“如果那东西看上去像鸭子,走起路来也像鸭子,我们就说它是鸭子。”这句来自某位政客所说的话被许多人奉为圭臬。如同我们每一个人,很多时候我们对外界释放出的信息都会再通过外界评价反馈和影响到自身。这个道理不仅仅应用于某一个特殊领域,相反,它在所有事情上都可以找到痕迹。
区块链发展日久,但对于很多人来说,它依旧是一个暗藏着局、跑路、黑客的法外之地。人们心中的认知很难被其他信息所影响,当然,这也的确需要归因于目前区块链项目所受的攻击愈发猛烈。在铺天盖地的黑客事件中,想要扭转人们对于区块链的不安和抗拒只有依靠提高区块链的安全标准,建立安全健康的区块链生态。同理,当整个区块链不再受负面新闻所缠身时,这个“鸭子”也会变成有利的那一只。
国海证券:估计2021年NFT市场规模超过200亿美元:3月13日消息,海证券发布《元宇宙行业专题报告:NFT的本质思考及破圈之路》指出,估计2021年NFT市场规模超过200亿美元,用户体量和市场供给量在百万级以上。
NFT市场结构:品类上,以艺术和收藏品为主,游戏和元宇宙交易量也较大;投资者结构上,巨鲸占持仓市值的20%以上。NFT的价值唯有通过赋能行业得以体现。就体育藏家而言:视频比照片好、区块链收藏更透明和安全、收藏品交易成本更低、更容易产生社交关系、部分项目允许NFT持有者享有俱乐部部分决策权 ;就职业体育联盟和运动员而言:NFT带来新的增强粉丝参与的方式,成为俱乐部生态的补充,能够进一步放大明星的品牌价值;就项目开发者(例如Dapper Labs)而言:借助庞大的体育粉丝群体实现向主流人群的突破。[2022/3/14 13:54:24]
经统计,2020年传统领域的网站及软件安全率达到了97.5%,其中损失最大的一笔资产仅仅是接近5万人民币。而区块链领域内,智能合约及相关节点的安全率只有89%,且损失往往处于600万至6,000万人民币之间,这是需要几个大卡车都运不下的天价资产。一次来自于区块链领域的损失资产,也许就是传统网络损失资产的千倍以上。因此,CertiK安全专家盘点了2020年较为典型的21个区块链项目,分析了其受攻击的原因和黑客使用的攻击方式,以作为业内安全事故警示的参考。在分析的这23个区块链项目中,其中实现逻辑错误所导致的攻击事件8起,价格预言机操纵事件4起,项目方欺诈事件3起,重入攻击事件3起,闪电贷攻击事件2起,钱包攻击事件1起。这些安全事故项目列表如下:
GameFi玩家社交平台LAPLAP宣布新产品将于2022年Q1上线:1月10日消息,东南亚 GameFi 玩家社交平台 LAPLAP 泰国社区在曼谷举办新年酒会,LAPLAP 亚太区负责人 Zoi.Z 宣布新产品将在 2022 年 Q1 正式上线。据悉,LAPLAP 曾与 OKLink 达成战略合作,双方在 GameFi 数据上正在进行深度探索。GameFi 玩家社交平台 Laplap 致力于通过 Publish-to-earn(边分发边赚)的方式带领更多玩家发现和抢先参与好的区块链游戏,将 GameFi 和 SocialFi 完整融合,推动建设更加紧密联系的 Web3 玩家生态系统和塑造元宇宙时代的游戏文化。[2022/1/10 8:39:02]
表1:2020年区块链重大事故项目列表
图一:2020年区块链重大事故项目损失图表一和图一展示了2020年区块链重大事故项目损失情况。
图二:攻击类型损失图
2021年Q1加密货币融资平均规模达1270万美元,为2020年的两倍:2021年仅Q1金额超过5千万美元的加密货币融资笔数就达到了2020年全年的两倍。2020年,过亿美元的风投仅有四笔,在5千万到1亿美元间的共有3笔。2021年Q1,过亿美元的融资共有7笔,分别来自BlockFi、NYDIG、Dapper Labs、FireBlocks、Blockchain.com,其中FireBlocks和Blockchain.com各有两笔;另有7笔融资规模介于5千万美元和1亿美元间。这些大规模融资交易(每笔5千万美元以上)将加密货币风投交易平均规模从2020年的570万美元直接拉到了如今的1270万美元。(The Block)[2021/4/12 20:10:08]
2020年重大攻击事件明细
CoverProtocol
2020年12月28日晚,CertiK安全验证团队发现CoverProtocol发生代币无限增发漏洞攻击。攻击者通过反复对项目智能合约进行质押和取回操作,触发其中包含铸造代币的操作,对Cover代币进行无限增发,导致Cover代币价格崩盘。最终损失共计约2850万人民币。WarpFinance
2020年12月17日,攻击者利用WarpFinance项目使用的oracle计算质押的LP代币资产价格错误的漏洞,从Warpfinance项目中获利约1462枚ETH代币,总价值约615万人民币。此外,攻击者还mint了价值大约3,990万人民币的DAI-ETHLPshare,约650万人民币的获利流入了uniswap和sushiswap的LP中。在本次攻击中,Warpfinance遭受的损失大约为5,000万人民币。Compounder.Finance
2021年国家邮政局将推广应用区块链等关键共性技术:为了助推快递业高质量发展,提升服务市场能力,2021年国家邮政局还将推广应用大数据、云计算、区块链等关键共性技术以及北斗导航系统等先进技术装备,在海南自贸港等地开展数字邮政快递创新试点示范工程。(经济日报)[2021/1/20 16:34:14]
2020年12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目智能合约发生数笔大量代币的交易。经过仔细验证得知这些交易为内部操作,项目拥有者将大量数额代币转移到自己的账户中。经过统计,最终共损失价值约7,610万人民币的代币。SushiSwap
2020年11月30日,Sushiswap项目被发现遭到恶意流动性提供者的攻击,攻击者利用该项目SushiMaker合约中的漏洞进行攻击,最终获利约10万人民币。Compound
2020年11月26日,Compound项目发生价格预言机代币价格错误。其所采用的Coinbase价格预言机对DAI价格出现巨大波动,导致约58,250万人民币的资产被清算。PickleFinance
2020年11月22日凌晨2点37分,CertiK安全验证团队通过Skynet发现PickleFinance项目遭到攻击。攻击者利用合约中未检查外部Jar合约是否合法的漏洞进行攻击。最终项目共损失约1975万枚Dai代币,价值约12,800万人民币。OriginProtocol
2020年11月17日,OriginalProtocol项目OUSD遭到闪电贷与重入攻击的组合攻击。攻击者利用合约中mintMultiple()函数中的重入漏洞,增加闪电贷贷来的资金作为杠杆,扩大攻击收益。项目最终损失约4,500万人民币。CheeseBank
动态 | 到2024年 包括区块链技术在内的工业4.0市值将达1566亿美元:ResearchAndMarkets发布工业4.0市场报告(包括物联网、人工智能、工业计量学、工业机器人、AR和VR、区块链、3D打印、数字双胞胎,和5G 技术的提供、应用和终端用户)。报告指出,工业4.0市场预计在2019年价值717亿美元,预计到2024年将达到1566亿美元,2019年至2024年的复合年增长率为16.9%。(Globe Newswire)[2019/12/18]
2020年11月16日,DeFi项目CheeseBank遭到闪电贷攻击。攻击者通过操纵流动性池中代币数目,利用重置预言机来提高UniswapLP流动性凭证价格进行攻击。最终项目损失约2,100万人民币,其中包括价值1,300万人民币的USDC。ValueDeFi
2020年11月15日,DeFi项目ValueDefi遭到闪电贷攻击。攻击者通过项目中使用Curve价格预言机,通过闪电贷操纵预言机代币价格计算漏洞进行攻击。最终攻击者获利约4,800万人民币价值的DAI。Eminence
2020年9月29日,攻击者使用脚本程序,通过闪电贷借得初始资金,利用Eminence项目中的联合曲线模型漏洞,反复购买出售EMN和eAAVE来获得收益。项目最终损失约9,800万人民币。GemSwap
2020/09/26日,DeFi项目GemSwap遭到项目拥有者的后门攻击。项目拥有者通过调用后门函数emergencyWithdraw()将所有的流动性证明取出并转移至自己拥有的账户中,最终项目损失约850万人民币。SodaFinance
2020年9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞。该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。最终项目损失约105万人民币。BASED
2020年8月14日,流动性挖矿项目Based出现初始化失误造成的漏洞。其智能合约在进行部署时,Base官方仅通过调用智能合约中的renounceOwnership函数声明了所有者,而并没有对智能合约初始化。而一名外部攻击者在Based官方之前,抢先调用initialize函数对智能合约进行了初始化。YAM
2020年8月12日,YAMFinance官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的YAM代币,在计算totalSupply时,给出了错误的结果,这会导致系统保留的代币数量过多。最终项目损失约500万人民币。NUGS
2020年8月11日,CertiK安全研究团队发现基于以太坊的代币项目NUGS出现安全问题。其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。此次攻击损失巨大,直接造成该项目失败。Opyn
2020年8月4日,DeFi项目Oypn发生攻击事件。攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,而不是动态的检查攻击者发送的ETH数量是否在每一次的交易之后仍旧等于完成该次期货买卖所需要的数量。也就是说,攻击者可以用一笔ETH进行抵押,并在赎回两次交易,最终获得自身发送数量两倍的ETH最终项目损失约240万人民币。Cashaa
第一次攻击发生于7月10日北京时间晚6点57分,Cashaa的比特币钱包之一被盗用并向攻击者账户转移了1.05977049个BTC。根据Cashaa报告中描述,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移BTC。第二次攻击发生于7月11日北京时间凌晨8点10分,Cashaa的总计8个比特币钱包,共计335.91312085个比特币被攻击者通过同样的手段转移到同一个地址中。最终项目损失约2,000万人民币。Balancer
2020年6月29日凌晨2点03分,攻击者利用从dYdX闪电贷中借到的WETH,大量买进STA代币,使得STA与其他代币的兑换价格急剧上升。然后使用最小量的STA不断回购WETH,并在每次回购后,利用Balancer的合约漏洞重置其内部STA的数量,以此稳住STA的高价位。攻击者不断利用漏洞,用高价的STA将某一种代币完全买空,最终用WETH偿还闪电贷,并剩余大量STA,WETH,WBTC,LINK和SNX,并通过uniswap将非法所得转移到自己账户中。继6月29日凌晨2点CertiK捕获Balancer攻击事件后,2020年6月29日20点与23点23分,Balancer项目再次遭到攻击。攻击者从dYdX闪电贷中借到代币并铸币后,通过uniswap闪贷获得cWBTC和cBAT代币,然后将借得的代币在Balancer代币池中大量交易,从而触发Compound协议的空投机制,获得空投的COMP代币,再使用Balancer有漏洞的gulp()函数更新代币池数量后,取走所有代币并归还闪电贷。攻击者相当于利用了Compound协议的金融模型、闪电贷和Balancer代码漏洞,无中生有了COMP。两次攻击直接导致Balancer损失了约300万人民币。Hegic
2020年4月27日,Hegic项目中由于代码实现存在错误,导致合约中用户资金被锁定,无法被任何方法操作。最终项目损失约18万人民币。Lendf.Me
2020年4月19日,Lendf.me项目遭到基于ERC777标准缺陷问题的重入攻击。最终项目损失约16,200万人民币。Uniswap
2020年4月18日,DeFi项目Uniswap遭到攻击。攻击者利用ERC777可以在同一笔交易中完成代币兑换的特性,通过其tokensToSend()函数对Uniswap进行重入攻击。最终Uniswap项目损失共计约150万人民币。总结
从上文的数据统计里可以看出,这21次重大攻击事件,损失总金额高达约13亿人民币。这13亿人民币被包括价格预言机操纵、重入攻击、实现逻辑错误、闪电贷攻击、项目方欺诈、钱包攻击在内的各种攻击方式所盗取,让人防不胜防。计算机领域中早有统计,平均每1000行代码中,会有1-25个bug。也就是说,这个概率的区间是千分之一至百分之二点五。想知道这个概率意味着什么吗?点击寻找答案!获取答案后可以在CertiK官方微信公众号底部对话框留言哦。
如需观看本文视频讲解,请于微信视频号右上角搜索区块链领域内,任何一个小bug都可能会给项目或者投资者造成无法挽回的损失。想要改变“鸭子”的偏见和刻板印象,建立起安全有保障的区块链健康生态,离不开每一个项目和个人对于安全的坚持与付出。安全审计对于区块链项目来说,其重要性毋庸置疑,然而经过静态审计的项目也并非可以百分之百的保证其静态与动态安全。CertiK安全专家统计,业内经过审计的智能合约及节点的安全率是92.6%,但是经过CertiK使用形式化验证技术审计过后的安全率可以高达99.6%!剩下的0.4%大多是由于智能合约在交互过程中产生了变动,从而导致静态审计失效。在这个时候,一个随时可以监测安全状况的安全预言机以及事故发生后可以获得理赔的去中心化资金池将是所有项目最坚固的后盾与保障。
存储板块集体上涨,OCEAN上涨35%;FIL周内继续上涨4%,7日净流出增加9%;Filecoin全网算力继续上涨6%,头部节点增速放缓,算力占比有所下降;荐读:2020Filecoin的十大重要实现;分布式资本计划3月推出基金.
1900/1/1 0:00:00编者按:本文来自加密谷Live,作者:LukasWiesflecker,翻译:Davida,Odaily星球日报经授权转载。比特币的每日支付数量达到了历史新高--而内存池仍然出奇的平静.
1900/1/1 0:00:00文|黄雪姣编辑|郝方舟出品|Odaily星球日报 不知道昨天你有没有看过这样一则新闻,有人用CAN在BSC上的借贷平台Venus上借空3300余枚BTC,以BTC市价38000美元计,价值1.25亿美元,引发贷款人恐慌.
1900/1/1 0:00:00编者按:本文来自孟岩的区块链思考,作者:孟岩,Odaily星球日报经授权转载。我并不是一个对时事不感兴趣的人,但是在这个公众号里从来不谈,因为我相信专业主义.
1900/1/1 0:00:00今天和大家分享一下对最近两则新闻的感受。风波不断的美国大选在上周闹出了大事,现任总统的支持者大量在华盛顿聚集,情绪高昂,不满选举结果,更有人冲进了国会大厦,在全世界的关注下,上演了全武行的剧情.
1900/1/1 0:00:00:"\u003Cp\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fp\u003E\u003Cpclass=\"ql-long-26224647\"\u003E\u003C.
1900/1/1 0:00:00