買比特幣 買比特幣
Ctrl+D 買比特幣
ads

區塊鏈:2021年區塊鏈黑客攻擊頻發的原因是什么?后續的安全工作要如何改進?_DEF

Author:

Time:1900/1/1 0:00:00

原標題:《一文揭秘2021年區塊鏈黑客攻擊頻發的原因》

區塊鏈以無審查著稱,是一片鼓勵創新的熱土,也是滋生犯罪的溫床。當年眾籌超過1.5億美金的TheDao被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。自區塊鏈創世以后,各種針對交易所、錢包以及dapp的黑客盜幣事件頻發。那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?

2021年區塊鏈黑客盜幣事件整理

由于2021年市場情緒熱烈,黑客盜幣的金額打破了往年的歷史記錄。截至三季度,統計一共有32起黑客入侵事件導致了15億美金的資產被盜,而去年全年這個數字是1.8億美金。

報告:2020年度區塊鏈領域安全事件達555起,造成經濟損失179億美元:3月5日消息,國家區塊鏈漏洞庫(CNVD)今日發布《2020年區塊鏈安全態勢感知報告》。報告指出,據國家區塊鏈漏洞庫不完全統計顯示,2020年度區塊鏈領域發生的安全事件數量達555起,分別包括DeFi安全事件103起、詐騙/釣魚事件204起、勒索軟件事件143起、交易平臺安全事件31起、數字錢包安全事件41起、公鏈安全事件17起以及其它安全事件16起,相比于2019年增長了近240%;所造成的經濟損失高達179億美元,環比2019年增長了130%。綜上所述,全年區塊鏈安全威脅風險等級為高,亟需各方高度重視。[2021/3/5 18:18:56]

1)defi協議

Uranium?Finance——邏輯漏洞

2021年4月份流動性挖礦協議Uranium受到了攻擊,被攻擊的智能合約是MasterChief的修改版本。其中,用于執行“質押獎勵”的代碼出現了邏輯漏洞,使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子,并將它換成了價值130萬美元的BUSD以及BNB。

聲音 | Winklevoss兄弟:2020年代將是加密貨幣的十年:2019年12月31日,加密貨幣交易所Gemini創始人Tyler Winklevoss和Cameron Winklevoss發文表示,過去10年,我們迎來了比特幣和加密貨幣的誕生。2020年代將是加密貨幣的十年,屆時將出現許多推動該行業大規模采用的重大發展。對于Gemini和行業來說,2019年都是建設性的一年。文章回顧了Gemini在2019年的表現,亮點包括推出Gemini Custody拓展合格托管服務,支持18種加密貨幣(更多將在2020年推出);被道富銀行選為新的數字資產試點;已完成SOC 2 Type 1檢驗,目前正在接受SOC 2 Type 2檢驗;發布子賬戶;在芝加哥開辦事處;進行第一次收購,收購NFT交易及管理平臺Nifty Gateway;推出完全電子化的加密貨幣OTC清算和結算解決方案Gemini Clearing等。[2020/1/1]

CreamFinance——預言機操縱

聲音 | 曹寅:2020年數字貨幣在政府及跨國公司間的競爭會加劇:浙江清華大學長江三角洲地區研究院區塊鏈高級研究所副所長曹寅表示,到2020年,數字貨幣的競爭不僅會在中央銀行和政府之間加劇,還會在Facebook和大型跨國公司等跨國公司之間加劇。天秤座在Facebook 27億用戶基礎的支持下,獨立于所有現有金融基礎設施,將引發金融資本流動的風險, 比特幣在2016年引發了同樣的擔憂,所以中國需要擁有同等的“貨幣工具”來鞏固其金融主權。

北京中國人民大學國際貨幣研究所教授涂永紅表示,通過比其他國家更早推出數字貨幣,中國人民銀行將能夠制定與貨幣跨境清算和支付系統有關的規則。(人民日報)[2019/12/10]

10月27日,CreamFinance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池來操縱預言機對yUSD的報價。在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走CreamFinance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。

聲音 | Bram Cohen:Tether到2020年預計市值達到第三:BitTorrent創始人 Bram Cohen在推特上稱,2020年,Tether以市值計算預計將占據第3名。據行情顯示,Tether目前排名第七,市值40.10億美元。目前市值排名第三的是XRP,市值133.16億美元。[2019/8/7]

BadgerDAO——前端惡意代碼注入

攻擊者獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易,就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。

Anyswap——后臺簽名

出事是因為后臺簽名時采用了不恰當的值,攻擊者通過兩筆交易來推導出了它簽名的私鑰。

聲音 | Shapeshift創始人:比特幣可能會在2020年達到10萬到20萬美元:據dailyhodl報道,Shapeshift創始人Erik Voorhees在采訪中表示,他認為目前處于下一輪牛市,其將在2020年的某個時候結束,屆時比特幣價格在10萬到20萬美元之間。[2019/7/13]

簡而言之,defi協議除了自身的代碼需固若金湯,因其需與其他協議交互的可組合型,業務邏輯也要嚴絲合縫。最重要的是,Defi協議需借助第三方服務,而這些第三方服務很有可能面臨外部操縱的風險,這也是產品受到黑客攻擊的主要原因。

2)錢包——釣魚信息

舉個比特幣錢包Electrum的例子,當用戶舊版本并連接到攻擊者的節點是,攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時,黑客便輕松掌握了用戶的私鑰。

3)交易所

不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析;交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。

資產被盜后的處理方式

關于資產被盜后的處理方式,可以從三個角度來分析。

項目方一般會采取這幾個解決方式:

1)即時暫停智能合約中的通證轉移和交易服務;對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。

2)同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。

3)聯系第三方安全公司,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。

4)對于被盜資金的去向,假如合約里面存在黑名單功能;第一時間屏蔽黑客地址,防止黑客進行資金轉移。

5)和安全公司和執法部門合作追回被盜的財產,同時想出合理的補償方案來減少用戶的損失。

從交易所的角度來說,有兩種情況:

1)假如交易所本身被盜,需第一時間暫停所有的提現充值功能,把損失降到最少。交易所保留系統里面的所有信息以便日后做分析使用,聯系安全公司或者執法部門,幫忙做財產追蹤。

2)假如某個項目被黑的話,交易所可以監控黑客相關鏈上地址,如果監測到最新充值的關聯地址,凍結該賬戶。

安全公司需要做到以下幾點:

1)在事件發生之后分析漏洞產生的原因,并修復漏洞。

2)在項目重新上線之前提供安全審計服務,以減少項目重新上線之后的安全風險。

3)發布社區警告,同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞,可以通過保密渠道發出警告。

4)通過鏈上技術手段來追蹤資金流向以及分析鏈下信息,幫助執法部門抓到黑客。

那么,為何安全公司對于漏洞已經層層篩查,還會被黑客有機可趁?事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。

今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。其次,跨鏈橋和其他Defi項目的不同的點是:普通Defi項目幾乎100%的邏輯是在智能合約上實現的,而跨鏈橋是web2和web3的結合,是智能合約和傳統后臺的結合。非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。

未來區塊鏈安全展望

未來隨著技術的發展,區塊鏈行業會變得日益安全嗎?理論上是的。先說底層技術,首先編寫智能合約的solidity語言是在慢慢變得成熟的。在最近的solidity版本8.0之后,之前比較常見的一種漏洞叫做integeroverflow便銷聲匿跡了。

其次,安全的開源代碼庫也會提高安全系數。OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。https://github.com/OpenZeppelin/openzeppelin-contracts

現在有很多安全工具會對代碼進行檢查;它可以幫助項目方在沒有聯系安全公司的情況下,找到一些潛在的漏洞,從而提高代碼的安全性。隨著越來越多的技術人員加入到這個領域來,區塊鏈行業的安全壁壘會不斷被加固。

從人為因素出發,項目方需要考慮金融模型以及商業邏輯是否值得推敲,并進行不計其數的測試才能消弭潛在的風險。

總而言之,Defi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。環顧Defi出事的所有原因,最主要的還是Defi項目還無法完全去中心化,需要借助第三方的外部服務。Defi行業在安全性上達到無懈可擊,是這一賽道項目必需實現的目標,期待行業下一周期跑出擁有全新業務邏輯的Defi產品來!

Tags:區塊鏈DEFIEFIDEF區塊鏈存證證件具有更高的信任等級ChargeDeFi ChargePEFI價格DEFI100Farm Token

SHIB最新價格
STEP:對話元宇宙之父史蒂芬森EP02:人類已經進入DAO時代,這一切無法避免_XFRC

來源:競核 編譯:蘇于涵 十一月中旬,競核首次記錄元宇宙之父尼爾·史蒂文森與麻省理工學院計算機科學家萊克斯·弗里德曼對話。詳情大家可以戳:對話《雪崩》作者史蒂芬森:技術善人性惡,殖民火星很難.

1900/1/1 0:00:00
DID:奈雪的茶進軍元宇宙72小時銷售破1.9億,adidas、百事也跟進,品牌為何擁抱元宇宙營銷?_ADI

作者:王七刀 來?源:?新消費智庫&新營銷專欄001如果說最近我觀察到的新的營銷動態,離不開三個知名大品牌進軍元宇宙:第一個品牌是知名奶茶品牌奈雪的茶.

1900/1/1 0:00:00
AVE:Phantom Galaxies游戲遭黑客攻擊造成110萬美元的損失,Animoca Brands將補償其用戶_LFETH價格

據CoinDesk11月24日消息,區塊鏈游戲開發商AnimocaBrands表示,11月19日科幻NFT游戲PhantomGalaxies的Discord服務器遭到黑客攻擊.

1900/1/1 0:00:00
TWI:比特幣信徒杰克·多爾西為何辭去Twitter CEO一職?_Dark Matter

有報道稱TwitterCEO杰克·多爾西將辭去他在公司的職務。那么這位比特幣的信徒會把下一步的工作中心放在什么上?是否會涉及在市場上處于領先地位的比特幣.

1900/1/1 0:00:00
ENS:a16z:如何建設基于聲譽的去中心化身份系統?_OIN

隨著Web3概念以及ENS等項目的影響力逐漸擴大,去中心化身份及Web3信譽系統也引起越來越多的關注.

1900/1/1 0:00:00
區塊鏈:新華網:當心!一些“元宇宙游戲”“云挖礦”APP成詐騙陷阱_元宇宙

來源:新華網 近期,“元宇宙”“區塊鏈”“NFT”“云挖礦”等高科技概念受到市場追捧。新華社記者發現,當前市場上存在部分打著“元宇宙區塊鏈游戲”“云挖礦”等高科技幌子詐騙錢財的APP.

1900/1/1 0:00:00
ads