宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 瑞波币 > 正文

近4亿美元损失,Solana的黑客攻击都有什么共同点?

作者:

时间:1900/1/1 0:00:00

原文作者:sec3

原文编译:ChinaDeFi

自一年前以来,Solana生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),这些黑客攻击总共造成了近4亿美元的损失。

重要的是,这些黑客攻击(SlopeWallet除外)大多是由于智能合约漏洞,即链上协议的编码缺陷:

Wormhole:3.2亿美元被盗,原因是缺少帐户验证;

CashioApp:由于缺少账户验证,导致5000万美元被盗;

CryptoPunks系列NFT近24小时交易额涨幅近400%:金色财经报道,据NFTGo.io数据最新数据显示,CryptoPunks系列NFT总市值为821,480.14 ETH,过去24小时的交易额为712.98 ETH,涨幅达395.12%;地板价为65.99 ETH,持有NFT地址总数为3,619个。[2022/10/15 14:28:38]

CremaFinance:1000万美元被盗(返还800万美元),原因是缺少账户验证;

Nirvana:通过闪贷操纵价格,350万美元被盗;

Slope钱包:由于助记词被泄露,400万美元被盗。

库币C2C借贷平台USDT年利率短时逼近40%:据库币(KuCoin)交易所数据显示,受比特币行情短时大幅波动影响,库币杠杆市场USDT借入需求激增,C2C借贷平台的USDT年利率逼近40%。库币杠杆支持C2C借贷,用户可以将闲置资产借出获取收益。创新全仓模式,支持不同币种之间质押借贷。[2020/8/17]

在本文中,我们回顾了这些攻击的本质,并旨在找到有效的解决方案,以防止未来发生此类攻击。

Wormhole:黑客创建了两个假的sysvar帐户来跳过密钥验证。

CashioApp:黑客创建了8个假账户来通过有效性检查。

CremaFinance:黑客创建了一个虚假的帐户,并使用闪贷窃取费用。

动态 | 监测:以太坊链上近440万枚PAX被销毁:Whale Alert监测数据显示,北京时间22:34,以太坊链上4392461.5 PAX被销毁。[2020/1/13]

Nirvana:黑客精心制作了一个闪贷账户来操纵代币价格。

SlopeWallet:黑客通过泄露的助记词直接获取了用户钱包的私钥。

2.所有黑客攻击都涉及多次交易

Wormhole:整个攻击用了6个交易来完成:第一个tx创建第一个假sysvar帐户,最后一个tx调用complete_wrapped。

CashioApp:整个攻击从创建所有的假账户到发送最后的攻击交易,期间进行了超过10笔的交易。

全球数字货币市值接近4000亿美元:据coinmarketcap显示,目前数字货币的总市值目前已升至3912亿美元,本月增加约1500亿美元。[2018/4/23]

CremaFinance:每次攻击至少需要进行3笔交易;创建一个虚假的帐户,部署一个闪贷程序,发起窃取费用的攻击;此外,黑客还多次发起10笔闪贷交易,从不同的代币池中进行窃取。

Nirvana:攻击至少进行了2笔交易;部署一个精心设计的闪电贷款接收程序,并调用Solend闪贷。

SlopeWallet:整个攻击抽干了9000多个钱包,涉及9000多个SOL或SPL代币转账交易。

3.所有攻击至少持续几分钟(几个小时甚至几天)

Wormhole:从创建第一个假sysvar账户的tx到完成转账的tx之间的时间跨度为6个小时。

CashioApp:黑客的第一个假账户是在交易发生前5天创建的。

CremaFinance:这个假账户是在第一次攻击前一个多小时创建的。

Nirvana:两个交易(部署闪贷接收方和调用Solend闪贷)之间的时间窗口跨度为4分钟。

Slope钱包:广泛的攻击持续至少8个小时。

4.最大的损失是由于缺少帐户验证

前三次黑客攻击(Wormhole、CashioApp和CremaFinance)的根源在于缺少正确的账户验证。

无论是否是巧合,这些攻击都造成了很大的经济损失。

5.闪贷牵涉到两次黑客攻击

CremaFinance和Nirvana的黑客攻击都涉及直接闪贷交易,而且都是通过Solend进行的。

在CremaFinance,闪贷被用来引导存款流动性。

在Nirvana中,其内部价格预言机被闪贷操纵。

安全措施:

账户所有权

账户签名者

帐户之间的关系(或逻辑约束)

根据协议逻辑,还应该检查:

如果任何内部价格预言机操纵闪电贷款(与大量转移),需增加约束以防止差异。

如果可以计算任何异常状态(如费用或奖励),需添加约束以防止差异。

监控SOL或SPL代币的大规模转移;

监控针对你的智能合约的闪贷交易;

通过升级依赖程序来监控潜在的漏洞;

监控异常状态(例如,计算费用);

监控往返交易事件例如deposit-claim-withdraw在单个tx中);

监控来自同一签名者的重复交易;

任何针对协议特定属性的自定义监控。

如果任何被监控的交易导致了在随后的黑客攻击中使用的异常状态,及早发现它们可能有助于阻止黑客攻击。

标签:OLENCEFINANANBoleTokenLibreFreelencerFINALEThe Lab Finance

瑞波币热门资讯
本周关于BTC要知道的5件事

2017年以来的历史新高再次困扰着比特币,因为BTC的价格走势未能在这个“九月”中看到缓解的迹象。 公众号:币圈小七 比特币从9月的第二周开始,仍然试图巩固20,000美元作为支撑,因为似乎空头控制住了局面.

1900/1/1 0:00:00
Predict Potential ETH 2.0 Forks and Win Grand Prizes

DearHuobiGlobalUsers,HuobiGlobalwillbelaunchingaspecialeventon8September.

1900/1/1 0:00:00
以太坊合并在即 加密货币的未来处于紧要关头

世界标准时间(UTC)8月18日下午2点,世界各地的人们都在拨入每两周一次的“核心开发者”Zoom电话会议,该会议将在网站上直播给任何想要观看的人.

1900/1/1 0:00:00
本周将影响比特币BTC和山寨的7件事

BTC从9月开始,价格一直在20,000美元附近震荡,空头依然占主导地位,本月的预期比较悲观。因为从历史上看,9月对于BTC和山寨币来说并不是一个好月份。但到目前为止,几乎没有证据表明9月与今年的大部分时间有什么不同.

1900/1/1 0:00:00
以太坊合并如何影响加密生态:4项值得关注的链上指标

本文来自Chainalysis,原文作者:ChainalysisTeam,由Odaily星球日报译者Katie辜编译。9月15日左右,以太坊的共识机制将从工作量证明转换为权益证明.

1900/1/1 0:00:00
科普如何用CeFi 投资组合工具,在熊市分散避险?

为因应熊市以来更为艰难的投资环境,加密货币投行AmberGroup旗下的资管平台WhaleFin,日前推出了如传统ETF理财的概念赛道「投资组合工具」.

1900/1/1 0:00:00