買比特幣 買比特幣
Ctrl+D 買比特幣
ads

DEFI:區塊鏈十大攻擊方式系列二:DeFi 黑客攻擊 真是防不勝防_defi幣官網

Author:

Time:1900/1/1 0:00:00

歡迎來到成都鏈安策劃的『區塊鏈10大攻擊方式』系列文章。上周分享了區塊鏈十大攻擊方式系列——51%攻擊,大家看的還過癮嗎?

閑話少說,今天,我們開啟系列文章第二篇——DeFi黑客攻擊,繼續為大家講解區塊鏈安全生態領域的那些攻擊套路、漏洞。

01?-?什么是DeFi?黑客為何偏愛攻擊DeFi項目?

區塊鏈技術的誕生,為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破。其中「去中心化金融」便是這兩年最為火熱的應用之一。

DeFi是去中心化金融DecentralizedFinance的縮寫,它指的是基于區塊鏈的金融服務體系。

四川成都發布社區發展治理促進條例 運用區塊鏈等技術促進社區智慧治理:10月14日,四川省第十三屆人民代表大會常務委員會已通過《成都市社區發展治理促進條例》,并正式公布,條例自2020年12月1日起施行。《成都市社區發展治理促進條例》中第二十四條指出:“本市應當運用物聯網、大數據、云計算、人工智能、區塊鏈等現代信息技術,構建信息互通、資源共享的社區智慧服務、智慧安防、智慧治理場景,提高社區服務管理智能化水平,促進社區智慧治理。”(天府鏈融)[2020/10/14]

和現在的金融體系不同,用戶的資金不會存放在第三方的金融機構中,而是通過各種智能合約去實現協議和信任,如此可以最大程度地減少風險。它是一個完整的開源生態系統,提供貸款、交易、資產管理和支付等金融服務。

南昌市虛擬現實產業發展推進中心主任:應強化區塊鏈等,促進新消費發展:南昌市虛擬現實產業發展推進中心主任楊征宇建議,今后應強化人工智能、區塊鏈、量子通信等技術攻關,強化新技術新業態新模式對生產、流通、分配等經濟活動的改造,推動新一代信息技術產業向縱深發展,促進新消費向數字化、融合化、高端化發展。(江西日報)[2020/7/1]

DeFi攻擊事件頻發,最主要的原因還是其累計了巨額的資產。面對巨大的誘惑,黑客必然會想方設法去攻擊。比如跨鏈項目不僅僅是鏈上智能合約,還有鏈下的代碼,無論哪一部分出現了問題,都會被黑客所利用。

行情 | 區塊鏈板塊收漲0.56%,數字貨幣板塊收漲0.45%:A股收盤,上證指數收漲0.31%,區塊鏈板塊收漲0.56%,數字貨幣板塊收漲0.45%。區塊鏈板塊中197只概念股中,130只上漲,56只為跌,10只平盤,1只停牌,其中深大通和金冠股份漲停,并無跌停個股;數字貨幣板塊31只概念股中,17只上漲,2只平盤,12只為跌。[2019/12/3]

02?-?DeFi涉及到的安全問題都有哪些?

2022年第一季度,區塊鏈領域共發生典型安全事件超過30起。總損失金額超12億美元,與去年同期相比增長了823%。

聲音 | 中國聯通王九九:可利用區塊鏈技術讓行業短信創造價值:據新浪VR消息,11月26日,由聯通在線信息科技有限公司承辦的“聚焦安全認證,賦能企業服務”研討會在京舉行。中國聯合網絡通信集團有限公司電子商務中心創新業務處處長王九九表示,通過平臺把運營商、監管部門、最終用戶、企業客戶,代理商等幾種在一條區塊鏈上做所有的信息統一傳送。以此解決扣量、偽基站、非授權情況下的垃圾短信等問題,真正讓行業短信創造價值。號碼認證通過運營商獲取用戶網絡ID,手機號碼,實現用戶一鍵登錄更加安全、健康。[2019/11/29]

數據顯示,DeFi項目仍為黑客攻擊的重點領域,其中主要涉及到的安全問題包括:閃電貸攻擊、私鑰泄露、智能合約重入攻擊、Rugpull等等。

閃電貸攻擊

動態 | 平安證券晨會研報:區塊鏈等信息技術融合發展趨勢明顯:據證券日報-12月27日券商晨會研報匯編,平安證券認為,在宏觀經濟承壓的大環境下,國內多數行業的中短期前景難言樂觀。不過,由于計算機行業與宏觀經濟波動的相關性相對偏低,政策支持力度不減,加之云計算、大數據、人工智能、區塊鏈等新一代信息技術融合發展趨勢明顯,我們認為計算機行業的復蘇態勢仍將延續,相對表現將好于多數行業。[2018/12/27]

閃電貸就是在一筆鏈上交易中完成借款和還款,無需抵押。由于一筆鏈上交易可以包含多種操作,使得攻擊者可以在借款和還款間加入其它鏈上操作,以極低的成本撬動巨額資金,結合其他漏洞進行套利、價格操縱等攻擊。

比如2022年4月17日,算法穩定幣項目BeanstalkFarms遭黑客攻擊,黑客獲利近8000萬美元,黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備,再利用惡意提案,導致本次攻擊的發生。

詳細分析可點擊此處閱讀:黑客獲利近8000萬美元,惡意提案如何防范?BeanstalkFarms被攻擊事件分析

私鑰泄露:

項目方由于遭受社會工程學或傳統網絡安全攻擊,導致私鑰泄露,從而項目方地址權限被盜取,從而攻擊者可進行轉賬、提取等任意操作。

比如在2022年2月10日,DeFi應用DegoFinance遭到黑客攻擊,成都鏈安安術團隊進行分析時發現本次攻擊由于項目方私鑰泄露,黑客利用私鑰提取了多個鏈上的資產。

詳細分析可點擊此處閱讀:被盜約1700萬美元,DeFi世界的樂高DegoFinance就這樣“塌了”嗎?

智能合約重入攻擊:

在存在外部合約調用的項目中,如果外部合約調用發生在賬本更新之前,且外部合約調用可以被用戶控制,那么該項目可能存在重入風險。在項目未做重入防范的情況下,惡意的攻擊者可以通過重入攻擊威脅項目資金安全。

比如在2022年3月31日,OlaFinance遭遇智能合約重入攻擊,損失約為467萬美元。

詳細分析可點擊此處閱讀:約467萬美元的損失!OlaFinance被攻擊事件簡析

Rugpull:

“RugPull”是指項目方撤出支持、DEX流動性池或突然放棄一個項目,毫無征兆地就卷走投資者的資金。這是一個DeFi領域典型的退出騙局。

從黑客的角度來看,對區塊鏈生態系統的攻擊是一種理想的手段。因為這些系統是匿名的,而且行業暫時缺乏技術監管,這使得網絡犯罪分子可以通過攻擊安全性較低的DeFi項目或實施RugPull來獲取金錢收益。

03?-?如何避免被黑客攻擊?

經成都鏈安安全團隊梳理和總結,2022年第一季度的安全事件中,盡管70%的被攻擊項目經過了第三方安全公司的審計,但是30%未審計的項目,其被攻擊之后的損失金額也達到了7.2億美元,占第一季度總損失金額的60%。

可見?DeFi?項目上線之前的審計依舊重要。在我們研究之后,發現在未審計的項目中,50%的攻擊手法都為合約漏洞利用。因此,盡早審計和及時修復代碼漏洞,可以避免上線后項目被攻擊造成的嚴重損失。

DeFi為許多機會打開了大門,特別是對于那些熱衷于推動加密市場向前發展同時保持資金流動的去中心化模塊的投資者和開發商。由于DeFi熱潮的興起,該領域也自然成為了黑客“大展拳腳”的重點對象。

安全性仍然是DeFi生態系統面臨的重大挑戰,因此DeFi項目方應做好前置預防工作,引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案,完善安全防護機制。作為用戶,在選擇項目時,應留意該項目是否經過安全審計,切不可掉以輕心。

Tags:區塊鏈DEFIEFIDEF區塊鏈可以看著是什么XDEFI價格99DEFI.NETWORKdefi幣官網

幣安app下載
FIL:下一代互聯網最大的敵人在哪里?_加密貨幣是什么意思視頻

安全問題已成為下一代互聯網不容忽視的一個問題。近期,路透社的一篇專欄文章將知名區塊鏈交易平臺——幣安送至了風口浪尖.

1900/1/1 0:00:00
COIN:金色前哨 | 美聯儲稱近一半美國加密投資者是高收入人群_COI

美聯儲發布的關于2021年“美國家庭的經濟福祉”的年度報告稱,美國人的加密貨幣擁有水平在高收入群體中明顯更高.

1900/1/1 0:00:00
TEA:12個領域梳理DAO的操作系統_WATER幣

本文深入探討了DAO的操作系統。作者認為所有的組織都需要操作系統,DAO也不例外。文章首先分析了一個好的操作系統和槽糕的操作系統的特征是如何的,并將其類比到DAO組織中去.

1900/1/1 0:00:00
數字貨幣:數字資產、數字支付及跨境活動:以美元數字化為例_數字資產

銀行頭寸與加密貨幣 7月22日,美國財政部貨幣監理署發布了一封解釋函,闡明了國家銀行和聯邦儲蓄機構為客戶提供加密貨幣托管服務的權利.

1900/1/1 0:00:00
ACE:馬斯克的“元宇宙”夢_馬斯克

單純地用資本市場的眼光來看待馬斯克收購推特這件事,它只不過是一樁稀松平常的買賣案例。馬斯克原本已經是推特的股東自不必說,推特本身面臨的困境和難題,同樣讓越來越多的人感受到它需要一個「蓋世英雄」來.

1900/1/1 0:00:00
ELLA:跨境支付巨頭速匯金計劃推出基于Stellar的穩定幣匯款平臺_TELL

5月30日消息,跨境支付巨頭速匯金正試圖擴大數字貨幣的采用,計劃將推出基于Stellar的穩定幣匯款平臺.

1900/1/1 0:00:00
ads