一次黑客攻击

编者按：本文来自橙皮书，Odaily星球日报经授权转载。前段时间，我搭了一个很简陋的博客，想用来写点个人日记。代码写得很简单，潦潦草草发布上去。后面有天我才发现，网站存在cookie里的session是没有加密的，前端很容易就能解析出来，而我犯的一个错误是在session里存了敏感的信息。软件世界有无数的陷阱。拿最简单的web网站来说，SQL注入、XSS攻击、利用第三方cookie重复使用的CSRF攻击、图片或者文件上传的漏洞，各种死法花式上演。一个新手在网络上架起了自己的第一个网站，就像水手驾着一艘颤颤巍巍的小帆船第一次出海，他不知道前方路上埋伏着无数的风暴、冰山和海怪。只是在大部分情况下，这些风险是幻象。船上的漏洞当然是一直存在的，风暴和海怪却并不一定会出现。毕竟风暴和海怪也很忙，他们只攻击那些值得攻击的对象，要么掀翻满载而归的渔船，要么掠夺富商的货轮。所以，也难怪有人说，软件工程不像其他“硬工程”，土木工程如果出错，楼会倒、路会塌，需要付出人命的代价；硬件芯片如果出bug，则会导致几十上百亿的损失；软件如果挂了？最多让一个网站宕机半天。当然，这句话其实是错误的。软件正在吞噬整个世界。代码充斥着世界的每个角落。今天软件的漏洞，代表的不止是一个网站或者一个app，也是飞机和火箭上的控制系统。波音公司把客机软件外包给更廉价的第三方，最终在航天史上留下了血淋淋的BUG。Dijkstra大神也讲过类似的故事。1969年阿波罗登月后，他曾经问飞船软件的负责人，你们为什么能把那么多的代码写正确，没想到对方坦白道：仅仅在发射前五天，他才从登月器计算轨道的代码里发现一个错误，这行代码把月球的重力方向算反了。本来该吸引的，结果写成了排斥。除了军用软件和航空软件，现在我们还多了另一个领域——区块链。天生与货币和金融绑在一起的crypto，让我们又一次感受到，软件世界的代码安全究竟有多重要。昨天对中国DeFi圈而言是黑暗的一天。dForce的借贷平台Lendf.Me遭黑客攻击损失2500万美元的资产，黑客利用了ERC777标准和Lendf.Me合约的组合漏洞，使用重入攻击凭空制造出一堆imBTC，又用imBTC借走了平台上的其他币种，洗劫一空。就在dForce出事的前一天，Uniswap也刚刚遭受相似手法的攻击。而ERC777标准的这个漏洞，在2019年6月份就被OpenZeppelin公布了，只是并未引起重视。这件事将会成为DeFi发展的一个重要节点。事件仍在发展中，最终能否追回资产、最大限度的降低用户损失还要看后续进展，但各个crypto群里已经吵翻天了。这里面有太多的教训。许多人将对DeFi失去信心，认为DeFi是伪概念，怀疑以太坊过去这几年围绕去中心化金融所讲的这个故事。也有不少用户从此不愿意把资产放入到DeFi产品中，而更愿意选择中心化的金融产品，因为“CeFi出了事至少能维权”。这些争吵都是正常的。DeFi是乐高，也是蜜罐，从现在到将来，永远都会有一小撮黑客盯着，尝试挖走里面的金币。任何金融系统都需要经历这样的过程，逃不掉的。能通过考验的、最终能幸存下来的，才有机会走向主流人群，成为更稳固的金融基础设施。只是在这样的过程中，每发生一次类似的事件，都让人难免扼腕。因为背后的代价是由用户真金白银买单的。我想这应该是整个区块链行业都不愿意看到的。只是很遗憾，事情发生后，我在Twitter和其他社交平台上看到了挺多冷嘲热讽的围观，有国外社区对中国社区的嘲讽、对以太坊社区的嘲讽，也有非DeFi圈对DeFi圈的戏谑。恰好也是在昨天，宅在家里看完了因为疫情而举办的全球慈善演出oneworldtogetherathome。在一片GlobalCitizen的氛围中，默默听完了来自世界各地的艺术家和歌手在家里录制的表演。有人说，在病和反全球化趋势下，象征人类大团结的东京奥运会都被取消了，唯有这场2020年的liveaid，能让人从心里感受到一些联结和温暖。而其实整个crypto行业才多大呢？就这么小的一个圈子，中国真正从事区块链的核心玩家，可能一个微信5000好友就能加满了。何必如此。希望这次攻击事件，能让crypto圈和所有从事DeFi行业的人都能吸取教训。开发者在写智能合约时，对每一行代码能更有敬畏之心；用户在使用Crypto产品时，对风险能有更清楚的认识——记住哪怕是小概率的风险，只要时间够长就一定会发生。安全，才是区块链的立身之本。

sudoswap下一次迭代更新将包括链上版税、ERC-1155支持等内容:金色财经报道，软件工程师cygaar宣布加入Sudorandom Labs并专注于NFT交易协议sudoswap开发。

cygaar表示，sudoswap下一次迭代更新内容将包括链上版税、ERC-1155支持等。[2023/3/24 13:23:42]

昆明市数字经济发展扶持项目开始申报 区块链企业可获20万元一次性补贴:昆明市工业和信息化局发出的《关于申报2021年昆明市数字经济发展扶持项目的通知》中明确，2021年昆明市数字经济发展扶持项目开始申报。其中，对国家网信办认定境内区块链信息服务名称及备案编号的昆明企业给予一次性20万元补贴。此次申报，项目实施地须为昆明市辖区，申报项目为2020年内建成并投入运行的项目。（都市时报）[2021/3/25 19:15:52]

Filecoin校准期网络将于明天早上6点进行最后一次重置:Filecoin核心开发者Why在Slack发布消息称：北京时间8月20日早上6点对校准期网络进行最后一轮重置。

同时Why还透露，目前太空竞赛启动时间已确定并将随后在官方Blog上发布更详细的信息。[2020/8/19]

武汉市人民政府：入围全国区块链百强一次性奖励200万元:据武汉市人民政府官网消息，武汉市人民政府近日印发《武汉市突破性发展数字经济实施方案》，其中指出，重点推进新一代信息基础设施建设，形成适应产业经济和超大城市治理要求的坚实数字经济底层。围绕产业链、创新链关键领域和环节，推行数字经济产业创新攻关“揭榜挂帅”行动，遴选武汉市掌握关键核心技术、具备较强创新能力的单位或者联合体开展集中攻关，在人工智能、区块链、5G、工业互联网4个领域，每年各发布10个数字经济产业创新重点任务，对揭榜后经考核认定实施成功的，每家奖励200万元，由市、区两级各承担50%奖励资金。对于首次进入权威机构发布的国内外数字经济百强、全国软件百强、全国互联网百强、全国电子信息百强、全国区块链百强的企业，一次性奖励200万元。[2020/7/24]

标签：EFIDEFIDEF区块链SDEFICredefidefi community区块链币圈大佬排行榜

BNB价格热门资讯