區塊鏈以無審查著稱,是一片鼓勵創新的熱土,也是滋生犯罪的溫床。當年眾籌超過1.5億美金的The Dao被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。自區塊鏈創世以后,各種針對交易所、錢包以及dapp的黑客盜幣事件頻發。那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?
(本文由分布式資本原創,顧問CertiK高級安全工程師王沛宇,撰文有匪。)
2021年區塊鏈黑客盜幣事件整理
Uranium?Finance——邏輯漏洞
以太坊Layer2上總鎖倉量為88.38億美元:金色財經報道,L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量為88.38億美元,近7日漲27.52%。其中鎖倉量最高的為擴容方案Arbitrum One,約58.79億美元,占比66.52%,其次是Optimism,鎖倉量19.48億美元,占比22.04%。[2023/3/27 13:27:57]
10月27日,Cream Finance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池(包含yDAI、yUSDC、yUSDT和YTUUSD)來操縱預言機對yUSD的報價。在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走Cream Finance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。
烏克蘭加快推進數字格里夫納項目,計劃今年進行試點:金色財經報道,烏克蘭數字轉型部部長MykhailoFedorov在接受采訪時透露,烏克蘭當局正在加快電子格里夫納的開發速度。據悉,最初的計劃是在2024年開始試點階段,但政府現在希望在今年做到這一點。2021年1月,該部門選擇Stellar發展基金會作為建設國家虛擬資產生態系統的合作伙伴,包括烏克蘭中央銀行數字貨幣(CBDC)的基礎設施。2022年11月,烏克蘭國家銀行(NBU)向加密貨幣行業的成員、銀行和其他金融機構提出了一個“電子格里夫納概念草案”。今年1月,Tascombank在Stellar網絡上對該貨幣進行了測試。(Bitcoin.com)[2023/2/15 12:08:20]
Anyswap——后臺簽名
Alameda Research:如果Voyager可以退回抵押物,將償還貸款:7月8日消息,Alameda Research 在社交媒體上表示,只要 Voyager 能夠歸還抵押品,我們很樂意歸還Voyager貸款并取回我們的抵押品。
此前消息,Voyager提交給紐約地方法院的破產申請第13頁上的表格顯示,Alameda Research欠Voyager3.77億美元,利率為1%至5%。根據文件第119頁上Voyager最大的無擔保索賠清單,未償余額包括一筆7500萬美元的無擔保貸款。[2022/7/8 1:59:34]
2)錢包——釣魚信息
不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析;交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。
資產被盜后的處理方式
項目方一般會采取這幾個解決方式:
1)即時暫停智能合約中的通證轉移和交易服務;對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。
2)同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。
3)聯系第三方安全公司,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。
4)對于被盜資金的去向,假如合約里面存在黑名單功能;第一時間屏蔽黑客地址,防止黑客進行資金轉移。
5)和安全公司和執法部門合作追回被盜的財產,同時想出合理的補償方案來減少用戶的損失。
那么,為何安全公司對于漏洞已經層層篩查,還會被黑客有機可趁?事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。
其次,安全的開源代碼庫也會提高安全系數。OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。
從人為因素出發,項目方需要考慮金融模型以及商業邏輯是否值得推敲,并進行不計其數的測試才能消弭潛在的風險。
總而言之,Defi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。環顧Defi出事的所有原因,最主要的還是Defi項目還無法完全去中心化,需要借助第三方的外部服務。Defi行業在安全性上達到無懈可擊,是這一賽道項目必需實現的目標(尤其對中心化嚴重的跨鏈賽道而言),期待行業下一周期跑出擁有全新業務邏輯的Defi產品來!
無需許可、去中心化,這是加密世界的特點,這讓加密世界仿佛一個深邃的黑暗森林:機會豐富但又處處潛藏著風險。而那些有著知名機構背書的項目,就成為投資者選擇項目的一個相對簡單的法則.
1900/1/1 0:00:002021年,DAO從一個圈內概念演變成一種主流意識,不管是數量,還是籌集的資金都在激增。DAO的中文意思是“去中心化自治組織”——它指的是圍繞一個加密貨幣項目或者統一的財務目標而出現的互聯網社區.
1900/1/1 0:00:002021是數字貨幣戰國時代的一個小高潮,對于整個數字金融市場而言,它都是波瀾壯闊的一段歷史。回首2021,無論是央行數字貨幣(CBDC)、還是加密數字貨幣(Crypto),亦或元宇宙和Web3.
1900/1/1 0:00:00對區塊鏈技術和加密貨幣來說,2021年是最有趣的年份之一,無論是在采用和主流接受方面。從薩爾瓦多政府到特斯拉、高盛、美國銀行和摩根士丹利等大公司,許多機構都朝著成為該生態系統的一部分邁出了一步.
1900/1/1 0:00:00對于 NFT 來說,這是絕對瘋狂的一年,2021 年絕對是 NFT的?一年,即使谷歌也是這么說的。日前,“NFT”的搜索量正式超過“crypto”.
1900/1/1 0:00:00“我們將看到更多行業開始使用 NFT 來提高效率、進行身份驗證并消除中間人。”2022 年最大的 NFT 趨勢之一將是大公司和品牌的參與.
1900/1/1 0:00:00