宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > DAI > 正文

黑客攻同源漏洞 「团灭」Fork协议

作者:

时间:1900/1/1 0:00:00

2021年5月,加密资产市场颇为动荡,BTC从5万美元上方最低跌至29000美元,几近腰斩,大多数加密资产最大跌幅超过50%。

二级市场巨震之下,链上生态也不太平。5月份,DeFi市场发生至少13起黑客攻击事件,多集中在币安智能链(BSC)上,折损资金达到2.7亿美元,超过了2020年所有DeFi安全事件的资产损失。BSC官方认为,一个有组织的黑客团队盯上了BSC。

为何BSC链上项目集中失窃?黑客又如何做到快速捕捉项目漏洞?区块链安全公司PeckShield发现,很多被攻击的项目都存在同源漏洞。

比如,在BSC收益聚合器PancakeBunny被攻击后,Fork(分叉)自PancakeBunny的AutoShark和Merlin Labs在接下来的一周内接连失窃;而被攻击的BurgerSwap和JulSwap,代码都是Fork自Uniswap,但它们似乎在进行改动时产生了漏洞。

PeckShield相关安全负责人告诉蜂巢财经,这些Fork出的协议被攻击主要是在没有完全理解原协议背后的逻辑下,进行微创新,导致一个小的更新或小的组合就可能产生漏洞。

ParaSpace官推:此前从黑客攻击中截流的资金实际被创始人Yubo控制:5月10日消息,Paraspace 团队在推特上表示,通过链上数据分析显示,此前在黑客攻击中截留的 2909 枚以太坊被 ruanyubo.eth 和 paraspaceinsurance.eth 地址控制,而这两个地址实际由 Paraspace 创始人 Yubo 控制,且黑客攻击以来已有价值 100 万美元的代币流出到其他钱包以及 CEX 和 Circle。剩余资金已无法弥补协议此前因黑客攻击导致的亏空。

团队称,此前在为 Paraspace 建立法人实体时因 Yubo 未正面回应财务方面问题而发现了资金被挪用。团队目前将 Yubo 地址移出了项目多签地址,并移除了 Yubo 的访问权限。目前团队要求 Yubo 将剩余的资金转入协议多签地址,但 Yubo 拒绝与之沟通。

Paraspace 团队表示,目前团队有能力填补协议的财务漏洞,将于今晚 20:00 进行直播分享事件的最新进展以及未来的恢复工作。[2023/5/10 14:55:04]

屡次发生的安全事件再度给协议开发者提了个醒,在进行DeFi的模式创新时,不应忽视底层代码的安全性。

本周被黑客攻击的加密项目Nomad和Slope曾获Circle投资:金色财经消息,稳定币发行商Circle旗下风险投资公司曾参投本周被黑客攻击的两个加密项目,Nomad和Slope,Circle在2月参与了Slope的800万美元A轮融资,以及4月份Nomad的2240万美元的种子轮融资。本周早些时候,跨链桥Nomad近2亿美元资金被盗走,Solana的600万美元漏洞利用可能与Slope钱包有关。Circle发言人表示,Circle与Nomad和Slope的关系并未对公司造成任何财务损失。[2022/8/5 12:03:41]

屋漏偏逢连夜雨。在加密资产市场跌势不止时,链上协议的安全事故频发。

5月30日,BSC上的稳定币兑换协议Belt Finance遭遇闪电贷攻击,损失620万美元。根据区块链安全公司PeckShield的追踪,此次攻击源于攻击者在PancakaSwap完成8笔闪电贷后,通过重复买入卖出BUSD,利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。

DEX聚合协议Li.Finance遭黑客攻击,大部分受影响钱包已得到补偿:金色财经消息,DEX聚合协议Li.Finance宣布其智能合约存在潜在漏洞,已停用所有交易功能,现该漏洞已修复。派盾在社交网站上发文表示Li.Finance的漏洞利用者钱包持有约200枚ETH。Li.Finance在不到18小时内补偿了大多数受影响的用户。目前在29个受影响的钱包中,Li.Finance已经偿还了25个(86%),总金额为8万美元。对于剩下的4个钱包(价值约51.7万美元),Li.Finance提议将损失的资金转化为对LI.FI的天使投资。若该提议遭到拒绝,Li.Finance将继续全额赔偿受影响的用户。[2022/3/21 14:08:44]

被攻击后,Belt Finance就闪电贷攻击事件发推致歉并发表报告,其表示将进行进一步审计,并将在48小时内发布用户补偿计划。

受此影响,Belt Finance治理代币BELT大幅下跌,从28日的58美元高点跌至27美元,短期跌幅达到53.44%。

SHIB社区为被黑客攻击的BitMart提供援助:金色财经报道,就在BitMart因黑客事件陷入困境之时,SHIB社区伸出援助之手。据悉,黑客此前已经在以太坊和币安智能链上窃取了近9000亿个ShibaInu代币以及20多个其他类型的代币。根据SHIB官方推特称,ShibaSwapDEX背后的团队将帮助BitMart审查潜在的安全威胁,并敦促社区谨慎行事。除了SHIB社区之外,有消息称火币也提供了协助,冻结了与该事件有关的交易。[2021/12/6 12:53:55]

这已是5月份第12个被攻击的BSC链上项目。蜂巢财经统计,自5月2日以来,Spartan Protocol、Value DeFi、BearnFi、Venus、PancakeBunny等项目接连失窃,共计损失2.7亿美元资金,Value DeFi更是两次遭攻击。

BSC被攻击项目一览

报告:区块链相关黑客攻击在2020年有所下降:根据AtlasVPN的一份报告显示,在2020年期间,加密货币和区块链相关的黑客攻击数量一直在减少。与2019年同期相比,2020年上半年黑客攻击次数下降了3倍多。数据显示,2019年是区块链黑客攻击数量巨大的一年,上半年他们进行了94次攻击,而在2020年上半年共有31次。[2020/11/2 11:27:57]

2.7亿美元的资产损失已经超过了2020年所有DeFi安全事件的损失。根据此前PeckShield发布的数据,2020年DeFi安全事件达到60起,损失逾2.5亿美元。

短短一个月时间,BSC链上连续不断遭到黑客光顾,显得颇为蹊跷。压力之下,BSC官方不久前在社交平台发文称,最近已经接连发生超过8起针对BSC链上项目的闪电贷攻击,「我们认为现在有一个有组织的黑客团队盯上了BSC。」

BSC官方呼吁所有DApp防范风险,建议链上项目与审计公司合作进行健康检查,如果是分叉项目,需反复检查相对原始版本进行的更改;采取必要的风险控制措施,实时主动监控异常情况,一旦出现异常及时暂停协议;制定应急计划,以防出现最坏的情况;如果条件允许可设定漏洞赏金计划。

的确,复盘12起安全事件,闪电贷攻击是黑客最常用的手段。Spartan Protocol、PancakeBunny、Bogged Finance、BurgerSwap、JulSwap等项目都是闪电贷攻击的受害者。

需要明确的是,闪电贷本身并非是一种攻击手段,它只是一种高效的借贷模式,能够放大任何人的本金。正如Chainlink CMO Adelyn Zhou所言,「闪电贷不会在DeFi内部产生漏洞——它只是揭示了已经存在的漏洞。」

在DeFi经过了高速发展后,BSC上仍有如此多项目在短时间内暴露出漏洞,令链上用户感到心惊。不禁要问,为什么这些安全事件集中爆发在BSC链上?又为何黑客能够快速找到这么多项目的漏洞并实施攻击?

今年以来,BSC异军突起,作为以太坊的侧链,它凭借更高效的交易处理效率和低廉的手续费,吸引了大量的项目和链上玩家入驻,巅峰时期,其链上总锁仓价值超过344亿美元,是仅次于以太坊的第二大DeFi集结地。

BSC生态的快速崛起,抢占链上先发红利,大量项目扎堆部署。由于此前,以太坊上大多项目已经开源,不少开发者采用了Uniswap、Curve等成熟项目的开源代码,经过简单修改后便在BSC上快速上架。而这种匆忙地Fork(分叉)成了BSC链上项目成批量被黑客攻击的隐患。

据PeckShield披露,近期被攻击的BurgerSwap和JulSwap,代码都是Fork自Uniswap。PeckShield指出,「但它们似乎并没有完全理解Uniswap背后的逻辑。」

根据事发后BurgerSwap的报告,攻击者自发「假币」,随后与协议的原生代币BURGER形成交易对,改变了后者的价格。很显然,分叉自Uniswap的BurgerSwap在某些方面不够成熟,被黑客钻了空子。

Fork协议的来源不仅是以太坊,BSC链上一些早期协议应用也被后来者Fork上链。AutoShark和Merlin Labs两个聚合器协议,皆因Fork了PancakeBunny被黑客洗劫。从时间线来看,5月20日,PancakeBunny遭到闪电贷攻击,此次攻击源于攻击者利用该协议操纵了LP Token BNB-BUNNY和BNB-BUSDT的价格。

看到PancakeBunny被攻击后,AutoShark发文强调自己的安全性,表示其做了4次代码审计,其中2次正在进行中。但打脸接踵而至,仅仅4天后,AutoShark遭遇闪电贷攻击,其代币SHARK瞬间下跌99%。根据PeckShield的分析,此次攻击手法与PancakeBunny被攻击的手段相似。

被打脸的还有Merlin Labs,在被攻击前,它也曾发文表示已经反复执行代码的审核,为潜在的可能性采取了额外的预防措施。但5月26日,黑客就「乘胜追击」,洗劫了Merlin Labs。

PeckShield认为,这是攻击PancakeBunny后的模仿案,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在Fork出的协议上重复试验,就能捞上可观的一笔。「Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为『顽固的韭菜地』 。」

此外,在Belt Finance被攻击的案例中,黑客利用了bEllipsisBUSD策略余额计算中的漏洞,操纵了beltBUSD的价格,而Ellipsis则Fork自以太坊知名协议Curve。

PeckShield相关安全负责人告诉蜂巢财经,这些Fork的协议被攻击主要是在没有完全理解原协议背后的逻辑,进行微创新,导致一个小的更新或小的组合就可能产生漏洞。

该负责人表示,从已知的漏洞下手是攻击者对尚处发展阶段的DeFi领域常用的「觅食」方法。对于项目方来说,对DeFi 协议安全的重视,不是嘴上说说而已,而是要做到「吾日三省代码」:协议上线前有没有做静态审计?其他协议遭到攻击后,有没有自查代码,检查是否出现类似漏洞?交互的协议有没有安全风险?

从上述案例来看,BSC链上一批项目集中失窃,主要是黑客找到了多个协议的同源漏洞,只需模仿攻击手段,就能「举一反三」,在短时间内完成对多个项目的剽窃。

屡次发生的安全事件也给协议开发者提了个醒,在进行DeFi的模式创新时,不应忽视底层代码的安全性。

对此,PeckShield建议,新合约上线前要进行审计,也需要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞。同时要设计?定的风控熔断机制,引?第三?安全公司的威胁感知情报和数据态势情报服务,完善防御系统。「所有DeFi协议都存在变数,即使?个协议进行了多次审计,?个小的更新也会使审计变得无用,因此即使?个小的更新都要重新进行审计。」

标签:ANCBSCDEFEFIPterosaur FinanceBscviewStingDefiWEFIN

DAI热门资讯
晚间必读5篇 | “鲸鱼”在这次暴跌中趁机抄底7.7万枚比特币

1.观点:以太坊超过比特币是不可避免的虽然对于某些人来说,似乎不可能设想比特币让出宝座的情况,但事实是,在任何公链的三个最重要的基本链上指标上,已经可以说以太坊超越了比特币.

1900/1/1 0:00:00
暴跌给DeFi带来大考验 或预示以太坊、波卡等的多链格局的未来走向

519大惨案你一定还历历在目,是个圈内人就很难忘记这一天,毕竟这是可以与312“齐名”的史诗级瀑布。你可能也听说过XVS在519当天遭遇的尴尬,XVS遭遇了“史诗级”清算,而这场清算,本质上来说与519当天的暴跌几乎毫无关系.

1900/1/1 0:00:00
金色观察 | ETH价格上涨11%后 DeFi代币市场回暖

加密市场经历过周末行情低迷后,有所回暖,ETH价格则有较大幅度的上涨。在过去24小时内ETH价格上涨了11%,达到2640美元高点。上周涨幅为24%。 ETH上涨也带动了一些使用其智能合约代币价格的上升.

1900/1/1 0:00:00
中币行情看点:推特CEO说 如有必要愿意为了比特币事业离开Twitter和Square

本文由中币(ZB)研究院原创编辑 热点摘要: 1.Casa联合创始人:每个国家最终都将承认比特币就是金钱;2.推特CEO:如有必要,愿意为了比特币事业离开Twitter和Square;3.黑客组织Anonymous盯上马斯克.

1900/1/1 0:00:00
科普:都说区块链是未来 到底有哪些应用场景?

区块链已经火热了好几年,产业区块链被认为是区块链目前最大的价值所在,但区块链将在哪些领域起作用?怎么起作用呢?今天,我们就来聊一聊区块链技术的三大应用场景。 确权、授权、维权 不难发现,微版权时代已到来.

1900/1/1 0:00:00
国家网信办:加大对区块链平台及衍生平台应用的监测力度

6月7日,国家网信办组织召开2021年国家打击治理跨境网络工作组专题会议,分析当前跨境网络面临的新形势新任务,研究部署下阶段重点工作。中央网信办副主任、国家网信办副主任牛一兵出席会议并讲话.

1900/1/1 0:00:00