自一年前以来,Solana生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),这些黑客攻击总共造成了近4亿美元的损失。重要的是,这些黑客攻击(SlopeWallet除外)大多是由于智能合约漏洞,即链上协议的编码缺陷:Wormhole:3.2亿美元被盗,原因是缺少帐户验证;CashioApp:由于缺少账户验证,导致5000万美元被盗;CremaFinance:1000万美元被盗(返还800万美元),原因是缺少账户验证;Nirvana:通过闪贷操纵价格,350万美元被盗;Slope钱包:由于助记词被泄露,400万美元被盗。在本文中,我们回顾了这些攻击的本质,并旨在找到有效的解决方案,以防止未来发生此类攻击。这些黑客有什么共同之处?
ParaSpace已暂停12笔Azuki抵押清算,债务金额接近46万美元:7月3日消息,据官方平台页面显示,NFT借贷协议ParaSpace目前已暂停12笔Azuki相关抵押借贷的清算,全部债务金额接近46万美元。[2023/7/4 22:15:57]
1.几乎所有黑客(SlopeWallet除外)都精心设计了一个或多个假账户。Wormhole:黑客创建了两个假的sysvar帐户来跳过密钥验证。CashioApp:黑客创建了8个假账户来通过有效性检查。CremaFinance:黑客创建了一个虚假的帐户,并使用闪贷窃取费用。Nirvana:黑客精心制作了一个闪贷账户来操纵代币价格。SlopeWallet:黑客通过泄露的助记词直接获取了用户钱包的私钥。2.所有黑客攻击都涉及多次交易Wormhole:整个攻击用了6个交易来完成:第一个tx创建第一个假sysvar帐户,最后一个tx调用complete_wrapped。CashioApp:整个攻击从创建所有的假账户到发送最后的攻击交易,期间进行了超过10笔的交易。CremaFinance:每次攻击至少需要进行3笔交易;创建一个虚假的帐户,部署一个闪贷程序,发起窃取费用的攻击;此外,黑客还多次发起10+笔闪贷交易,从不同的代币池中进行窃取。Nirvana:攻击至少进行了2笔交易;部署一个精心设计的闪电贷款接收程序,并调用Solend闪贷。SlopeWallet:整个攻击抽干了9000多个钱包,涉及9000多个SOL或SPL代币转账交易。3.所有攻击至少持续几分钟(几个小时甚至几天)Wormhole:从创建第一个假sysvar账户的tx到完成转账的tx之间的时间跨度为6个小时。CashioApp:黑客的第一个假账户是在交易发生前5天创建的。CremaFinance:这个假账户是在第一次攻击前一个多小时创建的。Nirvana:两个交易(部署闪贷接收方和调用Solend闪贷)之间的时间窗口跨度为4分钟。Slope钱包:广泛的攻击持续至少8个小时。4.最大的损失是由于缺少帐户验证前三次黑客攻击(Wormhole、CashioApp和CremaFinance)的根源在于缺少正确的账户验证。无论是否是巧合,这些攻击都造成了很大的经济损失。5.闪贷牵涉到两次黑客攻击CremaFinance和Nirvana的黑客攻击都涉及直接闪贷交易,而且都是通过Solend进行的。在CremaFinance,闪贷被用来引导存款流动性。在Nirvana中,其内部价格预言机被闪贷操纵。如何防止未来类似的黑客攻击?
“无聊猿”BAYC过去24小时交易额近4000万美元:金色财经报道,或因Otherside铸币活动,“无聊猿”BAYC过去24小时交易额近4000万美元,本文撰写时为 3945 万美元,24小时交易额涨幅高达86.11%。此外,Otherside铸币活动期间BAYC地板价一度升至158.88 ETH历史最高点,随着活动结束,目前BAYC地板价已回落至154 ETH,24小时跌幅为0.76%。[2022/5/1 2:43:39]
根据上面总结的这些攻击的特点,我们推荐以下的安全措施:1.预部署:验证智能合约的所有输入帐户
在编写Solana智能合约时,要时刻牢记所有输入都可能被攻击者伪造,包括所有账户和外部程序(即用户钱包账户、PDA账户和其他智能合约)。Solana的编程模型将代码和数据解耦,因此程序中使用的所有帐户都必须作为数据输入传递。在几乎所有情况下,都应该验证:账户所有权账户签名者帐户之间的关系(或逻辑约束)根据协议逻辑,还应该检查:如果任何内部价格预言机操纵闪电贷款(与大量转移),需增加约束以防止差异。如果可以计算任何异常状态(如费用或奖励),需添加约束以防止差异。2.部署后:主动使用实时威胁监控
比特币近三天全网平均算力降至103EH/s,据历史高点下降近43%:据欧科云链 OKLink 数据显示,比特币及以太坊近一周算力持续下降。比特币过去三天全网平均算力仅为 103.03 EH/s,据今年 5 月算力历史高点 180EH/s 已下降近 43%。以太坊过去三天全网算力 502.98 TH/s,距此前全网算力高点下降超 12%。[2021/6/23 23:59:35]
由于所有这些黑客攻击都涉及跨越至少几分钟或几小时的多个交易,因此可以提前主动检测可疑交易,并在中间遏制攻击。这是Solana的独特属性,它允许链上威胁监控技术作为一种防御解决方案,来帮助有效地预防和阻止安全攻击:原则上,威胁监控解决方案可能会有帮助:监控SOL或SPL代币的大规模转移;监控针对你的智能合约的闪贷交易;通过升级依赖程序来监控潜在的漏洞;监控异常状态(例如,计算费用);监控往返交易事件例如deposit-claim-withdraw在单个tx中);监控来自同一签名者的重复交易;任何针对协议特定属性的自定义监控。如果任何被监控的交易导致了在随后的黑客攻击中使用的异常状态,及早发现它们可能有助于阻止黑客攻击。原地址
动态 | 深圳区块链企业近4000家 首个市级区块链协会挂牌:深圳市目前有区块链相关企业近4000家,该市首个市级区块链协会--深圳市信息服务业区块链协会10日揭牌成立,协会首批会员单位有183家。《深圳市区块链行业自律公约》同时发布。
深圳市信息服务业区块链协会会长郑定向表示,深圳当前正处于建设粤港澳大湾区和建设中国特色社会主义先行示范区“双区驱动”的重大历史发展机遇期,发展区块链产业,推进区块链信息服务应用,有着良好的技术优势和创新环境。(中国新闻网)[2020/1/12]
没有什么是绝对的,我们必须从不同的角度来评估以太坊PoS与PoW的优劣。但如果我们用安全性与去中心化进行比较,就像是拿苹果与橙子进行比较一样,讨论将毫无意义.
1900/1/1 0:00:00BNB链于2020年9月推出,旨在为日益昂贵的以太坊主网提供替代智能合约平台。它是一个独立的区块链,采用权益证明(PoSA)共识机制。该链还与以太坊虚拟机(EVM)兼容,这意味着它可以利用促进其巨大增长的预先存在的以太坊工具.
1900/1/1 0:00:00以太坊开发者大会Devcon6将于2022年10月11日至14日在哥伦比亚首都波哥大举行。本次会议由以太坊基金会主办,旨在通过为web3社区提供教育,加深社区对去中心化系统的了解。同时将去中心化协议,工具,和文化传递到世界的各个角落.
1900/1/1 0:00:00作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 一、整体概述 DuneAnalytics数据显示,以太坊域名服务ENS9月新注册域名数达437,365个,创月度最高注册域名数纪录。此外,ENS注册总域名数达2,642,046个.
1900/1/1 0:00:0010月10日,VitalikButerin在哥伦比亚首都波哥大市举行的ETHLatam活动会场现身.
1900/1/1 0:00:00本报告着眼于2022年第三季度以太坊协议和生态系统的主要指标,分为四类:协议、DeFi、NFT和第2层。然后我们将继续讨论生态系统亮点和展望.
1900/1/1 0:00:00