在剛剛發布的《2022年上半年Web3安全態勢深度研報》中,我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢,包括總損失金額、被攻擊項目類型、各鏈平臺損失金額、攻擊手法、資金流向、項目審計情況等。
今天,我們就2022上半年Web3黑客常用的攻擊方式展開分析,看看在所有被利用的漏洞中,哪些頻率最高,以及如何防范。
一、上半年因漏洞造成的總損失有多少?
據成都鏈安鷹眼區塊鏈態勢感知平臺監控顯示,2022上半年共監測到因合約漏洞造成的主要攻擊案例42次,約53%的攻擊方式為合約漏洞利用。
通過統計,2022上半年共監測到因合約漏洞造成的主要攻擊案例42次,總損失達到了6億4404萬美元。
Circle CEO:2023年將出現另一場類似FTX的破產:金色財經報道,Circle 首席執行官 Jeremy Allaire 周二表示,隨著公司在早期繼續苦苦掙扎,加密貨幣市場將在 2023 年見證更多破產。然而,由于監管框架和規則的進步,他仍然對市場的技術發展以及 2023 年加密貨幣采用率的上升持樂觀態度。[2023/1/17 11:16:51]
在所有被利用的漏洞中,邏輯或函數設計不當被黑客利用次數最多,其次為驗證問題、重入漏洞。
Solana跨鏈橋項目Wormhole遭到攻擊,累計損失約3.26億美元。黑客利用了Wormhole合約中的簽名驗證漏洞,這個漏洞允許黑客偽造sysvar帳戶來鑄造wETH。
數據:24小時NFT市場交易量上漲36.23%:12月10日消息,NFT市場24小時交易量上漲36.23%。此外,藍籌NFT價格普遍回升,據NFTGo數據,Bored Ape Yacht Club(BAYC)地板價回升至68.1 ETH,Mutant Ape Yacht Club(MAYC)地板價回升至 14ETH,Azuki地板價回升至13ETH,Pudgy Penguins地板價漲至4.5ETH。
此前消息,NFT市場Blur二次空投于12月5日上線,具體負責包括:上架NFT越多賺取越多;上架藍籌NFT更有效;可以通過Blur將NFT在其他市場上架等。官方還附言建議用戶二次空投來臨前在Blur市場完成3次掃貨,或為NFT市場熱度回升原因。[2022/12/10 21:36:16]
2022年4月30日,FeiProtocol官方的RariFusePool遭受閃電貸加重入攻擊,總共造成了8034萬美元的損失。本次攻擊對項目方造成了無法挽回的損失,8月20號,官方表示項目正式關閉了。
SBF愿意在國會就FTX的崩潰作證:金色財經報道,FTX前首席執行官SBF愿意在國會就FTX的崩潰作證,他覺得有義務與立法者討論FTX的崩潰,但他可能不會在他們計劃的時間表上這樣做。SBF表示,他需要更多地了解導致FTX崩潰的原因并申請破產保護,然后才能出席有關該主題的國會聽證會。
據此前消息,美國眾議院金融服務委員會邀請SBF于12月13日在有關FTX事件的聽證會上作證。[2022/12/5 21:22:28]
FeiProtocol事件回顧:
由于漏洞出現在項目基本協議中,攻擊者不止攻擊了一個合約,以下僅分析一例。
BTC突破22000美元:金色財經消息,BTC突破22000美元,現報22019.7美元,日內跌幅達到2.12%,行情波動較大,請做好風險控制。[2022/6/16 4:30:36]
攻擊交易
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
攻擊者地址
0x6162759edad730152f0df8115c698a42e666157f
攻擊合約
0x32075bad9050d4767018084f0cb87b3182d36c45
被攻擊合約
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
Balancer:Vault中進行閃電貸。
2.將閃電貸的資金用于RariCapital中進行抵押借貸,由于RariCapital的cEther實現合約存在重入。
攻擊者通過攻擊合約中構造的攻擊函數回調,提取出受協議影響的池子中所有的代幣。
3.歸還閃電貸,將攻擊所得發送到0xe39f合約中
本次攻擊主要利用了RariCapital的cEther實現合約中的重入漏洞,被盜資金超過28380?ETH。
擴展閱讀:“重入漏洞”如何破?損失約8034萬美元,FeiProtocol被攻擊事件分析
1.ERC721/ERC1155重入攻擊
在通過鏈必驗形式化驗證平臺檢測合約時不乏存在ERC721/ERC1155標準相關的業務合約,在ERC721中,ERC1155中存在分別存在一個onERC721Received()/onERC1155Received函數用于轉賬通知,類似于以太坊轉賬的fallback()函數,在相關的業務合約中使用ERC721/ERC1155標準中的_safeMint(),_safeTransfer(),safeTransferFrom()進行鑄幣或者轉賬時都會觸發轉賬通知函數。如果在轉賬的目標合約中的onERC721Received()/onERC1155Received中包含了惡意代碼,就可能形成重入攻擊。除此之外在相關業務函數未嚴格按照檢查-生效-交互模式設計,上述兩點共同導致了漏洞的產生。
3.鑒權缺失
鑄幣、設置合約特殊角色、設置合約參數的相關函數沒有鑒權,導致三方地址也可以調用。
四、實際被利用的漏洞有哪些?哪些漏洞能在審計階段發現?
根據成都鏈安鷹眼區塊鏈安全態勢感知平臺所感知的安全事件統計,審計過程中出現的漏洞幾乎都實際場景中被黑客利用過,其中合約邏輯漏洞利用仍然為主要部分。
通過成都鏈安鏈必驗-智能合約形式化驗證平臺檢測和安全專家人工檢測審計,以上漏洞均能在審計階段被發現,并且可由安全專家在做出安全評估后提出相關安全修補建議供客戶作為修復參考。
通過鏈必驗工具掃描出某合約存在重入漏洞
Tags:NFTETHFTXNERNFTS幣eth2.0幣種Grayscale Bitcoin Trust tokenized stock FTXNER幣
盡管今年穩定幣領域經歷了不少的波折,但現在主流穩定幣依然屹立不倒,整個加密市場也正在重拾信心。很多人認為,未來穩定幣的市值將達到十萬億美元,穩定幣靠什么優勢能達到這樣的市值?更多資訊微薄團團財經.
1900/1/1 0:00:00一、項目簡介? GESIA平臺旨在克服當前非營利環境運動的局限性,并通過利用區塊鏈開放的可能性來促進新碳經濟中的社會影響投資機會.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM已完成合約系統維護,現已恢復U本位永續合約,幣本位永續合約的合約交易業務.
1900/1/1 0:00:00下半年以來,越來越多DeFi項目選擇將現實資產引入其生態。Aave、MakerDAO都在推進將現實資產作為抵押物發行Stablecoin的計劃.
1900/1/1 0:00:00尊敬的XT.COM用戶:CSPR錢包升級維護已完成,XT.COM現已恢復CSPR充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年8月26日XT社交.
1900/1/1 0:00:00金色財經報道,美國眾議院國土安全委員會主席BennieThompson和美國眾議院議員YvetteClarke在周四的信中.
1900/1/1 0:00:00