宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > NEAR > 正文

一文揭秘2021年区块链黑客攻击频发的原因

作者:

时间:1900/1/1 0:00:00

区块链是一片鼓励创新的热土,在某种角度上因其安全风险也成为了滋生犯罪的温床。

当年众筹超过1.5亿美金的TheDAO被黑客盗币后,进行了硬分叉操作,由此产生了如今的以太坊。

自区块链创世以后,各种针对交易所、钱包以及Dapp的黑客盗币事件频发。

那么,2021年区块链安全领域又经历了何种波澜,后续的处理工作又是如何的呢?

2021年区块链黑客盗币事件整理

由于2021年市场情绪热烈,黑客盗币的金额打破了往年的历史记录。

截至三季度,统计一共有32起黑客入侵事件导致了15亿美金的资产被盗,而去年全年这个数字是1.8亿美金。

DeFi协议

UraniumFinance——逻辑漏洞

2021年4月份流动性挖矿协议Uranium受到了攻击,被攻击的智能合约是MasterChief的修改版本。

DeFi协议DFlow完成550万美元融资:金色财经报道,DeFi 协议 DFlow 完成 550 万美元融资,Framework Ventures 领投,Coinbase Ventures、Circle Ventures、Cumberland、Wintermute Ventures、Spartan Group 和 ZeePrime 参投。

据悉,DFlow 允许做市商直接从钱包应用程序购买订单流,并保证做市商将以最佳价格提供执行。DFlow 将最佳价格定义为针对中心化和去中心化交易平台汇总的最低公共价格。[2023/4/25 14:26:26]

其中,用于执行“质押奖励”的代码出现了逻辑漏洞,使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子,并将它换成了价值130万美元的BUSD以及BNB。

CreamFinance——预言机操纵

10月27日,CreamFinance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币,同时通过操纵多资产流动性池来操纵预言机对yUSD的报价。

币安发布公告称无限期暂停部分网络的LUNC、USTC充提:9月2日消息,币安官方发布公告称,由于跨链桥即将关闭,将对LUNC以及USTC充提进行更改,具体如下;(1)LUNC(Shuttle)在以太坊网络(ERC20)上的充提,以及USTC(Shuttle)在币安智能链(BEP20)、以太坊网络(ERC20)和Polygon网络的充提将于2022年09月07日08:00(东八区时间)无限期暂停;

(2)请用户于2022年09月07日08:00(东八区时间)之前为使LUNC(Shuttle)和USTC(Shuttle)充值业务留出足够的时间。在此时间之后的LUNC(Shuttle)和USTC(Shuttle)充值将不会上账;

(3)用户仍然可以通过Terra Classic网络充值和提现LUNC和USTC代币;

(4)LUNC和USTC的现货交易、杠杆交易、理财平台的相关服务(例如:质押和币安宝等)将不受影响。[2022/9/3 13:05:58]

在提高了yUSD的价格后,攻击者的yUSD价格被人为提高,从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

数据:71,000,000枚USDT从Tether财政部转移到未知钱包:金色财经报道,Whale Alert数据显示,71,000,000枚USDT从Tether财政部转移到未知钱包。[2022/8/16 12:27:06]

BadgerDAO——前端恶意代码注入

攻击者获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。

当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易,就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。

Anyswap——后台签名

出事是因为后台签名时采用了不恰当的值,攻击者通过两笔交易来推导出了它签名的私钥。

钱包——钓鱼信息

举个比特币钱包Electrum的例子,当用户旧版本并连接到攻击者的节点时,攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时,黑客便轻松掌握了用户的私钥。

美国司法部:涉嫌博尔顿的暗杀阴谋涉及加密货币支付:金色财经报道,美国司法部周三在一份声明中表示,伊朗涉嫌谋杀美国前国家安全顾问约翰·博尔顿,涉及高达130万美元的加密支付承诺。8月10日公开的法庭文件称,伊朗伊斯兰革命卫队的德黑兰成员Shahram Poursafi出价高达300,000美元暗杀博尔顿,并提供100万美元用于进一步的未指明工作,转移显然将通过数字方式进行货币。Poursafi在国外仍然逍遥法外,如果罪名成立,他将面临最高25年的监禁和500,000美元的罚款。(coindesk)[2022/8/11 12:16:44]

交易所

不同于项目方一旦出事,人们可以通过链上公开的交易记录进行分析,交易所出事只有内部人员知道发生了什么,那些信息也不会被公开。

一般交易所出事来自于这几个方面:交易所的服务器被黑了,攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击,然后攻击者通过工作人员的账号访问到内部系统,接触到了热钱包的私钥等等。

ZigZag在Arbitrum网络推出测试版本,测试阶段交易费用为0:7月24日消息,以太坊二层网络zkSync上原生去中心化交易平台ZigZag在Arbitrum网络推出测试版本。协议升级包括下达多个订单、交易单部分执行。

为了激励流动性深度,做市商无需付费。在测试阶段,交易费暂定为0,之后预计将收取0.05%交易费,作为协议利润来源。ZigZag目前的Arbitrum测试版本中,上线USDC/USDT和ZZ/USDC2个代币交易对通过ZigZag的无权限上市流程,任何用户都可以根据需要用自己的资金提供流动性。[2022/7/24 2:33:57]

资产被盗后的处理方式

关于资产被盗后的处理方式,可以从三个角度——项目方、交易所以及第三方安全机构来分析。

项目方一般会采取这几个解决方式

及时暂停智能合约中的通证转移和交易服务,对于不能暂停的合约,查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务,避免合约被再次攻击。

同时向社区发出警告,避免新的投资者把财产放到有漏洞的合约里面。

联系第三方安全机构,请求帮助分析漏洞产生的原因,并合作共同修复漏洞。

对于被盗资金的去向——假如合约里面存在黑名单功能,第一时间屏蔽黑客地址,防止黑客进行资金转移。

和安全机构和执法部门合作追回被盗的财产,同时提出合理的补偿方案以减少用户的损失。

从交易所的角度来说,有两种情况

假如交易所本身被盗,需第一时间暂停所有的提现充值功能,把损失降到最少。交易所保留系统里面的所有信息以便日后做分析使用,联系安全机构或者执法部门,协助进行财产追踪。

假如某个项目被黑的话,交易所可以监控黑客相关链上地址,如果监测到最新充值的关联地址,则立即冻结该账户。

安全机构则需要做到以下几点

在事件发生之后分析漏洞产生的原因,并修复漏洞。

在项目重新上线之前提供安全审计服务,以减少项目重新上线之后的安全风险。

发布社区警告,同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞,可以通过保密渠道发出警告。

通过链上技术手段来追踪资金流向以及分析链下信息,协助执法部门抓到黑客。

那么,为何安全机构对漏洞已进行层层筛查,还会被黑客有机可趁?

事实是,对于某个项目的审计工作只能持续数个星期,而黑客的时间和精力是无限的。他们一旦瞄准某类项目,便会有比审计公司多得多的时间进行研究并展开行动。

今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。

其次,跨链桥和其他DeFi项目的不同的点是:普通DeFi项目几乎100%的逻辑是在智能合约上实现的,而跨链桥是web2和web3的结合,是智能合约和传统后台的结合。

非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。

简而言之,DeFi协议除了自身的代码需固若金汤,因其需与其他协议交互的可组合型,业务逻辑也要严丝合缝。

最重要的是,DeFi协议需借助第三方服务,而这些第三方服务很有可能面临外部操纵的风险,这也是产品受到黑客攻击的主要原因。

未来区块链安全展望

未来随着技术的发展,区块链行业会变得日益安全吗?

理论上是的。

先说底层技术,首先编写智能合约的Solidity语言慢慢变成熟。

在最近的Solidity版本8.0之后,之前比较常见的一种漏洞叫做integeroverflow便销声匿迹了。

其次,区块链业内对于安全的重视度正在大幅增加。

最后,安全的开源代码库也会提高安全系数。

OpenZeppelin代码库是由专业人员写的一个开源的代码库,它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能,便能实现从零开始写代码。

另外,现在有很多安全工具会对代码进行检查——它可以帮助项目方在没有联系安全公司的情况下,找到一些潜在的漏洞,从而提高代码的安全性。

例如CertiKSkynet天网扫描系统,它作为一个24*7全天候运行的安全情报引擎,可为智能合约的链上部署提供多维度和实时的透明安全监控并24小时运行监控和危险警报提示。

除此之外,例如公开透明展示安全数据的安全排行榜以及项目预警系统也可为除项目方外的投资人提供安全见解。所有投资者都可以通过这个这个不受限制的安全洞察数据库查询所需要的安全数据信息。

随着越来越多的技术人员加入到这个领域来,区块链行业的安全壁垒会不断被加固。

总而言之,DeFi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。DeFi行业在安全性上达到无懈可击,是这一赛道项目必须实现的目标——尤其对中心化严重的跨链赛道而言。

标签:USDDEFI区块链DEFUSD SportsWorld of Defish区块链存证怎么操作Defiskeletons

NEAR热门资讯
浅谈GameFi(链游)的现状与未来

前言:整个GameFi赛道火的快凉的也快,目前已经进入大洗牌中,那些能活下来的链游项目,不能说是非常优质的链游,但可以肯定的是,在同类赛道模式中是有一定优势特点,整理收集了些资料,来展开聊聊GameFi和P2E的现状和未来会是如何.

1900/1/1 0:00:00
DAO健康度的9大指标:从成员转换漏斗到社区代币基尼系数

注:原文作者为itamarg.eth,以下为全文编译。随着协作工作变得更加数字化,它的数字足迹成为了洞察协作健康状况以及如何随着时间推移而改进协作的一个有意义来源.

1900/1/1 0:00:00
金色观察|“断网”的哈萨克斯坦 还能继续挖矿吗?

中亚国家哈萨克斯坦2022年刚开年就发生燃料费用大涨,引发罕见的抗议与骚乱。当地政府受抗议压力影响,切断通讯及互联网服务.

1900/1/1 0:00:00
远望资本田鸿飞:Web3时代创业和投资10大范式变化

如果创业者和投资人仍以旧范式的思维逻辑来对待Web3.0,就会应了谶语:一个新时代的来临,必须以牺牲上一个时代的人为代价!当新的范式来临的时候,传统的商业逻辑和成功路径不再有效.

1900/1/1 0:00:00
如何在元宇宙里捧红虚拟人?SM已交作业

当国内还在为虚拟美妆达人“柳夜熙”能红多久而争论不休时,韩国的元宇宙女团aespa已经开始横扫年末大赏,当之无愧地成为今年韩国市场最炙手可热的新人女团.

1900/1/1 0:00:00
BGA区块链游戏报告2021(GaemFi领域年度总结)

BGA2021年区块链游戏报告讲述了这个故事,并展示了今年区块链行业一些最引人注目的运动的数量:游戏。正是在这个领域,加密货币、游戏赚取收益、NFT、GameFi、DeFi和Metaverse都融入了一个蓬勃发展的行业.

1900/1/1 0:00:00