在刚刚发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。今天,我们就2022上半年Web3黑客常用的攻击方式展开分析,看看在所有被利用的漏洞中,哪些频率最高,以及如何防范。一、上半年因漏洞造成的总损失有多少?
据成都链安鹰眼区块链态势感知平台监控显示,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,约53%的攻击方式为合约漏洞利用。通过统计,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,总损失达到了6亿4404万美元。在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。
比特币网络已位列NFT销售总额前10区块链,当前销售总额为3.31亿美元:5月29日消息,据Cryptoslam数据显示,目前比特币网络已超越BNB Chain在NFT销售总额的区块链排名中位列第10。截至发稿时,比特币网络NFT销售总额约为331,021,670美元。[2023/5/29 9:48:37]
二、哪些类型的漏洞曾导致重大损失?
2022年2月3日,Solana跨链桥项目Wormhole遭到攻击,累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞,这个漏洞允许黑客伪造sysvar帐户来铸造wETH。2022年4月30日,FeiProtocol官方的RariFusePool遭受闪电贷加重入攻击,总共造成了8034万美元的损失。本次攻击对项目方造成了无法挽回的损失,8月20号,官方表示项目正式关闭了。FeiProtocol事件回顾:
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例。攻击交易0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530攻击者地址0x6162759edad730152f0df8115c698a42e666157f攻击合约0x32075bad9050d4767018084f0cb87b3182d36c45被攻击合约0x26267e41CeCa7C8E0f143554Af707336f27Fa051#攻击流程1.攻击者先从Balancer:Vault中进行闪电贷。
前Huobi Global CEO Livio Weng加入HashKey Group担任集团首席运营官:4月13日消息,亚洲数字资产金融服务集团HashKey Group官方推特正式宣布Livio Weng(行业花名七爷)加入HashKey Group担任集团首席运营官(Group Chief Operating Officer)。
HashKey Group是亚洲最早的全球区块链布道者之一,现旗下拥有目前香港仅有的两家持香港证监会运营虚拟资产交易平台牌照的公司之一。公司近期引入Livio Weng等一系列高管团队的举动,标志着其正加速引领布局香港Web3赛道的全新阶段。[2023/4/13 14:01:37]
联合国儿童基金会使用NFT为发展中国家筹集资金:9月29日消息,联合国儿童基金会利用NFT作为筹集资金的方式,旨在帮助世界各地发展中国家的学校接入??互联网。该计划的名称被称为“Giga计划”,旨在帮助49个国家的110万所学校。[2022/9/29 6:02:47]
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
a16z Crypto推出以太坊轻客户端Helios:11月8日消息,据官网消息,a16z Crypto推出以太坊轻客户端Helios,基于Rust语言进行编写,在两秒钟内同步,不使用存储,并提供对以太坊的无需信任的访问,且其功能与全节点相同。Helios将数据从不受信任的集中式RPC提供程序转换为可验证安全的本地RPC。Helios与集中式RPC一起工作,可以在不运行完整节点的情况下验证其真实性。[2022/11/8 12:30:56]
Wemix计划推出主网3.0版本以及全额抵押稳定币USDW:6月16日消息,韩国游戏巨头Wemade旗下链游平台计划推出主网3.0版本以及全额抵押稳定币USDW。其中针对主网3.0版本将首先在7月1日推出测试网,测试网将专注于去中心化、安全和可扩展性,测试网将持续到纠正所有漏洞为止。此外,其假话发行的美元稳定币USDW将100%由链上及链下资产抵押,例如USDC及法定货币。(Cointelegraph)[2022/6/16 4:31:42]
3.归还闪电贷,将攻击所得发送到0xe39f合约中
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞,被盗资金超过28380ETH。扩展阅读:“重入漏洞”如何破?损失约8034万美元,FeiProtocol被攻击事件分析三、审计过程中最常出现的漏洞有哪些?
在审计过程中最常见出现的总体来说分为四大类:1.ERC721/ERC1155重入攻击
在通过链必验形式化验证平台检测合约时不乏存在ERC721/ERC1155标准相关的业务合约,在ERC721中,ERC1155中存在分别存在一个onERC721Received()/onERC1155Received函数用于转账通知,类似于以太坊转账的fallback()函数,在相关的业务合约中使用ERC721/ERC1155标准中的_safeMint(),_safeTransfer(),safeTransferFrom()进行铸币或者转账时都会触发转账通知函数。如果在转账的目标合约中的onERC721Received()/onERC1155Received中包含了恶意代码,就可能形成重入攻击。除此之外在相关业务函数未严格按照检查-生效-交互模式设计,上述两点共同导致了漏洞的产生。2.逻辑漏洞
1)特殊场景考虑缺失:特殊场景往往是审计最需要关注的地方,例如转账函数设计未考虑自己给自己转账导致无中生有。2)设计功能不完善:存放费用的合约没有提取功能,借贷合约不含清算功能等。3.鉴权缺失
铸币、设置合约特殊角色、设置合约参数的相关函数没有鉴权,导致三方地址也可以调用。4.价格操控
Oracle价格预言机未使用时间加权平均价格;未使用价格预言机,直接使用合约中两种代币的余额比例作为价格等。四、实际被利用的漏洞有哪些?哪些漏洞能在审计阶段发现?
根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。通过成都链安链必验-智能合约形式化验证平台检测和安全专家人工检测审计,以上漏洞均能在审计阶段被发现,并且可由安全专家在做出安全评估后提出相关安全修补建议供客户作为修复参考。
通过链必验工具扫描出某合约存在重入漏洞
从最初的Tornado制裁事件,以及配合美国制裁的各大DeFi协议,现在的争论是,以太坊PoS改造后,中心化质押服务是否最终会开始审核具体交易?社区也在争论BTC、ETH或BeaconChain是否更去中心化和抗审查.
1900/1/1 0:00:00加密世界总能给我们带来“惊喜”。上周,Nomad遭受了多方攻击,300个地址利用漏洞从跨链桥上提取了1.9亿美元的资金。但在被攻击后的几天里,41个地址返回了约3600万美元价值的资金.
1900/1/1 0:00:00TL;DR 并不是所有区块链都会造成巨大的能源消耗,人们往往认为共识机制是纯粹的资源浪费;主流的共识机制有Pow和PoS,两者是实现路径完全不同,PoS对比PoW的能源消耗通常能节省99%左右.
1900/1/1 0:00:00NFT市场正处于最寒冷的时刻。DuneAnalytics数据显示,头部交易平台OpenSea的每日交易量已降至800万美元左右,不足巅峰期数据的2%.
1900/1/1 0:00:00Acala遭黑客攻击增发超12亿稳定币AUSD、Solana生态钱包大面积被盗……不夸张地说,区块链2022年这大半年一半热点都是安全问题贡献的.
1900/1/1 0:00:00「每周编辑精选」是Odaily星球日报的一档“功能性”栏目。星球日报在每周覆盖大量即时资讯的基础上,也会发布许多优质的深度分析内容,但它们也许会藏在信息流和热点新闻中,与你擦肩而过.
1900/1/1 0:00:00