能的創新和聚合,進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募,社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。

合約地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

審計報告編號:202009262149[2020/9/28]

三、被攻擊項目類型方面,DeFi仍為黑客攻擊的重點領域

2022年第一季度,區塊鏈領域,DeFi項目仍為黑客攻擊的重點領域,共發生19起安全事件,約60%的攻擊發生在DeFi領域。

此外,針對NFT的攻擊事件在2022年第一季度有所上升,跨鏈橋項目被攻擊了4次,造成的損失卻高達9億5000萬美元,占到2022年一季度損失金額的80%,跨鏈橋安全事件頻發,涉及金額巨大。

四、鏈平臺損失金額方面:Ethereum損失金額占比最高

2022年第一季度,Ethereum和Solana鏈上攻擊損失金額排名前2,分別為6億5448萬和3億7400萬美元。

動態 | 成都鏈安再獲聯想創投、復星高科領投多輪數千萬元融資:區塊鏈安全公司成都鏈安科技有限公司繼2018年5月分布式資本種子輪投資,2018年11月界石資本、盤古創富天使輪投資后,近期連獲多輪融資,共計數千萬人民幣,由聯想創投、復星高科領投,成創投、任子行戰略投資,分布式資本、界石資本、盤古創富等老股東均跟投。

此次融資將用于持續深化區塊鏈全生態安全布局、研發“一站式”區塊鏈安全服務平臺、開展自主可控的區塊鏈安全技術研究、提升用戶全新體驗及全球化市場的拓展,助力成都鏈安成為全球區塊鏈安全領域的行業標桿。在當前區塊鏈新時代風口下,一方面成都鏈安將利用“一站式”區塊鏈安全平臺和服務,協助相關企業做好安全防護工作,提升安全防護能力,減少安全損失;另一方面將繼續大力協助政府監管機構做好調查取證等工作,以切實加強安全監管;同時多為行業發展發出正能量的聲音,帶頭建立起有序的行業規范,并促進安全標準建設。[2020/1/16]

Ethereum被攻擊的頻次也是最多的,占到了總頻次的45%;排名第二的是BNBChain,占比19%。

Solana鏈上的兩次攻擊事件都造成了巨額損失:Wormhole損失3億2600萬美元,Cashio損失4800萬美元。兩者的攻擊手法同為合約漏洞利用。

此外,一些TVL排名靠前的公鏈在2022年第一季度未檢測到重大安全事件,如:Terra、Avalanche、Tron等。

聲音 | Beosin(成都鏈安)預警:某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,今日上午 8:53:15開始,黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在,該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作,在收到安全公司的安全提醒之后第一時間排查項目安全性,才能及時止損,同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略,必要時可聯系第三方專業審計團隊,在上鏈前進行完善的代碼安全審計,防患于未然。[2019/4/3]

五、攻擊手法分析:合約漏洞利用和閃電貸最常見

2022年第一季度,區塊鏈安全生態領域,約50%的攻擊方式為合約漏洞利用,24%的攻擊方式為閃電貸。

有12%的攻擊為私鑰泄露、釣魚攻擊和社會工程學攻擊。此類攻擊源于項目方沒有保管好私鑰或警惕性不足。

被黑客利用的合約漏洞中,最常見的漏洞為重入漏洞,其次分別為業務邏輯不當、call注入攻擊和驗證不當或不足;其中絕大部分漏洞都可以通過安全審計盡早發現和修復。

六、典型安全事件分析

案例一:TreasureDAO被攻擊事件

背景:

3月3日,TreasureDAONFT交易市場被曝發現漏洞,導致100多個NFT被盜。然而在事件發生幾小時后,攻擊者卻開始歸還被盜NFT。

詳情:

交易發起者通過合約的buyItem函數傳入了數值為0的_quantity參數,從而無需費用就能購買TokenID為5490的ERC-721代幣。

從代碼上來看,合約的buyItem函數在傳入_quantity參數后,并沒有做代幣類型判斷,直接將_quantity與_pricePerItem相乘計算出了totalPrice,因此safeTransferFrom函數可以在ERC-20代幣支付數額只有0的情況下,調用合約的buyItem函數來進行代幣購買。

然而在調用buyItem函數時,函數只對購買代幣類型進行了判斷,并沒有對代幣數量進行非0判斷,導致ERC-721類型的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。

建議:

本次安全事件主要原因是ERC-1155代幣和ERC-721代幣混用導致的邏輯混亂,ERC-721代幣并沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最后在代幣轉賬時也沒有進行分類討論。

建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。

擴展閱讀:怪事?盜了又歸還?TreasureDAO安全事件分析

案例二:BuildFinance項目遭遇治理攻擊

背景:

2月15日,DAO組織BuildFinance表示遭遇惡意治理攻擊,攻擊者通過獲得足夠多的投票成功了控制其Token合約。

詳情:

在2020年9月4日的一筆交易中,BuildFinance合約創建者通過setGovernance函數將治理權限轉移。通過查找內部的Storage,發現權限轉移給了0x38bce4b地址。繼續跟進0x38bce4b地址,發現是一個Timelock合約,而合約中可以調用setGovernance函數的只有executeTransaction函數。

繼續跟進發現,在2021年1月25日,0x38bce4b地址調用executeTransaction函數將權限轉移到了0x5a6ebe地址。2022年2月11日,由于投票設置的閾值較低導致提案通過,0x5a6ebe地址的治理權限變更為了0xdcc8A38A地址。在獲取到治理權限后,攻擊者惡意鑄幣并耗盡了交易池的流動性。

建議:

DAO合約應該設置合適的投票閾值,實現真正的去中心化治理,避免很少的投票數量就使得提案通過并成功執行,建議可以參考openzeppelin官方提供的治理合約的實現。

擴展閱讀:BuildFinance遭遇惡意治理接管,被洗劫一空!

案例三:Ronin6億美元盜幣案?

背景:

3月23日,SkyMavis的Ronin驗證器節點和AxieDAO驗證器節點遭到破壞,攻擊者使用被黑的私鑰來偽造假提款,獲利約6.25億美元。而RoninNetwork直到3月29日才發現自己遭受到了攻擊。

詳情:

SkyMavis的Ronin鏈目前由9個驗證節點組成。為了識別存款事件或取款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。此后Ronin官方表示,所有證據都表明這次攻擊或與社會工程學相關。

建議:

1、注意簽名服務器的安全性;

2、簽名服務在相關業務下線時,應及時更新策略,關閉對應的服務模塊,并且可以考慮棄用對應的簽名賬戶地址;

3、多簽驗證時,多簽服務之間應該邏輯隔離,獨立對簽名內容進行驗證,不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況;

4、項目方應實時監控項目資金異常情況。

七、被盜資金流向分析:Tornado.Cash或為黑客洗錢慣用途徑

80%的情況里,黑客在得手后,會立刻或幾天內將盜取資金轉入Tornado.Cash進行混幣。

10%的情況里,黑客會暫時將贓款留在自己地址,等待幾個月至幾年才將資金轉出。例如去年12月被盜的交易所AscendEX,黑客等到今年2月、3月才開始進行分批次洗錢。而今年Ronin的攻擊者目前依然在進行頻繁的洗錢操作。

有少部分黑客會歸還盜取資金。Cashio的攻擊者在盜取4800萬美元的資金后,公開留言表示將向價值在10萬美元以下賬戶進行退還,并聲稱“我的目的只是從不需要的人那里拿錢,而不是從需要的人那里拿錢”。

目前Tornado.cash依舊為黑客慣用的洗錢途徑。

八、項目審計情況分析:30%未經審計的項目損失金額占總量的60%

項目審計情況:

70%的被攻擊項目經過了第三方安全公司的審計;

30%未審計的項目,損失金額達7.2億美元,占第一季度總損失金額的60%;

項目上線之前的審計依舊重要。在未審計的項目中,50%的攻擊手法都為合約漏洞利用。因此,盡早審計和及時修復代碼漏洞,可以避免上線后項目被攻擊造成的嚴重損失。

九、2022年Q1結語:安全事件頻發,涉及金額大幅增加

2022年第一季度,區塊鏈領域攻擊類安全事件造成的損失高達約12億美元,比2021年的任何一個季度損失的金額都要高。跨鏈橋項目被盜取金額巨大,DeFi項目被攻擊頻次最高,這兩個領域今后或許也是黑客重點盯上的攻擊目標。

項目方應及時關注資金異常情況,成都鏈安可以讓項目方和用戶及時發現風險交易,從而快速采取措施。例如立刻暫停相關服務,或告知用戶取消授權等,避免后續更大的損失。

項目安全審計依舊重要,約50%的攻擊方式為合約漏洞利用,這其中絕大多數漏洞都可以通過安全審計及早發現和修復。

Tags:區塊鏈RONEOSONI區塊鏈上班都是干什么的iron幣值得挖嗎NeosCoinQroni

瑞波幣
BIT:BitMEX Research:資本瘋狂涌入比特幣礦業,預計未來幾年財務失敗將顯著增加_bitkeep錢包如何充值

作者:BitMEXResearch原文標題:《MiningBullMarket》 編譯:麟奇,鏈捕手 摘要 讓我們先了解一下我們目前處在比特幣礦業周期中的位置.

1900/1/1 0:00:00
IVO:美國國家經濟研究局調查:比特幣在薩爾瓦多并未被廣泛使用,多項數據處于歷史最低值_HIV

鏈捕手消息,美國國家經濟研究局近日發布對薩爾瓦多使用比特幣情況的民意調查報告,顯示該國官方的比特幣錢包Chivo并沒有被大規模用于支付稅款和匯款,比特幣在薩爾瓦多基本上不是一種被接受的交換媒介.

1900/1/1 0:00:00
ECT:隱私基礎設施Nym推出的創新基金已獲3億美元投資承諾,支持者包括Polychain等_apix幣未來前景

鏈捕手消息,隱私基礎設施項目Nym宣布推出了Nym創新基金,目前已從一系列風險資本投資者獲得了3億美元的承諾.

1900/1/1 0:00:00
VOY:原 Diem 參謀長兼內部業務運營主管出任 Mina 首席運營官_playagame

鏈捕手消息,原DiemNetworks的參謀長兼內部業務運營和人力資源主管KurtHemecker加入Mina基金會,擔任首席運營官.

1900/1/1 0:00:00
ION:數字藏品市場 LimeWire 完成逾 1000 萬美元代幣私募融資_PLA

鏈捕手消息,藝術和娛樂數字藏品市場LimeWire宣布在LMWR私募代幣銷售中籌集到逾1000萬美元,KrakenVentures、ArringtonCapital和GSR領投.

1900/1/1 0:00:00
NFT:繼STEPN爆火后,M2E模式下還有哪些Web3運動項目值得關注?_TEP

作者:PANews 伴隨著全球用戶數及代幣價格的持續暴漲,主打“MovetoEarn”模式的STEPN成為GameFi賽道中的一匹黑馬,并成為圈內外玩家的“網紅打卡地”.

1900/1/1 0:00:00
ads