拆解「匿名者」套路：2022上半年Web3黑客常用的攻擊方式有哪些？_以太坊:COI

在剛剛發布的《2022年上半年Web3安全態勢深度研報》中，我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢，包括總損失金額、被攻擊項目類型、各鏈平臺損失金額、攻擊手法、資金流向、項目審計情況等。今天，我們就2022上半年Web3黑客常用的攻擊方式展開分析，看看在所有被利用的漏洞中，哪些頻率最高，以及如何防范。一、上半年因漏洞造成的總損失有多少？

據成都鏈安鷹眼區塊鏈態勢感知平臺監控顯示，2022上半年共監測到因合約漏洞造成的主要攻擊案例42次，約53%的攻擊方式為合約漏洞利用。通過統計，2022上半年共監測到因合約漏洞造成的主要攻擊案例42次，總損失達到了6億4404萬美元。在所有被利用的漏洞中，邏輯或函數設計不當被黑客利用次數最多，其次為驗證問題、重入漏洞。

蓋洛普調查：公眾對銀行業危機的擔憂達到2008年以來最高水平:5月9日消息，4月份的一項調查顯示，公眾對銀行的評價似乎正在下降，近幾個月來，銀行業正努力遏制幾家知名金融機構倒閉帶來的影響。今年4月，蓋洛普（Gallup）在全美范圍內對至少1000名受訪者進行了一項民意調查，結果顯示，48%的受訪者表示他們擔心自己在銀行里的錢，近20%的人表示他們“非常擔心”。值得注意的是，該調查是在硅谷銀行（SiliconValleyBank）和簽名銀行（SignatureBank）倒閉之后進行的，但在第一共和銀行（FirstRepublicBank）4月底倒閉之前。蓋洛普得出的結論是，人們的擔憂程度與2008年上一次由銀行引發的金融危機期間的水平相當。[2023/5/9 14:51:42]

億萬富翁Bill Ackman談美國銀行業危機：“我擔心美國經濟將脫軌”:金色財經報道，億萬富翁、潘興廣場首席執行官兼投資組合經理Bill Ackman近日在推特上評論了包括硅谷銀行和簽名銀行在內的主要銀行倒閉引發的當前銀行業危機：“想想最近發生的事件對非系統重要性銀行的長期股權資本成本的影響吧，在這些銀行中，作為股東或債券持有人的你可能有一天醒來，突然發現自己的投資歸零。”他認為，如果政府允許目前的銀行危機繼續下去，美國經濟將“脫軌”。Ackman表示：“信任和信心是多年來贏得的，但可能在幾天內消失。希望我們的監管機構能夠做到這一點。”

系統重要性銀行（SIB）是指那些規模過大或結構過于復雜的銀行，如果它們倒閉，可能會對金融體系和更廣泛的經濟產生重大影響。在金融穩定委員會（FSB）2022年的名單上，有30家具有系統重要性的銀行，包括摩根大通、美國銀行、花旗集團、匯豐銀行和陷入困境的瑞士信貸。[2023/3/26 13:27:01]

二、哪些類型的漏洞曾導致重大損失？

前以太坊聯創抨擊以太坊：技術不完善是以太坊社區追求合并的根本原因:9月26日消息，前以太坊聯創兼 Cardano 創始人 Charles Hoskinson 在個人社交媒體上發布文章表示，以太坊核心開發者并不能客觀看待 Cardano，此行為結果是挫傷整個行業發展、用戶采用以及相互協作。

以太坊基金會社區經理 Hudson Jameson 對此做出回應稱，Charles 曾在四年前構建 Cardano 時蓄意抹黑以太坊，以太坊開發者忽略 Cardano 是由于 Charles 言行惡劣。Charles 回復稱，他承認四年前的言論，當時以太坊技術并不完善，現在也一樣。這也是以太坊社區追求合并的根本原因。如果沒有大規模鏈下基礎設施，無法實現網絡擴張。托管的、非流動性質押不可取。[2022/9/26 22:30:08]

2022年2月3日，Solana跨鏈橋項目Wormhole遭到攻擊，累計損失約3.26億美元。黑客利用了Wormhole合約中的簽名驗證漏洞，這個漏洞允許黑客偽造sysvar帳戶來鑄造wETH。2022年4月30日，FeiProtocol官方的RariFusePool遭受閃電貸加重入攻擊，總共造成了8034萬美元的損失。本次攻擊對項目方造成了無法挽回的損失，8月20號，官方表示項目正式關閉了。FeiProtocol事件回顧：

近7天USDT流通供應量增長約8億美元:金色財經消息，據CoinMarketCap數據顯示，近一周USDC流通供應量下降約7億美元，USDT流通供應量增長約8億美元，目前USDC流通供應量約536億美元，USDT流通供應量約672.8億美元。[2022/8/15 12:25:21]

由于漏洞出現在項目基本協議中，攻擊者不止攻擊了一個合約，以下僅分析一例。攻擊交易0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530攻擊者地址0x6162759edad730152f0df8115c698a42e666157f攻擊合約0x32075bad9050d4767018084f0cb87b3182d36c45被攻擊合約0x26267e41CeCa7C8E0f143554Af707336f27Fa051#攻擊流程1.攻擊者先從Balancer:Vault中進行閃電貸。

分析師：Coinbase有充足資本來度過“加密貨幣寒冬”:6月7日消息，日前，Coinbase(COIN.O)宣布將在“可預見的未來”延長招聘凍結并撤回部分offer。華爾街資管公司科文分析師Stephen Glagola在一份說明中表示，該公司在第一季度結束時的流動資金為63億美元，他認為Coinbase“仍然有充足資本來度過加密貨幣的寒冬”。Glagola對Coinbase股票的評級為跑贏大市，目標價為85美元。（金十）[2022/6/7 4:08:19]

2.將閃電貸的資金用于RariCapital中進行抵押借貸，由于RariCapital的cEther實現合約存在重入。

攻擊者通過攻擊合約中構造的攻擊函數回調，提取出受協議影響的池子中所有的代幣。

3.歸還閃電貸，將攻擊所得發送到0xe39f合約中

本次攻擊主要利用了RariCapital的cEther實現合約中的重入漏洞，被盜資金超過28380ETH。擴展閱讀：“重入漏洞”如何破？損失約8034萬美元，FeiProtocol被攻擊事件分析三、審計過程中最常出現的漏洞有哪些？

在審計過程中最常見出現的總體來說分為四大類：1.ERC721/ERC1155重入攻擊

在通過鏈必驗形式化驗證平臺檢測合約時不乏存在ERC721/ERC1155標準相關的業務合約，在ERC721中，ERC1155中存在分別存在一個onERC721Received()/onERC1155Received函數用于轉賬通知，類似于以太坊轉賬的fallback()函數，在相關的業務合約中使用ERC721/ERC1155標準中的_safeMint(),_safeTransfer(),safeTransferFrom()進行鑄幣或者轉賬時都會觸發轉賬通知函數。如果在轉賬的目標合約中的onERC721Received()/onERC1155Received中包含了惡意代碼，就可能形成重入攻擊。除此之外在相關業務函數未嚴格按照檢查-生效-交互模式設計，上述兩點共同導致了漏洞的產生。2.邏輯漏洞

1）特殊場景考慮缺失：特殊場景往往是審計最需要關注的地方，例如轉賬函數設計未考慮自己給自己轉賬導致無中生有。2）設計功能不完善：存放費用的合約沒有提取功能，借貸合約不含清算功能等。3.鑒權缺失

鑄幣、設置合約特殊角色、設置合約參數的相關函數沒有鑒權，導致三方地址也可以調用。4.價格操控

Oracle價格預言機未使用時間加權平均價格；未使用價格預言機，直接使用合約中兩種代幣的余額比例作為價格等。四、實際被利用的漏洞有哪些？哪些漏洞能在審計階段發現？

根據成都鏈安鷹眼區塊鏈安全態勢感知平臺所感知的安全事件統計，審計過程中出現的漏洞幾乎都實際場景中被黑客利用過，其中合約邏輯漏洞利用仍然為主要部分。通過成都鏈安鏈必驗-智能合約形式化驗證平臺檢測和安全專家人工檢測審計，以上漏洞均能在審計階段被發現，并且可由安全專家在做出安全評估后提出相關安全修補建議供客戶作為修復參考。

通過鏈必驗工具掃描出某合約存在重入漏洞

Tags：以太坊COINCOIOIN以太坊交易犯法嗎TAM CoinCenter CoinClearCoin

幣安交易所app下載