宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 比特币 > 正文

2021年区块链安全年度总结

作者:

时间:1900/1/1 0:00:00

2021年对于区块链来说是一个巨大的里程碑,无论是对于用户量还是对于机构接受程度。链资产比重都远超历史上的任何其他时期。

与此同时,兴起了许多多元化的事物如号称终极未来的元宇宙、边玩边赚的GameFi以及链链互信的跨链等。而各类传统DefiDapp也加速了步伐迎来了全新的升级,如UniswapV3,AaveV3等新版协议问世。

种种这些,不仅为区块链生态带来了活力,同时也带来了全新的安全挑战。现在请跟随?知道创宇区块链安全实验室?的视角一起回顾2021区块链安全生态以及各月份的典型安全事件。

2021区块链安全生态速览

据知道创宇区块链实验室不完全统计数据,截止本文发稿前,2021年区块链可供查询的相关安全事件为312起,直接损失超100亿美元。

对比往年数据来说依然是一个令人心悸的走高态势。蓬勃发展的多链系统,链链互信的跨链需求,新链上的花式仿盘,都为这一庞大的数字做出了相应的"贡献"。

在安全事件方面我们使用了6个纬度来进行统计,分别是?交易所、DeFi、跑路、钱包、公链、其他。其中以DeFi安全尤为突出达到了?141起。

该原因主要在于区块链底层技术愈加趋向成熟,但合约实现规范还没有充分完备化和体系化,审计还没有被足够的落实。尤其合约具备着直接担当着资金载体和运行逻辑的功能,这使得越来越多黑客将目标瞄向该领域。

另一方面,攻击者利用闪电贷和链上监控愈发成熟。使得攻击面得以被充分暴露,同时各个项目方对于协议的实现也存在着巨大的差异,这些种种,无疑皆助长了该攻击的广泛性和频繁性。

数据:逾1000万美元FRAX与USDC从Frax Finance转入Curve Finance:6月11日消息,据Whale Alert监测,1小时前,7,703,866枚FRAX与3,371,626枚USDC从Frax Finance转入Curve Finance。[2023/6/11 21:29:23]

在资金损失方面则是跑路/局尤为严重,损失总计超?64亿美元。相较于DeFi安全事件的多发性来说,跑路/局对人们造成的经济损失更加明显。

跑路的方式由于Owner权限过大、合约可升级、DAO比例操控等等难以避免。同时由于区块链的不可追溯性导致该行为风险变得非常的低,甚至有项目方直接在群组公开宣告自己跑路的行径,导致大量用户失去信心。

无论是交易所清退、链上蜜罐、假钱包、转账钓鱼,花样众多的攻击方式也为链安全带来了新的挑战。当然,这不仅仅应该完全依赖安全公司,更多的还应该寄希望于群体安全意识提升的落地。

2021各月份典型安全事件回顾

Ⅰ:挑战伊始

关键词:权限控制,手续费

1月27日,SushiSwap因收取手续费的函数存在权限控制缺陷,被黑客利用操控了DIGG/WETH交易对的滑点,从而套取了WBTC/DIGG交易对的手续费。

安全月度风险评估:低

月度评价:新年伊始,但不应该是新漏洞的开始

Ⅱ:风雨初现

关键词:闪电贷,无限授权

YearnFinance被攻击,黑客利用闪电贷操控3pool代币平衡,并通过yDai保险库放大差异,获利280万美元,而保险库损失超1100万美元。

马斯克:过去对加密货币感兴趣,现在对人工智能感兴趣:金色财经报道,马斯克在社交媒体发文称,“过去对加密货币感兴趣,但现在对人工智能感兴趣。”[2023/3/4 12:41:48]

以太坊协议组合工具Furucombo智能合约被爆出存在请求授权权限过高问题,黑客可通过向Furucombo代理添加攻击合约,从而获得影响用户账户的权限,该漏洞影响超1400万美元。

安全月度风险评估:中

月度评价:同类型漏洞相继爆发,需做好安全预警

Ⅲ:花式危险

关键词:双花交易,错误铸币,权限控制

去中心化交易所?DODO?因未对init进行权限控制,导致黑客在进行闪电贷归还操作时通过init函数将需要归还的代币修改为自己提前加入pool的垃圾代币,从而规避校验以次充好,损失超200万美元。

PaidNetwork?铸币功能存在漏洞,被利用铸造超?6000万枚PAID代币。

Filecoin由于节点特性出现“双花交易”漏洞。

安全月度风险评估:高

月度评价:漏洞类型花样百出,但核心都是资金安全

Ⅳ:经典重现

关键词:重入攻击,协议兼容性

Uniswap上的imBTC池遭到黑客攻击,漏洞原因是Uniswap与ERC777协议出现兼容性问题,当交易产生时,ERC777中的迭代调用tokensToSend可以被用来实现重入攻击,损失超30万美元。

安全月度风险评估:低

德克萨斯州证券委员会正式调查NBA球星斯蒂芬·库里和NFL球星汤姆·布拉迪:11月22日消息,德克萨斯州证券委员会已正式开始调查坦帕湾海盗队四分卫汤姆·布拉迪(Tom Brady)和NBA金州勇士队球星斯蒂芬·库里(Steph Curry)等名人,原因是他们参与推广加密货币交易平台FTX可能违反了美国证券法。(彭博社)

此前报道,华尔街王牌诉讼律师David Boies正在与客户讨论对推广FTX的名人提起集体诉讼,目前尚不清楚诉讼对象包括哪些名人。FTX的知名推广者包括橄榄球传奇四分卫Tom Brady和NBA球星Steph Curry,二人出现在FTX的广告中,还曾与交易所进行了股权交易。[2022/11/22 7:54:44]

月度评价:经典漏洞以全新方式体现,说明安全理念并不会停滞,需要时刻进步

Ⅴ:八方风雨

关键词:重入攻击,协议冲突,滑点,闪电贷

合成资产协议SpartanProtocol遭到闪电贷攻击,由于添加/移除流动性存在滑点修正机制的差别导致套利,损失3050万美元

机池项目ValueDeFi由于协议组合存在的冲突隐患遭到攻击,损失1000万美元,2天后再次遭到攻击,损失1100万美元;

PancakeBunny遭到闪电贷攻击,由于LP代币价格计算问题导致套利,损失约4500万美元;

BurgerSwap遭到闪电贷攻击,由于重入漏洞和架构问题导致套利,损失约330万美元;

安全月度风险评估:高

月度评价:本月是闪电贷攻击多发月份,造成的损害也及其重大,所以必须不放过任意可能存在漏洞的细节,避免无法挽回的结果。

分析:若BTC跌破6月1.75万美元低点或有堤坝破裂的风险:金色财经报道,据区块链分析公司Glassnode研究显示,比特币网络活动仍然处于一种“可怕”的状态。一个建设性的观察是散户参与者被驱逐出网络,只剩下“囤币党”、职业交易者和日常比特币用户,这表明用户基础处于基础水平。短期持有者发现自己处于一个平衡期,投机性的市场流动和短期持有者的成本基础是相通的。在目前的盘整范围内有如此多的供应集中,如果价格跌破6月1.75万美元的低点,那么就会有堤坝破裂的风险。[2022/10/1 18:37:00]

Ⅵ:风雨依旧

关键词:薅羊毛,错误变量,address(this),闪电贷

PancakeBunny项目仿盘PancakeHunny项目遭遇黑客攻击,主要漏洞原因在于mintFor函数错误地使用合约余额作为参数,且兑换HunnyToken使用的固定参数,导致套利可行。

以太坊DeFi项目Alchemix的alETH合约出现安全问题,由于部署脚本错误的创建vault值并在调用中使用了错误的索引,导致用户奖励超发

BSC链上DeFi协议xWinFinance遭到闪电贷攻击,合约未对奖励推荐人地址做校验,导致同一地址推荐人奖励可累计。

安全月度风险评估:中

高月度评价:本月闪电贷攻击依然多发,其提醒着控制变量值得反复审计。

Ⅶ:逻辑理性

关键词:私钥,双花攻击,tx.origin,逻辑漏洞

去中心化跨链交易协议Anyswap遭到攻击,漏洞原因在于其V3路由器MPC帐户下存在两个v3router交易,这两个交易具有相同的R值签名,攻击者可以反推出MPC账户的私钥,损失约800万美元。

韩国乐天集团计划通过股权投资Aergo开发商Blocko进军加密领域:4月27日消息,韩国乐天集团正在考虑通过其营销子公司大宏企划向区块链基础设施提供商Blocko进行价值50亿韩元(约395万美元)的股权投资,以进军加密资产业务。如果达到尽职调查阶段,预计投资将于5月完成。

据悉,Blocko是一家成立于2014年的区块链技术公司,2018年开发了自己的区块链主网Aergo,并发行了同名加密货币AERGO。(Decenter)[2022/4/27 2:33:54]

BSV网络遭受恶意攻击,造成多个区块重组,攻击者借此进行了双花攻击。

去中心化跨链交易协议THORChain遭受多次攻击,因其代币特性tx.origin可被用做钓鱼,损失约?2500万美元。

收益耕作协议PolyYeldFinance遭受攻击,因其转账时存在实际到账少于转出的缺陷,被黑客利用控制了MasterChef合约中代币,实现超额奖励。

安全月度风险评估:中高

月度评价:本月存在各类型的逻辑漏洞,涉及私钥、转账已经功能特性等,需做更全面的考虑。

Ⅷ:危险之最

关键词:年度损失之最,重入攻击,同类型协议攻击,闪电贷

以太坊上DeFi协议PopsicleFinance遭遇闪电贷袭击,漏洞原因在于PLP池合约对手续费奖励的计算存在缺陷,损失2,070万美元;

跨链协议PolyNetwork遭到攻击,由于函数缺陷导致keeper可被修改,这次攻击被称为年度最大黑客事件,损失约6.1亿美元;

BSC链上DeFi项目Dot.Finance遭受闪电贷攻击,这次攻击属于PancakeBunny同类型协议攻击,损失近43万美元,迄今为止,此类攻击已造成损失超5,000万美元;

以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击,损失超1800万美元;

安全月度风险评估:高

月度评价:本月各类攻击损失都十分巨大,还有着堪称全年损失之最的PolyNetwork攻击,该月份攻击不仅影响到新兴的跨链项目也对同类型的协议敲响警钟,这份影响持续着整个区块链安全生态。

Ⅸ:问题依旧

关键词:初始化攻击,恒定乘积校验,预言机操控,闪电贷

NFT赛马项目DeRac被攻击,其漏洞原理是:Vesting合约未进行init未初始化保护,从而让黑客初始化了init中他想要的参数,最后通过紧急提款函数提取了合约资金,损失约400万美元。

去中心化交易所NowSwap遭到黑客攻击,由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超100万美元。

借贷协议Vee.Finance,超3500万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。

去中心化借贷协议?Compound?出现变量设置错误转移了更多的COMP代币,该漏洞损失约28万枚COMP代币。

安全月度风险评估:高

月度评价:本月各类攻击损失依然巨大,但相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞。

Ⅹ:漏洞多样化

关键词:价值描述,修补方案,多次攻击

以太坊上被动收益协议IndexedFinance遭到攻击,其漏洞产生的原因在于协议通过一种代币来描述整个矿池价值,损失约1600万美元。

去中心化借贷协议Compound在试图通过社区提案修补流动性挖矿代币分发合约含有的漏洞的同时,因为?drip()函数的调用而向漏洞合约打入了20万枚comp代币,由此该协议已面临?1.58亿美元的潜在损失。

以太坊上DeFi借贷协议CreamFinance再遭受攻击,此次攻击产生的核心代码原因在于价格因子pricePerShare通过简单的资产数额占比来动态定价,损失约1.3亿美元。

安全月度风险评估:高

月度评价:各种漏洞产生的情况也是各有不同,有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等,但是CreamFinance该年度已经多次遭受攻击实属应该做好防护。

Ⅺ:问题多元化

关键词:预言机操控,治理攻击,私钥泄露

以太坊上的DeFi协议VesperFiFianance遭遇预言机操控攻击,损失超?300万美元。

Curve.Finance遭Mochi稳定币USDM团队「治理攻击」,损失超3000万美元。

DeFi借贷协议bZx在Polygon和BSC链上的私钥泄露事件已导致超5500万美元资产被盗。

安全月度风险评估:高

月度评价:该月份同样问题严重,有传统的预言机安全问题、私钥泄露问题甚至还有着项目方反撸矿工的操作。

Ⅻ:经典再现

关键词:闪电贷,重入

Fantom链上复合收益平台GrimFinance遭遇了闪电贷攻击,攻击者利用depoistFor函数不存在token校验,通过将token地址指向自己的攻击合约实现重入攻击,损失超3000万美元。

Definer遭遇预言机操控攻击,问题在于OEC链上对于预言机的实现存在问题,使用了单一流动池在一个时间点的池内代币余额作为价格源从而导致了事故的发生。

安全月度风险评估:中

月度评价:传统的预言机安全问题与重入安全问题,但是杀伤力依旧巨大。

总结

凡是过去,皆为序章。

2021年,注定是不平凡的一年。对区块链而言,各种新事物不断出现的同时,也产生了诸多的安全问题,同时带来了全新的安全挑战。

在这些种种安全事件中最亮眼的名词当属闪电贷,在上述经典攻击事件中闪电贷工具被使用了数10次。而攻击难度低,收益高的跑路和也时有发生。每年对于区块链安全所造成的损失也仍在不断增加,并且没有一丝暂缓之势。

在这些攻击中,DeFi仍是区块链安全的重灾地,由于各种项目方实现的多样性和复用代码造成的理解差异,导致了如此多的经济损失值得每一个人深思。这不是某一个人或者某一个组织的事,而是需要整体行业大众普遍安全意识的提升。

最后,希望大家在新的一年中,以此为鉴,砥砺前行。

来源:金色财经

标签:ANCEFINANFINSpore FinanceHEFI价格Aggregated FinanceWordlex Finance

比特币热门资讯
RPS2022年最新游戏联赛来袭

RPS联赛是一款基于石头剪刀布这个具有千年历史的活动去赚取NFT的游戏。该项目正在成为世界上最大的在线RPS联赛,并参与电子竞技赛事,设法与世界上最大的品牌产生费用和活动,从而在全球范围内产生社区和粉丝.

1900/1/1 0:00:00
Delphi Digital深度报告: 区块链扩容的终局

原文标题:《DelphiDigital深度报告:区块链扩容的终局》原文作者:CanGurel,DelphiDigital 报告要点: 1、单片链受限于单个节点可处理的内容,而模块化生态则越过了这一限制.

1900/1/1 0:00:00
吴说每周矿业资讯 0103-0109

1、日前,哈萨克斯坦为应对由燃料成本引发的抗议活动,该国电信提供商Kazakhtelecom关闭了全国的互联网接入,导致众多比特币矿池的哈希率下降.

1900/1/1 0:00:00
去解冻银行卡被问最多的16个问题

经常有“冻友”问郭律师,我到机关去解冻银行卡,可能会被问道哪些问题?郭律师根据以往办理解冻银行卡案件时,遇到的情况大致总结了一下,如果是你遇到类似的问题你会怎样回答呢?请把你的回答写到评论里吧:1.你说一下个人的基本情况.

1900/1/1 0:00:00
深度访谈:困在OpenSea的NFT 如何才能走出“埃及”?

写在文首: 1月5日,链上达人正式发起『达人会客厅』栏目,聚焦当下行业热点,对话活跃在一线的意见领袖,碰撞出真正有价值的内容和思考。当晚,『达人会客厅』迎来首位嘉宾——区块链“多面手”许志宏.

1900/1/1 0:00:00
V神回顾过去十年的预测和观点,有些已经实现,有些还在路上

1月1日,以太坊创始人VitalikButerin在推特上发布推特风暴,回顾了自己过去10年写的一些文章以及在这些文章中的预测和观点,并与今天进行对比。回过头再看,V神曾经的预测有对有错.

1900/1/1 0:00:00