CertiK安全分析：8月數字貨幣相關攻擊事件分析總結_CER:Shibal Inu Moon

「幣圈一天，人間一年」，「DeFi一天，幣圈一年」。近期的鏈圈幣圈，熱度已幾乎都被DeFi掠奪。伴隨著項目的層出不窮，大量用戶的涌入，DeFi協議總鎖倉量已高達103.8億美元。極高的投資收益吸引了大量幣民加入，而8月，更是流動性挖礦項目如火如荼的一個月。從實驗性流動性挖礦項目Yam到目前仍舊具有極高話題度的SushiSwap，整個區塊鏈社區都在持續討論著其中的巨額利潤以及隱藏其下的安全隱患。在這一個月中，大量新的挖礦項目出現，其中絕大多數項目都直接復制其他類似項目的代碼，在未進行安全審計的情況下匆忙上線。因此導致了發現的智能合約安全漏洞數量眾多而且性質類似。如今，確定一個項目是否可以投資的首要條件應該是檢查項目及其合約是否由著名安全團隊進行過專業審計并取得較高安全評價。據CertiK安全技術團隊統計，8月份發生與區塊鏈相關的安全事件盤點如下：8月11日，基于以太坊的代幣項目NUGS出現安全問題，其智能合約中存在安全漏洞，致使其代幣系統出現巨額通脹。由于該智能合約的安全漏洞無法被修復，因此最終NUGS項目官方發布公告決定放棄該項目，存入其中的代幣也無法被取出。8月12日，流動性挖礦項目Yam爆出智能合約漏洞，該漏洞將預留巨大數目的代幣，導致對項目進行治理所需要的代幣數目隨之增長，最終由于社區沒有足夠的代幣，任何治理行為都無法進行。8月14日，流動性挖礦項目Based存在智能合約安全漏洞并遭到攻擊者攻擊，該項目中一號池智能合約中函數被錯誤設置為可以被外部任意調用，造成其被外部攻擊者搶先初始化，導致一號池中任何質押行為都無法完成。8月28日，Sushiswap智能合約中被發現存在多個安全漏洞，該漏洞允許智能合約擁有者在無任何社區授權情況下，任意進行取款。同時，該合約還存在重入攻擊漏洞，會導致潛在惡意代碼被執行多次。8月31日，用戶由于使用存在漏洞的舊版本electrum錢包應用，導致1400枚比特幣被盜。8月31日和9月1日，Sushiswap仿盤Yuno和Kimchi兩個項目智能合約均被發現存在安全漏洞，該漏洞允許智能合約擁有者無限增發項目對應代幣，可能導致項目中代幣產生巨大通脹。列表如下：

數據：Certus One自7月14日開始已累計將價值1210萬美元的LDO轉入幣安:金色財經報道，據余燼監測，4 小時前，Certus One 繼續將 100 萬枚LDO(約合185萬美元) 轉入幣安。

? Certus One 自 26 天前 (7/14) 開始，已累計將 6,517,487枚LDO(約合1210萬美元) 轉入幣安；

? Certus One 已轉入幣安的 LDO 可能的出售均價為2.05美元；

? Certus One 目前還持有 3,482,513枚LDO(約合647萬美元)。[2023/8/9 21:33:30]

事件詳情

以下是8月安全典型事件的具體分析：1號事件是一個非常典型的，由于邏輯實現上失誤而造成的漏洞。NUGS項目的商業實現模型是一個彩票抽獎的系統，彩票抽獎以輪為單位，在每一輪抽獎中，投資者可以向該輪獎池中存入資金。經過一段時間后，NUGS智能合約中的開獎函數可以被外部調用，從而確定本輪彩票抽獎的贏家。贏家獲得獎池獎金，而來自外部調用開獎函數的調用者也會獲得一小部分獎勵。該輪抽獎結束，獎池中數額清零，因此每一輪抽獎開始時，獎池內的初始數額應當為“零”。然而NUGS智能合約中存在一個關于獎池獎金初始數額的邏輯實現漏洞：當一輪抽獎結束后，獎池中數額未被清零，導致了下一輪抽獎開啟后，獎池中的初始數額為上一輪的總獎金。因此獎池中的獎金會越來越多，最終導致通脹、幣值飛快貶值。2號事件發生在Yam流動性挖礦項目上，也是一個由于邏輯實現上的失誤導致的安全漏洞。在Yam智能合約中存在一個rebase函數，其目的是在確保代幣的價格穩定，而由于在代碼層面的疏忽，對每一次rebase執行時，代幣總共供給量totalSupply的數值被錯誤的進行計算，導致totalSupply的數目只能持續增加，因此最終同樣導致了通脹發生。以上兩個事件中的漏洞都是屬于邏輯實現層面出現的漏洞。邏輯實現上的漏洞雖然非常直觀，但依靠任何現有的自動檢測工具均無法檢查，需要依靠專業的安全審計和/或嚴謹的數學證明才能夠避免該類漏洞。3號事件發生于流動性挖礦項目Based。其智能合約在進行部署時，Based官方僅通過調用智能合約中的renounceOwnership函數聲明了所有者，而并沒有對智能合約初始化。而一名外部攻擊者在Based官方之前，搶先調用initialize函數對智能合約進行了初始化。這使得智能合約的所有者和初始化的操作者不一致，最終任何質押行為都無法完成。該安全漏洞是由“智能合約自身調用安全風險”和“部署智能合約風險”兩者同時影響產生的。對該種智能合約的部署應該確保發送部署智能合約的交易和對智能合約的初始化等操作交易的原子性，即該兩者交易應該相互關聯，確保沒有第三方利用時間差進行惡意攻擊操作。4號和6號事件相同：存在多個智能合約漏洞，其上線前均未進行安全審計，對于項目擁有者過大權利的問題，均缺乏相應社區監管機制。這兩個事件的主角項目分別是SushiSwap以及其仿盤Yuno和Kimchi。SushiSwap項目智能合約中，智能合約擁有者有權利在無監管的情況下，使用setMigrator函數任意修改migrator的值，然后通過調用migrator.migrate來調用任意智能合約外部代碼。該外部代碼對于智能合約本身是未知的，因此智能合約擁有者可以通過該操作執行惡意代碼。Yuno和Kimchi項目中也存在著類似的漏洞：智能合約擁有者有權利通過mint函數來進行無限制數量的鑄幣操作。最初，該類漏洞的解決方法是將任何來自智能合約擁有者的操作使用timelock智能合約加入延遲鎖，SushiSwap、Yuno和Kimchi都通過該種方法為自身加入了48小時的操作延遲。其初衷是給予投資者48小時的窗口，對任何來自智能合約擁有者的疑似惡意交易，都有足夠的時間進行撤資等操作。雖然SushiSwap項目中的ChefNomi成功轉走的大筆代幣后來返還了，但最終SushiSwap項目還是采用了多簽名錢包來確保項目的去中心化。可以說，延遲鎖并沒有辦法根本解決智能合約本身的漏洞。5號事件是由于受害者使用了舊版本的Electrum錢包，攻擊者利用存在于舊版本中的軟件漏洞進行釣魚攻擊。此軟件漏洞會對Electrum節點服務器返回的交易錯誤信息進行HTML渲染。攻擊者可以搭建一個惡意的節點，當該節點接收到來自用戶發起的交易請求時，讓用戶錢包彈出一個包含釣魚信息的窗口，讓用戶去下載一個所謂的“錢包更新”。而這個”新版錢包“實際上是一個包含惡意代碼的假的錢包。一旦用戶將自己錢包導入，該假錢包會將其中所有代幣轉移至攻擊者的錢包中。安全建議

TikTok網紅Spencer X加入Waves Ducks元宇宙:10月16日消息，Waves Tech宣布，TikTok網紅Spencer X加入Waves Ducks Metaverse，為一只非常稀有和有價值的全新NFT鴨子貢獻其形象和聲音。Beatbox歌手Spencer X是TikTok第九大受歡迎的創作者。

總共有4只不同的Spencer X鴨子，100%稀有。其中一只于10月14日拍賣，這只鴨子帶有Spencer X自己錄制的特殊聲音，成為首個擁有聲音的Waves Ducks NFT。另外三只Spencer X鴨子將通過孵化成為頭獎鴨在游戲中提供給玩家。[2021/10/16 20:34:34]

綜上所述，8月安全事件頻發，CertiK安全團隊提出以下建議：對于區塊鏈項目的安全風險不僅需要從代碼漏洞層面觀察，同時也應該仔細了解項目的邏輯實現與其邏輯設計是否一致。區塊鏈項目需要為其整個部署流程規劃詳細的設計與實施流程，確保部署操作的原子性。面對區塊鏈項目智能合約擁有者權利過大的問題，不應僅僅依靠外部強制機制來限制，更是應該從智能合約代碼實現以及社區治理等多角度綜合，從而確保項目不會被任意一方濫用。DeFi熱度持續上升，區塊鏈作為時代顛覆性的核心技術，也已在各個領域得到了廣泛的應用，隱藏在收益和利好之下的安全隱患也不應被忽視。CertiK致力于構建區塊鏈健康安全生態，利用業內領先的技術解決區塊鏈與智能合約的安全痛點。

高頻交易公司Jump Trading將收購區塊鏈基礎設施公司Certus One:8月3日消息，總部位于芝加哥的高頻交易公司JumpTrading將收購區塊鏈基礎設施公司CertusOne，為該公司在加密貨幣領域的首次收購。CertusOne創始人HendrikHofstadt將擔任Jump的特別項目總監一職。目前暫未披露具體交易細節。JumpTrading是一家高頻交易巨頭，其附屬風險投資公司JumpCapital已投資于BitGo、Bitso和BlockFi等加密公司。此前，Solana基金會公布資助計劃的首批12家受助項目中包括建立了連接以太坊和Solana的雙向跨鏈橋Wormhole的區塊鏈基礎設施公司CertusOne。（TheBlock）[2021/8/3 1:32:16]

DeFi協議Balancer上線社區治理快照投票，僅批準11名簽名人員進行多簽:DeFi協議Balancer上線社區治理快照投票，提議將治理方式改為使用多重簽名錢包Gnosis Safe進行多簽，本次投票將批準產生11名簽名人員，由社區成員組成。多簽唯一功能是執行BAL持有人的意愿。[2021/4/3 19:43:02]

Balancer向首批流動性提供者發放43.5萬枚治理代幣BAL:金色財經報道，去中心化交易平臺Balancer的治理代幣BAL已經正式發放，BalancerLabs團隊為Balancer資金池的流動性提供者發放43.5萬枚BAL代幣。截至目前BAL總供應量為3543.5萬枚，其中2500萬BAL歸屬于創世團隊、股票期權、顧問以及投資者；500萬BAL分配給生態系統基金，將用于吸引和激勵戰略合作伙伴；另外500萬BAL將分配給籌款基金，將用于未來的籌款活動；過去三周為流動性提供者分配43.5萬枚BAL，另外，之后每周將繼續分發14.5萬BAL。BAL的供應量上限為1億個代幣。BAL現已在Balancer交易平臺和去中心化交易所Uniswap上交易。（Medium）[2020/6/24]

Tags：CERBALNCEERTTracer DAOShibal Inu Moonintelligencefogcomputerchainliberty幣1967

抹茶交易所