對于DeFi (Decentralized Finance)投資者來講,這一周都不會太平靜。北京時間4 月 19 日上午 8 點 45 分,國產 DeFi 借貸協議 Lendf.Me 被曝遭受黑客攻擊。這是繼 4 月 18 日 Uniswap 被黑客攻擊損失 1278 枚 ETH(價值約 22 萬美元)之后,DeFi生態出現的又一重大安全事件 。
最新動向
兩起安全事件接連爆發后,項目方、區塊鏈安全公司紛紛跟進。4月18日,也就是周六,Uniswap 的imBTC被盜走;周日,Lendf.Me上價值2500萬美金的資產被黑客洗劫一空;周一,dForce創始人楊民道如期于Medium發文通報“Lendf.Me被黑”一事的處理進展,表示“在過去的24小時里,一直在不停地工作,并將在以后的文章中詳細介紹Lendf.Me采取的所有行動。”周二,黑客返還全部資產,dForce創始人楊民道公布后續行動計劃。
A股收盤:深證區塊鏈50指數上漲1.59%:金色財經消息,A股收盤,上證指數報3270.38點,收盤上漲1.18%,深證成指報12048.27點,收盤上漲1.64%,深證區塊鏈50指數報3163.76點,收盤上漲1.59%。區塊鏈板塊收盤上漲1.76%,數字貨幣板塊收盤上漲2.53%。[2023/2/9 11:57:07]
Lendf.Me 被攻擊累計的損失約 24,696,616 美元,具體盜取的幣種包括USDT、WETH、WBTC等12個幣種。據歐科云鏈OKLink區塊鏈瀏覽器顯示,北京時間4月21日開始,Lendf.Me攻擊者地址0xa9bf70a420d364e923c74448d9d817d3f2a77822下的資產在不斷往外轉出。當日14點,Lendf.Me攻擊者地址下的ETH余額減少至$279.27。一小時后,該地址下ETH余額已經為0。隨著各方的介入,最新消息顯示黑客已退回全部被盜資產。
自動化支付平臺OAK Network贏得第28輪波卡平行鏈插槽拍賣:9月30日消息,波卡生態自動化支付平臺OAK Network以鎖定近15萬枚DOT的眾貸結果贏得第28輪波卡平行鏈插槽拍賣。[2022/9/30 6:04:34]
圖片來源:oklink.com,4月21日13:30
圖片來源:oklink.com,4月21日14:00
重入攻擊
Discord拓展應用插件Collab.Land已集成Ronin Network:10月27日消息,用于驗證所有權的Discord拓展應用插件Collab.Land已集成以太坊側鏈Ronin Network,支持所有Discord服務器通過驗證用戶在Ronin Network上的資產所有權情況來給予不同權限。[2022/10/27 11:48:50]
目前已知的情況是,攻擊者利用了 imBTC 采用的 ERC-777 標準的一個漏洞,執行重入攻擊(Reentrancy attack ),導致市值約 2500 萬美金的資產從 Lendf.Me合約里被取出。
而18日下午,攻擊Uniswap的手法與此次Lendf.Me類似,兩次事件的攻擊者極有可能是同一伙人。黑客利用Uniswap和ERC777的兼容性問題,在進行ETH與imBTC交易時利用ERC777中的多次迭代調用tokensToSend來實現重入攻擊。
V神:預計合并不會對網絡產生任何不利影響,因為大多數以太坊社區都支持合并:8月6日消息,Vitalik Buterin(V神)在周六的網絡研討會上表示,以太坊合并不會對ETC上鑄造新代幣產生不利影響。他預計不會對區塊鏈產生任何不利影響,因為大多數以太坊社區都支持合并。
有人擔心涌向ETC的礦工可能會破壞合并。開發人員Tim Beiko說,理想情況下,用戶不應該注意到任何不同。Buterin補充說,ETC擁有強大的社區和強大的產品,可為提供PoW。ETC社區大力提倡PoW價值觀。盡管如此,市場仍有可能分裂。(Be in Crypto)[2022/8/7 12:07:01]
解釋重入攻擊之前,我們來復習一個關于以太坊的知識點。以太坊上的每一個代幣都是一個合約,而這些合約都是根據某個標準來寫。大多數用戶更熟知的是ERC20標準,歐科云鏈OKLink區塊鏈瀏覽器顯示,截至4月21日,以太坊上ERC20代幣數高達214075,且數量呈現上升趨勢。
Crypto.com App已上線UNFI和WOO:6月18日消息,加密貨幣交易所Crypto.com近日在其App上線Unifi Protocol DAO(UNFI)、WOO Network(WOO)。(The Daily Hodl)[2022/6/18 4:36:50]
圖片來源:oklink.com
然而,即使是ERC20同一標準下,代幣在合約之間的轉賬仍然不是很方便。ERC777便應運而生,兼容ERC20的基礎上又添加了新的內容。
此次事件中的Uniswap是根據ERC20標準設計的。Uniswap v1有一個工廠合約和一個交易合約,通過工廠合約,每個代幣都可以和以太坊生成一個交易合約。也就是說,任何滿足ERC20標準的合約都能夠通過工廠合約直接注冊到Uniswap上而不需要許可。ERC777兼容ERC20,ERC777標準下的合約同樣也可以注冊到Uniswap。
通常來講,智能合約在正常執行期間可以通過執行函數調用,或者簡單地轉移以太坊來執行對其他智能合約的調用。這些智能合約本身可以稱為其他智能合約,它們可以回調到調用他們的智能合約或回調棧中的任何其他智能合約。在這種情況下,我們說智能合約被重新輸入,這種情況被稱為可重入性。
重入本身不是問題,但智能合約以“不一致”的狀態重新輸入時,就會出現問題。Uniswap 上使用 ERC777 的安全性問題早在19年6月就被發現并公開過。ERC777 的 Uniswap 交易對會因為 在ERC777 標準里存在,而不存在于 ERC20 里被攻擊,這時候,重新輸入就變成了重入攻擊。
防御對策
這已經不是第一次DeFi 系統性風控漏洞被黑客利用了。從之前鬧得沸沸揚揚的閃電貨bZx漏洞事件到此次的二連擊事件,2020年還未過半,DeFi就經歷了三次大規模資產風險事件。
2月,bZx遭受攻擊,其協議漏洞被利用,攻擊者套利99萬美元;3月12日的極端行情下,MakerDao等協議突發強制清算,機器人程序未及時調高gas費,有用戶趁機以0出價獲得系統拍賣的抵押資產,給MakerDao造成了567萬美元的損失;此次的黑客二連擊事件中,被盜資產更是高達2500萬美元。DeFi 基礎設施的脆弱性暴漏無疑。
DeFi 的創建者本意是利用代碼和智能合約創建一個無需審查權限、人人可參與的開放金融生態。其大規模發展的基礎設施是各種去中心化協議。雖然有更美好的愿景,但DeFi 在抗風險能力上甚至不及中心化系統。
接連的安全事件讓人們醒悟,沒有0漏洞的協議,安全才是重中之重。對于項目方而言,在開發合約時就應把合約安全問題列為重點。可以將合約代碼開源,讓更多專業人士和技術團隊參與進來,分析整理出易發生的意外事件,提升合約編寫的安全性和功能準確性,防患于未然。其次,項目方可以與安全機構加強合作,審查代碼。個人用戶也需要在決策時格外謹慎,選擇投資項目之前,利用好區塊鏈瀏覽器等工具更全面地了解項目的鏈上信息才是關鍵。
這是一個快速迭代的領域,經此幾劫,DeFi生態是喪鐘長鳴還是進入休整,相信不久就能看到結果。這也是一個長期發展的行業,代碼即法律的愿景還沒有實現,更多的法規及監管介入才能幫助DeFi 生態健康發展。DeFi可能會在未來爆發,但這個可能或許還需要數十年的沉默期來鋪墊。
金色財經4月28日訊 最近剛剛在Coinlist完成代幣拍賣并在幣安掛牌的公鏈項目Solala被爆出公示的代幣流通數量存疑的問題,此前公示代幣流通量約為826萬.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態.
1900/1/1 0:00:00本周加密社區技術消息較少,因此本周的技術周刊只包含以太坊、COSMOS、Hyperledger、Filecoin四個網絡的技術動態.
1900/1/1 0:00:00在逐漸跨過草莽時期的區塊鏈世界,有一個群體鮮有出現聚光燈下,卻兢兢業業維護上千個加密貨幣項目區塊網絡的運轉,他們是加密世界的“程序員”——礦工.
1900/1/1 0:00:00大盤短暫回撤后,昨天一整天都未能再次有效突破7200美金,反彈量能持續萎縮,導致小時級別MA60均線由支撐變成強壓力,并在跌破后放量下跌,昨晚短時下探6900美金后快速拉回7000美金之上.
1900/1/1 0:00:00在過去的幾年中,全世界最大,最活躍的比特幣礦工都在中國運營比特幣挖礦業務。這也包括比特大陸,神馬礦機在內的大型礦機制造商.
1900/1/1 0:00:00