買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > SOL > Info

FIN:近4億美元損失,Solana的黑客攻擊都有什么共同點?_United Farmers Finance

Author:

Time:1900/1/1 0:00:00

原文作者:sec3

原文編譯:ChinaDeFi

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。

重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:

Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;

CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;

Messari:Avalanche二季度日均交易額暴跌近40%:7月12日消息,據加密分析平臺Messari最新發布的Avalanche狀態報告顯示,Avalanche網絡使用量在今年二季度出現了大幅下降,日均交易量從865,000筆驟減至540,000筆,跌幅近40%。

該份Messari報告指出,Avalanche鏈上交易量之所以出現快速下跌的一個原因是GameFi開發已經轉移到子網。不過,鎖定在DeFi中的AVAX數量不減反增,從一季度末的1.15億枚AVAX增長到1.52億枚AVAX,增幅達到32.17%。[2022/7/12 2:07:17]

CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;

Bitso在二維碼游戲中為巴西足球迷送出近40萬美元的獎金:金色財經報道,加密貨幣公司Bitso最近在一場比賽中向巴西足球迷贈送了184.05萬巴西雷亞爾(約合38.7萬美元),作為營銷活動的一部分。據Bitso計算,有超過36,800名球迷參與了這次促銷活動。

這項在拉丁美洲很流行的交流活動,使用了印在球員袖子上的二維碼,為家里的觀眾啟動了一個標簽游戲。(theblockcrypto)[2022/4/1 14:32:00]

Nirvana:通過閃貸操縱價格,350萬美元被盜;

Slope錢包:由于助記詞被泄露,400萬美元被盜。

在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。

DeFi項目PancakeBunny事件黑客已將大部分獲利資金兌換成近4600萬DAI:自北京時間5月20日10時55分開始,PancakeBunny事件的黑客獲利地址(0x158C24...2C612f)通過PancakeSwap將獲利資金114,631BNB和697,245BUNNY兌換為ETH,再以跨鏈的方式轉移到ETH地址1(0xa0ACC6...d7E187)和ETH地址2(0x158C24...2C612f)。今日慢霧MistTrack監測到地址1給地址2轉入16,500ETH,地址2再通過Sushiswap等兌換平臺將ETH兌換成DAI轉回到地址1。目前地址1余額480ETH、近4600萬DAI;地址2暫無余額。慢霧安全團隊在此提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/5/21 22:28:30]

Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。

行情 | BTC 下跌逼近4400美元:據Bitfinex數據顯示,下跌: BTC 價格$4417.20,5分鐘變化超過$54.20,波動較大,請做好風險控制[2018/11/21]

CashioApp:黑客創建了8個假賬戶來通過有效性檢查。

CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。

Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。

SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。

2.所有黑客攻擊都涉及多次交易

Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。

CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。

CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10筆閃貸交易,從不同的代幣池中進行竊取。

Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。

SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。

3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)

Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。

CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。

CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。

Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。

Slope錢包:廣泛的攻擊持續至少8個小時。

4.最大的損失是由于缺少帳戶驗證

前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。

無論是否是巧合,這些攻擊都造成了很大的經濟損失。

5.閃貸牽涉到兩次黑客攻擊

CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。

在CremaFinance,閃貸被用來引導存款流動性。

在Nirvana中,其內部價格預言機被閃貸操縱。

安全措施:

賬戶所有權

賬戶簽名者

帳戶之間的關系(或邏輯約束)

根據協議邏輯,還應該檢查:

如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。

如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。

監控SOL或SPL代幣的大規模轉移;

監控針對你的智能合約的閃貸交易;

通過升級依賴程序來監控潛在的漏洞;

監控異常狀態(例如,計算費用);

監控往返交易事件例如deposit-claim-withdraw在單個tx中);

監控來自同一簽名者的重復交易;

任何針對協議特定屬性的自定義監控。

如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。

Tags:ANCOLEFINAFINUnited Farmers FinanceBLACKHOLEETHFIN價格Afin Coin

SOL
SDT:Huobi P2P Referral Challenge Program — Get Exclusive Referral Bonus!_Gate USD

DearHuobiGlobalUsers,HuobiP2PislaunchingourReferralChallengeProgram.

1900/1/1 0:00:00
GATE:Gate.io 實盤跟單:本期新秀交易員公示!_GAT

實盤跟單活動“Gate.io實盤跟單:新秀交易員曝光大作戰!”正在進行中!我們已收到了很多優秀的交易員進行報名.

1900/1/1 0:00:00
COIN:比特幣如何讓世界了解金融_cashcoin

在歷史上的某些時期,人們的金融教育程度超過了今天的普通大眾。一個這樣的時期是在古希臘的偉大時期,特別是在雅典。公元前400年的雅典非常特別,因為這里是minzhu的發明地.

1900/1/1 0:00:00
ROS:Shiba Inu 「SHIB」 可以在這里提供短期交易機會_FLOSHIDO價格

ShibaInu的市值為67億美元,盡管被稱為meme硬幣。加密貨幣的長期投資者不太可能對ShibaInu的前景充滿熱情。短期交易者仍然可以從SHIB的價格走勢中獲利.

1900/1/1 0:00:00
GAP:新加坡TOKEN2049參會指南:日程及周邊活動一覽_Gapcoin

新加坡TOKEN2049?將于9月28日至29日舉行,該活動是亞洲大型年度加密活動之一,官方估計參會者將超4000名,其中包括來自全球各地的Web3項目創始人.

1900/1/1 0:00:00
AMAS:這三個項目推出代幣,將獲得市場最高的熱度!_metamask小狐貍錢包官網4.4.0

加密貨幣的創建通常是先射擊,后瞄準的心態。結果在無數項目中顯而易見,從歷史最高點下降了96-99%。但這里有三個平臺,希望推出他們的代幣,以及為什么希望他們這么快推出.

1900/1/1 0:00:00
ads