買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > DOT > Info

COI:拆解「匿名者」套路:2022上半年Web3黑客常用的攻擊方式有哪些?_EVCOIN

Author:

Time:1900/1/1 0:00:00

在剛剛發布的《2022年上半年Web3安全態勢深度研報》中,我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢,包括總損失金額、被攻擊項目類型、各鏈平臺損失金額、攻擊手法、資金流向、項目審計情況等。今天,我們就2022上半年Web3黑客常用的攻擊方式展開分析,看看在所有被利用的漏洞中,哪些頻率最高,以及如何防范。一、上半年因漏洞造成的總損失有多少?

據成都鏈安鷹眼區塊鏈態勢感知平臺監控顯示,2022上半年共監測到因合約漏洞造成的主要攻擊案例42次,約53%的攻擊方式為合約漏洞利用。通過統計,2022上半年共監測到因合約漏洞造成的主要攻擊案例42次,總損失達到了6億4404萬美元。在所有被利用的漏洞中,邏輯或函數設計不當被黑客利用次數最多,其次為驗證問題、重入漏洞。

MoonPay已聘請Coinbase前總裁擔任總裁兼首席運營官:2月23日消息,加密支付平臺MoonPay已聘請Coinbase前總裁兼首席運營官Asiff Hirji擔任其總裁兼首席運營官,同時還進行了相關高管變動。此前《時代周刊》總裁Keith Grossman于2022年12月31日加入MoonPay任總裁。[2023/2/23 12:23:54]

二、哪些類型的漏洞曾導致重大損失?

2022年2月3日,Solana跨鏈橋項目Wormhole遭到攻擊,累計損失約3.26億美元。黑客利用了Wormhole合約中的簽名驗證漏洞,這個漏洞允許黑客偽造sysvar帳戶來鑄造wETH。2022年4月30日,FeiProtocol官方的RariFusePool遭受閃電貸加重入攻擊,總共造成了8034萬美元的損失。本次攻擊對項目方造成了無法挽回的損失,8月20號,官方表示項目正式關閉了。FeiProtocol事件回顧:

加密交易所Coinmetro以430萬美元收購社交籌款平臺Ignium:金色財經報道,加密貨幣交易所Coinmetro周二宣布將收購基于區塊鏈的社交籌款平臺Ignium。聲明稱,Coinmetro截至2月3日購買了Ignium 71%的股份,并計劃在4月底前購買剩余股份。Coinmetro透露,此次收購價值400萬歐元(430萬美元)。

Coinmetro總部位于愛沙尼亞,是一家在歐盟獲得許可,并在澳大利亞、加拿大和美國注冊的數字資產交易所;Ignium為微型和小型企業提供了一個平臺,通過鑄造NFT和發行證券從社區籌集資金。通過此次收購,Coinmetro打算將其服務范圍擴大到受監管的證券發行。(CoinDesk)[2023/2/14 12:06:04]

由于漏洞出現在項目基本協議中,攻擊者不止攻擊了一個合約,以下僅分析一例。攻擊交易0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530攻擊者地址0x6162759edad730152f0df8115c698a42e666157f攻擊合約0x32075bad9050d4767018084f0cb87b3182d36c45被攻擊合約0x26267e41CeCa7C8E0f143554Af707336f27Fa051#攻擊流程1.攻擊者先從Balancer:Vault中進行閃電貸。

白帽黑客在2022年通過Immunefi贏得5200萬美元的漏洞賞金:金色財經報道,加密貨幣的漏洞賞金平臺Immunefi向白帽黑客支付了超過 5200 萬美元,以獎勵他們在 2022 年發現區塊鏈和加密貨幣應用程序中的漏洞,這一年加密貨幣黑客的價值?超過 30 億美元。[2022/12/23 22:02:09]

2.將閃電貸的資金用于RariCapital中進行抵押借貸,由于RariCapital的cEther實現合約存在重入。

Rollup橋接方案Beamer完成新一輪融資,CoinIX參投:12月1日消息,Rollup橋接方案Beamer宣布完成新一輪融資,具體金額暫未披露,專注于數字資產和區塊鏈技術投資的德國風投coinIXGmbH&Co.KGaA參投。

據悉,Beamer橋接解決方案支持用戶將Token從以太坊Rollup橋接到其他協議,以更低成本轉移Token。Beamer已于10月啟動主網,其使命是創建以太坊L2生態系統中最快和最安全的跨鏈Rollup橋。(cryptonewsbtc)[2022/12/1 21:15:05]

攻擊者通過攻擊合約中構造的攻擊函數回調,提取出受協議影響的池子中所有的代幣。

去中心化身份平臺Trinsic完成850萬美元種子輪融資,Georgian領投:6月29日消息,去中心化身份平臺Trinsic宣布完成850萬美元種子輪融資,Georgian領投,JonGelsey(Auth0創始首席執行官)、Frederic Kerrest(執行Okta的副主席、聯合創始人兼首席運營官)、Kickstart SeedFund、Founder'sCo-op、Osage Venture Partners、Forward VC和其他天使投資人等參投。

據悉,該筆融資是截至目前去中心化身份垂直領域中規模最大的一筆種子輪融資。Trinsic利用去中心化技術和自我主權原則幫助開發人員更快、更輕松、更可靠地構建基于用戶控制身份的基礎設施,其客戶包括數十家銀行、保險公司、汽車品牌、政府機構和初創公司。(businesswire)[2022/6/29 1:40:12]

3.歸還閃電貸,將攻擊所得發送到0xe39f合約中

本次攻擊主要利用了RariCapital的cEther實現合約中的重入漏洞,被盜資金超過28380ETH。擴展閱讀:“重入漏洞”如何破?損失約8034萬美元,FeiProtocol被攻擊事件分析三、審計過程中最常出現的漏洞有哪些?

在審計過程中最常見出現的總體來說分為四大類:1.ERC721/ERC1155重入攻擊

在通過鏈必驗形式化驗證平臺檢測合約時不乏存在ERC721/ERC1155標準相關的業務合約,在ERC721中,ERC1155中存在分別存在一個onERC721Received()/onERC1155Received函數用于轉賬通知,類似于以太坊轉賬的fallback()函數,在相關的業務合約中使用ERC721/ERC1155標準中的_safeMint(),_safeTransfer(),safeTransferFrom()進行鑄幣或者轉賬時都會觸發轉賬通知函數。如果在轉賬的目標合約中的onERC721Received()/onERC1155Received中包含了惡意代碼,就可能形成重入攻擊。除此之外在相關業務函數未嚴格按照檢查-生效-交互模式設計,上述兩點共同導致了漏洞的產生。2.邏輯漏洞

1)特殊場景考慮缺失:特殊場景往往是審計最需要關注的地方,例如轉賬函數設計未考慮自己給自己轉賬導致無中生有。2)設計功能不完善:存放費用的合約沒有提取功能,借貸合約不含清算功能等。3.鑒權缺失

鑄幣、設置合約特殊角色、設置合約參數的相關函數沒有鑒權,導致三方地址也可以調用。4.價格操控

Oracle價格預言機未使用時間加權平均價格;未使用價格預言機,直接使用合約中兩種代幣的余額比例作為價格等。四、實際被利用的漏洞有哪些?哪些漏洞能在審計階段發現?

根據成都鏈安鷹眼區塊鏈安全態勢感知平臺所感知的安全事件統計,審計過程中出現的漏洞幾乎都實際場景中被黑客利用過,其中合約邏輯漏洞利用仍然為主要部分。通過成都鏈安鏈必驗-智能合約形式化驗證平臺檢測和安全專家人工檢測審計,以上漏洞均能在審計階段被發現,并且可由安全專家在做出安全評估后提出相關安全修補建議供客戶作為修復參考。

通過鏈必驗工具掃描出某合約存在重入漏洞

Tags:OINCOICOINETROrdocoinEVCOINcoinbase中國如何驗證身份labradorretrieverlnu

DOT
OIN:監管重壓下,以太坊2.0還會抗審查嗎?V神這樣投票_以太坊

上周,以太坊混幣協議TornadoCash遭美國OFAC制裁備受關注,最終以該協議主動關停收尾。不過,TornadoCash事件引發的余波卻并未結束,特別是關于監管審查的討論一直持續進行.

1900/1/1 0:00:00
DAO:星球日報 | Acala遭黑客攻擊,相關被盜資產已被禁止轉移;因無法對抗美國Tornado Cash DAO主動關閉(8月15日)_USD

頭條 Acala:黑客攻擊系iBTC/aUSD池配置錯誤,相關被盜資產已被禁止轉移昨日社區有消息稱,Acala因iBTC/aUSD池的漏洞遭到黑客攻擊,攻擊者錢包中目前持有超過12億枚aUSD.

1900/1/1 0:00:00
WEB3:全方位解析Web3社交:一個充滿身份危機的蓬勃發展領域_NFT

概括: 中間件:中間件是一種計算機軟件,為軟件應用程序提供服務。中間件通過簡化應用程序、應用程序組件和后端數據源之間的連接,加快去中心化應用程序的開發.

1900/1/1 0:00:00
CAP:錯過Canto測試網5000美金空投?關注這七個值得埋伏的測試網交互_CHTT價格

8月16日,基于CosmosSDK打造的L1DeFi新公鏈Canto宣布開啟Genesis階段,并公布Token分配的詳細信息,其中2%分發給Canto測試網的參與用戶.

1900/1/1 0:00:00
MIT:NFT數據日報 | Art Blocks在過去24小時內最受巨鯨歡迎(8.2)_NFTG幣

NFT數據日報是由Odaily星球日報與NFT數據整合平臺NFTGO合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度.

1900/1/1 0:00:00
USD:穩定幣進入群雄逐鹿時代,USDC引發范式之爭_DAO

正當Aave緊鑼密鼓地制定GHO穩定幣的具體參數時,MakerDAO宣布可能會選擇出售協議中所有的USDC敞口。這無疑是一枚重磅炸彈,可能會重新定義去中心化穩定幣的標準.

1900/1/1 0:00:00
ads