宇宙链 宇宙链
Ctrl+D收藏宇宙链

独家 | 跨链攻击给业界带来了新的安全挑战

作者:

时间:1900/1/1 0:00:00

从6月底到现在,一个月不到的时间,业界发生了多起较为重大的攻击事件:

6月29日,THORChain受到恶意攻击,损失估计达14万美元。

7月3日,跨链项目Chainswap合约遭到攻击,部分用户代币被主动从与 ChainSwap 交互的钱包中取出,总损失约为80万美元,跨链桥暂停使用。

7月11日,跨链项目Chainswap发布推文表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取,总损失价值400万美元。

7月12日,跨链项目Anyswap新推出的V3跨链流动性池也遭到黑客攻击,总计损失超过787万美元。

7月16日,THORChain再次受到攻击,损失约为1.3万ETH,价值约为2500万美元。

独家 | XRP稳步上涨 后市还有空间:分析师K神表示,周线突破后,和其余主流币一样,这两周迎来反弹行情,价格从突破点到目前涨幅接近20%,走势相对弱于其余主流币,上方周线强压在前期平台支撑0.3美元附近,周线MACD柱状图稳步上涨,两线金叉向上发散,成交量温和放量,大方向依旧有向上的势头。日线级别,自去年12月中旬触底至目前涨至0.28美元附近,走势整体运行在一个上升通道内,站稳大趋势通道上沿后,这两天开始小幅放量上攻,目前价格刚好触及上升通道上边线,整体走势健康,不破通道继续持币为主。[2020/2/5]

从上面这些案例,我们明显发现这些攻击事件表现出四个鲜明的特点:

1.都是针对跨链项目展开的攻击。

2.多个项目在一个月内反复受到攻击。

独家 | 链豆资本CEO杜佳桐:USDT一旦被取缔或能加快牛市到来的速度:金色财经独家采访到链豆资本CEO杜佳桐,就今日USDT事件他表示,USDT的暴跌造成伪熊转牛的现象,真正的春天还没到来,USDT一旦被取缔,或许可以给币圈带来新的血液,加快牛市到来的速度。[2018/10/15]

3.项目因攻击受到的损失金额越来越大。

4.不仅被攻击项目本身的运作受到影响,而且部署在跨链项目的其它项目方的运作也受到影响。

纵观这些被攻击的项目,绝大多数都是因为在资产跨链的过程中,缺乏对资产、签名等的验证导致黑客抓住了其中的漏洞对项目进行攻击。

这些问题中有一类(比如通过相同的签名能够反推出私钥)是圈内早已知晓的问题,但在跨链这个新场景下,缺乏先例,导致开发团队可能会因为疏忽而遗漏对这类问题的排查。另一类则是因为跨链应用涉及的场景复杂导致团队在代码逻辑的设计中稍有不慎就会遗漏一些对关键点的检查。

独家 | ImageMagick存在0day漏洞:降维安全实验室(johnwick.io)观测到通用性图像处理软件ImageMagick被爆0day漏洞。

可以用于远程命令执行,甚至可以本地提权至root权限,且截至发稿前,官方尚未发布补丁。

此漏洞风险等级极高。

ImageMagick是一款被广泛使用的图像处理软件,有相当多网站使用它来进行图像处理。

同时它被Perl,C++,PHP,python,java,ruby等等语言支持,许多第三方图像处理的

模块或支持库均使用ImageMagick实现。此次出现漏洞原理为ImageMagick底层支持库

GhostScript存在沙箱绕过缺陷。

我们注意到,交易所的kyc验证流程,涉及到图像处理,非常容易受到此漏洞攻击利用。

降维安全实验室(johnwick.io)建议通过卸载ImageMagick底层支持库GhostScript

来缓解本漏洞。

卸载方法:sudo apt-get remove ghostscript[2018/8/22]

任何一个新应用登场,项目方都要必须面对这样的挑战。

金色独家 肖磊:SEC想把加密货币裁定为证券的目的在于限制ICO:

今年,美国证券交易委员会(SEC)开始大范围的对加密货币进行调查,判断其是否应该视为证券进行监管。5月7,有消息称SEC与CTFC开会讨论了ETH是否为证券的问题。6月15日,SEC官员William Hinman公开表示BTC与ETH不是证券。但是,根据Howey Test(豪威测试),当前市值靠前的其他几大加密货币,比如瑞波币(XRP)等依然有可能被SEC认定为证券。

金色财经就加密货币如果被裁定为证券所产生的影响,对区块链资深市场分析师肖磊进行了采访。肖磊认为,如果定性为证券,首先就面临着从发行、承销、投资人资格审核、增持减持、事后监管等方面,纳入到证券法的监管范畴,这个对这类数字货币的影响是巨大,因为在没有赋予任何受益权的情况下,还要面临如此严厉的监管,很多投资者可能就会跑掉。但我觉得完全将除比特币和以太币之外的数字货币定性为证券的可行性也存疑,因为这是一种新型的资产形态,需要新的监管逻辑。目前证交会想把数字货币定义为证券的目的,实际上很简单,就是为了限制ICO。因为目前看,没有人能保证ICO本身是出于什么目的,但确实是一种公开募资的行为,这一点让监管机构非常头疼,因此才想直接把这种代币发行归类到证券。

所以我个人认为对一些中心化比较明显的币,SEC的政策会有很大影响,但对于一些中心化较弱的币,反而可能是一个利好,因此一旦把诸多币定性为证券,监管加强,很多资金会流入到一些没有被定义为证券的币种上。[2018/6/19]

此外,跨链项目受攻击还给业界带来了一个新的安全挑战:以往项目受到攻击时,受损失的仅仅是项目方自己;而在跨链领域,由于跨链应用本身成为了平台,它会承载其它的应用,因此一旦跨链应用本身受到攻击,则连带受到损失的就不仅仅是跨链项目本身而且还包括跨链应用承载的项目了。

在这些攻击案例中,Chainswap第二次受到攻击时,就导致部署在上面的超过20个项目连带受到损失并不得不重新部署合约。恐怕这一点是此前很多项目方都没有意识到的新动向和新问题。

这说明安全隐患涉及的问题无论在广度还是在深度上都上升到了一个前所未有的高度。

我们相信这个问题只会越来越显现:因为区块链生态的丰富必然导致跨链应用成为刚需,成为一个无法阻挡的趋势。这意味着未来跨链应用只会越来越多,同时也意味着资产跨链也会越来越频繁,因此未来的项目方也在部署应用时不可能仅仅只考虑某个区块链而要考虑应用的跨链场景。由此带来的状况就是安全问题必然越来越突出,攻防矛盾越来越尖锐。

面对这个新形势,从应用的角度看:不仅跨链应用项目方本身要高度重视项目代码的安全,对代码的审查要比以往更加重视,而且部署在跨链应用上的第三方项目方未来除了注重项目自身的安全以外也也必须重视跨链应用的安全。

从代码的角度看:跨链项目的代码为了因应新的安全挑战必然越来越复杂;部署在跨链应用上的项目也必然会越来越复杂,比如要增加处理紧急状况的功能和接口,以便在事发的第一时间及时提取其部署在不同区块链上的流动性。

从项目方的角度看:未来面对更加复杂的应用场景和更高的代码难度,对代码的审计必然要更加重视。

从用户的角度看:一定要更加慎重地对自己投资或者有意向投资的项目进行详细的审查,重点审阅项目方的审计报告。

从审计公司的角度看:面对越来越复杂的系统,审计的难度也将越来越大,审计的要求也会越来越高。对此作为从业者的灵踪安全不仅将一如既往地在审计过程中做好代码的审计,更已经准备好全面的保驾护航方案,随时应对项目方受到攻击后在事发的第一时间为项目方提供完备的补救措施和全面的改进方案。

关于灵踪安全:

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

作者:

灵踪安全CEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。

标签:MAG区块链ICKSECReimagined Finance区块链币圈币种知识大全KICKS币H2O Securities

币赢交易所热门资讯
监管 DeFi?FATF 最新合规精神 你需要了解下

对于加密企业 / 团队来说,监管的收紧可能会导致严厉处罚,包括罚款、限制等。为避免这种情况,必须及时做出调整,遵守 FATF (反金融行动特别工作组)的规定.

1900/1/1 0:00:00
Uniswap V3的主动做市方案进展如何?

为什么做市商很重要? 金融业中的做市商总是比x*y=k的方程式意味的更多。在传统的中央限价订单簿(CLOB)市场中,做市商专门负责提交订单簿的买入和卖出.

1900/1/1 0:00:00
去中心化预测市场的复苏

早在2014年,当第一个区块链平台Augur推出时,预测市场就被吹捧为最佳区块链用例之一。从那时起,大多数早期平台已经消失,其原因如下: 1)糟糕的可用性/ UX,  2)高昂的以太坊gas费,3)糟糕的流动性.

1900/1/1 0:00:00
加密货币监管环境系列:美国篇

本文是Luxor对特定区域加密货币监管环境研究系列的第一篇文章。此系列文章将讨论不同国家加密货币产业的立法、政策、税收趋势,着重阐述该国加密货币矿业的发展.

1900/1/1 0:00:00
Layer2来袭:zkTube如何联动以太坊生态发挥核聚变效应

7月22日14:00,zkTube全球营销顾问Moayad Hamdouna做客金色微访谈第30期直播间,本次直播由金色财经花花主持,主题为“Layer2来袭:zkTube如何联动以太坊生态发挥核聚变效应”.

1900/1/1 0:00:00
特斯拉投资比特币的15亿美元纸面收益化为乌有

据美国《财富》杂志估计,随着比特币价格跌破3万美元,特斯拉投资比特币一度收获的近15亿美元纸面收益已经化为乌有.

1900/1/1 0:00:00