宇宙链 宇宙链
Ctrl+D收藏宇宙链

CertiK安全分析:8月数字货币相关攻击事件分析总结

作者:

时间:1900/1/1 0:00:00

「币圈一天,人间一年」,「DeFi一天,币圈一年」。近期的链圈币圈,热度已几乎都被DeFi掠夺。伴随着项目的层出不穷,大量用户的涌入,DeFi协议总锁仓量已高达103.8亿美元。极高的投资收益吸引了大量币民加入,而8月,更是流动性挖矿项目如火如荼的一个月。从实验性流动性挖矿项目Yam到目前仍旧具有极高话题度的SushiSwap,整个区块链社区都在持续讨论着其中的巨额利润以及隐藏其下的安全隐患。在这一个月中,大量新的挖矿项目出现,其中绝大多数项目都直接复制其他类似项目的代码,在未进行安全审计的情况下匆忙上线。因此导致了发现的智能合约安全漏洞数量众多而且性质类似。如今,确定一个项目是否可以投资的首要条件应该是检查项目及其合约是否由著名安全团队进行过专业审计并取得较高安全评价。据CertiK安全技术团队统计,8月份发生与区块链相关的安全事件盘点如下:8月11日,基于以太坊的代币项目NUGS出现安全问题,其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。8月12日,流动性挖矿项目Yam爆出智能合约漏洞,该漏洞将预留巨大数目的代币,导致对项目进行治理所需要的代币数目随之增长,最终由于社区没有足够的代币,任何治理行为都无法进行。8月14日,流动性挖矿项目Based存在智能合约安全漏洞并遭到攻击者攻击,该项目中一号池智能合约中函数被错误设置为可以被外部任意调用,造成其被外部攻击者抢先初始化,导致一号池中任何质押行为都无法完成。8月28日,Sushiswap智能合约中被发现存在多个安全漏洞,该漏洞允许智能合约拥有者在无任何社区授权情况下,任意进行取款。同时,该合约还存在重入攻击漏洞,会导致潜在恶意代码被执行多次。8月31日,用户由于使用存在漏洞的旧版本electrum钱包应用,导致1400枚比特币被盗。8月31日和9月1日,Sushiswap仿盘Yuno和Kimchi两个项目智能合约均被发现存在安全漏洞,该漏洞允许智能合约拥有者无限增发项目对应代币,可能导致项目中代币产生巨大通胀。列表如下:

CertiK:警惕推特上假冒Arkham Intel空投的虚假宣传:金色财经报道,据CertiK官方推特发布消息称,警惕推特上假冒Arkham Intel空投的虚假宣传,请用户切勿与虚假宣传链接互动,虚假宣传的网站会连接到一个已知的自动盗币地址。[2023/7/17 10:59:43]

事件详情

以下是8月安全典型事件的具体分析:1号事件是一个非常典型的,由于逻辑实现上失误而造成的漏洞。NUGS项目的商业实现模型是一个彩票抽奖的系统,彩票抽奖以轮为单位,在每一轮抽奖中,投资者可以向该轮奖池中存入资金。经过一段时间后,NUGS智能合约中的开奖函数可以被外部调用,从而确定本轮彩票抽奖的赢家。赢家获得奖池奖金,而来自外部调用开奖函数的调用者也会获得一小部分奖励。该轮抽奖结束,奖池中数额清零,因此每一轮抽奖开始时,奖池内的初始数额应当为“零”。然而NUGS智能合约中存在一个关于奖池奖金初始数额的逻辑实现漏洞:当一轮抽奖结束后,奖池中数额未被清零,导致了下一轮抽奖开启后,奖池中的初始数额为上一轮的总奖金。因此奖池中的奖金会越来越多,最终导致通胀、币值飞快贬值。2号事件发生在Yam流动性挖矿项目上,也是一个由于逻辑实现上的失误导致的安全漏洞。在Yam智能合约中存在一个rebase函数,其目的是在确保代币的价格稳定,而由于在代码层面的疏忽,对每一次rebase执行时,代币总共供给量totalSupply的数值被错误的进行计算,导致totalSupply的数目只能持续增加,因此最终同样导致了通胀发生。以上两个事件中的漏洞都是属于逻辑实现层面出现的漏洞。逻辑实现上的漏洞虽然非常直观,但依靠任何现有的自动检测工具均无法检查,需要依靠专业的安全审计和/或严谨的数学证明才能够避免该类漏洞。3号事件发生于流动性挖矿项目Based。其智能合约在进行部署时,Based官方仅通过调用智能合约中的renounceOwnership函数声明了所有者,而并没有对智能合约初始化。而一名外部攻击者在Based官方之前,抢先调用initialize函数对智能合约进行了初始化。这使得智能合约的所有者和初始化的操作者不一致,最终任何质押行为都无法完成。该安全漏洞是由“智能合约自身调用安全风险”和“部署智能合约风险”两者同时影响产生的。对该种智能合约的部署应该确保发送部署智能合约的交易和对智能合约的初始化等操作交易的原子性,即该两者交易应该相互关联,确保没有第三方利用时间差进行恶意攻击操作。4号和6号事件相同:存在多个智能合约漏洞,其上线前均未进行安全审计,对于项目拥有者过大权利的问题,均缺乏相应社区监管机制。这两个事件的主角项目分别是SushiSwap以及其仿盘Yuno和Kimchi。SushiSwap项目智能合约中,智能合约拥有者有权利在无监管的情况下,使用setMigrator函数任意修改migrator的值,然后通过调用migrator.migrate来调用任意智能合约外部代码。该外部代码对于智能合约本身是未知的,因此智能合约拥有者可以通过该操作执行恶意代码。Yuno和Kimchi项目中也存在着类似的漏洞:智能合约拥有者有权利通过mint函数来进行无限制数量的铸币操作。最初,该类漏洞的解决方法是将任何来自智能合约拥有者的操作使用timelock智能合约加入延迟锁,SushiSwap、Yuno和Kimchi都通过该种方法为自身加入了48小时的操作延迟。其初衷是给予投资者48小时的窗口,对任何来自智能合约拥有者的疑似恶意交易,都有足够的时间进行撤资等操作。虽然SushiSwap项目中的ChefNomi成功转走的大笔代币后来返还了,但最终SushiSwap项目还是采用了多签名钱包来确保项目的去中心化。可以说,延迟锁并没有办法根本解决智能合约本身的漏洞。5号事件是由于受害者使用了旧版本的Electrum钱包,攻击者利用存在于旧版本中的软件漏洞进行钓鱼攻击。此软件漏洞会对Electrum节点服务器返回的交易错误信息进行HTML渲染。攻击者可以搭建一个恶意的节点,当该节点接收到来自用户发起的交易请求时,让用户钱包弹出一个包含钓鱼信息的窗口,让用户去下载一个所谓的“钱包更新”。而这个”新版钱包“实际上是一个包含恶意代码的假的钱包。一旦用户将自己钱包导入,该假钱包会将其中所有代币转移至攻击者的钱包中。安全建议

Polygon 和 Cere Network 推出 Web3 媒体平台 DaVinci:金色财经报道,Polygon 和去中心化数据云平台Cere Network 宣布推出一个 Web3 媒体平台 DaVinci,该平台的使命是更安全地存储 NFT 支持的资产,并确保可验证和真正去中心化的数据。

DaVinci 是一个直接的内容货币化平台,用于 NFT 支持的体验,旨在促进去中心化数据传输和 NFT 价值转移。该平台由 Cere 的 DDC 提供支持,可通过智能合约向 NFT 持有者提供个性化内容流。它利用部署在 Polygon 上的 NFT 挖矿平台 Cere Freeport 来铸造和销售功能性 NFT,以提供对独家内容的访问。[2022/2/15 9:51:48]

综上所述,8月安全事件频发,CertiK安全团队提出以下建议:对于区块链项目的安全风险不仅需要从代码漏洞层面观察,同时也应该仔细了解项目的逻辑实现与其逻辑设计是否一致。区块链项目需要为其整个部署流程规划详细的设计与实施流程,确保部署操作的原子性。面对区块链项目智能合约拥有者权利过大的问题,不应仅仅依靠外部强制机制来限制,更是应该从智能合约代码实现以及社区治理等多角度综合,从而确保项目不会被任意一方滥用。DeFi热度持续上升,区块链作为时代颠覆性的核心技术,也已在各个领域得到了广泛的应用,隐藏在收益和利好之下的安全隐患也不应被忽视。CertiK致力于构建区块链健康安全生态,利用业内领先的技术解决区块链与智能合约的安全痛点。

Balancer Labs和Aave合作推出Boosted Pools:12月16日消息,自动化投资组合管理器和流动性提供商 Balancer Labs 宣布与领先的 DeFi 借贷协议 Aave 合作正式推出 Boosted Pools。Balancer 指出,新产品旨在通过存入自动做市商 (AMM) 池的代币收益率来解决资本效率降低的问题。根据 Balancer 的说法,交易者通常只利用 AMM 池中可用流动性的 10%,因为交易规模小于可用流动性,而借助 Boosted Pools,通常处于闲置状态的剩余流动性可以被存入借贷协议,从而使流动性获得额外收益。不同级别的 Boosted Pool 可以带来更深的流动性、更有效的流动性整合以及更高的收益率。[2021/12/16 7:42:25]

Balancer联合创始人:100%专注于以太坊 扩展方案Zk Rollups最有前途:10月28日,Balancer联合创始人兼CTO Mike McDonald发推阐述其对Balancer以及扩容解决方案的看法。他表示,重要的是要明确我们100%专注于以太坊。 尽管Balancer已经为一些第三方提供了小额赠款,帮助他们在其他L1网络上实施Balancer协议,但这只是处于研究目的,所有的内部努力仍在以太坊上。与此同时他还表示,Zk Rollups是最有前途的扩展方案,并且也是Balancer目前在内部探索的唯一的扩展路径。 话虽如此,但从L2演示应用迈向具有有意义的资金锁定状态的共存的L2仍然需要大量时间和持续开发。[2020/10/28]

DeFi协议Balancer将在NEAR可用:基于以太坊的去中心化金融(DeFi)协议Balancer将在NEAR可用。据悉,NEAR是以太坊的竞争对手,上周刚刚完全开放了其主网。该智能合约平台的团队承诺,与以太坊相比,将减少延迟和费用。Balancer Labs增长负责人Jeremy Musighi表示,除了专注于NEAR的工作之外,该团队还将继续专注于基于以太坊的开发。(The Block)[2020/10/27]

标签:CERNCELANCbalanceceres币能发财吗Metafluenceavalanche币Fivebalance

币安app官方下载最新版热门资讯
市场企稳后仍存在上攻动力

上期回顾市场在9月2日开始持续下跌,成交量方面也在逐步放大,短期市场对方向判断较为悲观,形成抛售状态。这也是前期资金获利较为丰厚,所以在卖出过程中仍有较大获利空间。惯性下跌可能仍将延续一段时间.

1900/1/1 0:00:00
Deribit期权市场播报:0911 — 平稳交割

上周的交割颇不平静,交割前末日轮期权涨个三五倍都见怪不怪了。本周一整周都在横盘,但是隐含波动率一直高于上周。即便是今天隐含波动率明显下降至63%,仍高于上周交割时的60%。市场并没有迎来期待中的行情,这周是平稳交割.

1900/1/1 0:00:00
疯狂的DEX:得流动性者得天下

编者按:本文来自imToken,作者:Gerry,Odaily星球日报经授权转载。加密数字资产市场一直以来有一个很奇怪的现象:以区块链为技术基础的去中心化数字资产的价值转换绝大部分都在中心化交易所中完成.

1900/1/1 0:00:00
200美元变290000美元,这个DeFi用户经历了什么?

编者按:本文来自巴比特资讯,作者:RobertStevens,编译:Wendy,星球日报经授权发布。概述一位DeFi交易员上周单笔交易就赚了747ETH。他发现了一个DeFi智能合约的漏洞。他辞职了.

1900/1/1 0:00:00
以太坊挖矿成香饽饽,普通人应该如何入场?

编者按:本文来自知矿大学,Odaily星球日报经授权转载。得益于各类DeFi项目的流动性挖矿激励机制,8月份以太坊全网手续费收入高达261389.62枚以太币,9月2日以太坊单日手续费收入更是达到了37967枚以太币.

1900/1/1 0:00:00
观点:现在接盘流动性挖矿,就像18年8月接盘交易挖矿一样危险

编者按:本文来自观链哥,Odaily星球日报经授权转载。1流动性挖矿进行到这个阶段,可谓百花齐放,各种稀奇古怪的名字都出来了.

1900/1/1 0:00:00