加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

凡是過去,皆為序章,2021年區塊鏈安全事件年度總結-ODAILY_ANC:PINETWORKDEFI價格

Author:

Time:1900/1/1 0:00:00

2021年對于區塊鏈來說是一個巨大的里程碑,無論是對于用戶量還是對于機構接受程度。鏈資產比重都遠超歷史上的任何其他時期。

與此同時,興起了許多多元化的事物如號稱終極未來的元宇宙、邊玩邊賺的GameFi以及鏈鏈互信的跨鏈等。而各類傳統DefiDapp也加速了步伐迎來了全新的升級,如UniswapV3,AaveV3等新版協議問世。

種種這些,不僅為區塊鏈生態帶來了活力,同時也帶來了全新的安全挑戰。現在請跟隨知道創宇區塊鏈安全實驗室的視角一起回顧2021區塊鏈安全生態以及各月份的典型安全事件。

2021區塊鏈安全生態速覽

據知道創宇區塊鏈實驗室不完全統計數據,截止本文發稿前,2021年區塊鏈可供查詢的相關安全事件為312起,直接損失超100億美元。

對比往年數據來說依然是一個令人心悸的走高態勢。蓬勃發展的多鏈系統,鏈鏈互信的跨鏈需求,新鏈上的花式仿盤,都為這一龐大的數字做出了相應的"貢獻"。

在安全事件方面我們使用了6個緯度來進行統計,分別是交易所、DeFi、跑路/騙局、錢包、公鏈、其他。其中以DeFi安全尤為突出達到了141起。

該原因主要在于區塊鏈底層技術愈加趨向成熟,但合約實現規范還沒有充分完備化和體系化,審計還沒有被足夠的落實。尤其合約具備著直接擔當著資金載體和運行邏輯的功能,這使得越來越多黑客將目標瞄向該領域。

另一方面,攻擊者利用閃電貸和鏈上監控愈發成熟。使得攻擊面得以被充分暴露,同時各個項目方對于協議的實現也存在著巨大的差異,這些種種,無疑皆助長了該攻擊的廣泛性和頻繁性。

數據:本周XRP永續期貨未平倉合約飆升至6.1億美元:金色財經報道,根據鏈上數據平臺Kaiko披露信息顯示,XRP永續期貨未平倉合約本周不斷上漲,3月22日飆升突破5億美元后又于本周三達到6.1億美元峰值,較3月初的約3億美元增長了一倍多。分析認為,XRP持有者可能是在押注Ripple對美國證券交易委員會的訴訟可能獲勝,因為許多觀察家指出了監管機構論據的脆弱性,但截至目前法官尚未做出最終裁決。[2023/4/1 13:39:36]

在資金損失方面則是跑路/騙局尤為嚴重,損失總計超64億美元。相較于DeFi安全事件的多發性來說,跑路/騙局對人們造成的經濟損失更加明顯。

跑路的方式由于Owner權限過大、合約可升級、DAO比例操控等等難以避免。同時由于區塊鏈的不可追溯性導致該行為風險變得非常的低,甚至有項目方直接在群組公開宣告自己跑路的行徑,導致大量用戶失去信心。

無論是交易所清退詐騙、鏈上蜜罐、假錢包、轉賬釣魚,花樣眾多的攻擊方式也為鏈安全帶來了新的挑戰。當然,這不僅僅應該完全依賴安全公司,更多的還應該寄希望于群體安全意識提升的落地。

2021各月份典型安全事件回顧

Ⅰ:挑戰伊始

關鍵詞:權限控制,手續費

1月27日,SushiSwap因收取手續費的函數存在權限控制缺陷,被黑客利用操控了DIGG/WETH交易對的滑點,從而套取了WBTC/DIGG交易對的手續費。

FTX US Derivatives CEO:LedgerX很快將與FTX US完全分離,現金儲備至少夠用一年:11月11日消息,加密衍生品交易平臺FTX US Derivatives(原LedgerX,在去年被FTX US收購后更名)首席執行官Zach Dexter在推特上分享了LedgerX LLC給客戶的一份信。信中表示:“在LedgerX LLC托管的客戶資產是安全的,以美元計價的客戶資產存儲在LedgerX LLC客戶資金的美國銀行賬戶中,與自營/公司現金分開。加密貨幣客戶資產存儲在BitGo和BitGo Trust的LedgerX LLC賬戶中,其中大部分資產存儲在BitGo Trust的冷錢包中。該平臺將繼續在LedgerX官網上可用。此外,根據CFTC的規定,我們持有可觀的運營現金儲備,至少可以讓我們運營一年,但可能會更長。”

此外,信中還澄清了該平臺與FTX的關系:“我們的技術基礎設施與FTX公司家族幾乎完全分離,并且很快將完全分離。值得注意的是,LedgerX LLC的最終母公司West Realm Shires Inc.,不同于以FTX Trading Ltd(又名FTX.com)為首的國際公司家族。”[2022/11/11 12:50:02]

安全月度風險評估:低

月度評價:新年伊始,但不應該是新漏洞的開始

Ⅱ:風雨初現

關鍵詞:閃電貸,無限授權

YearnFinance被攻擊,黑客利用閃電貸操控3pool代幣平衡,并通過yDai保險庫放大差異,獲利280萬美元,而保險庫損失超1100萬美元。

以太坊協議組合工具Furucombo智能合約被爆出存在請求授權權限過高問題,黑客可通過向Furucombo代理添加攻擊合約,從而獲得影響用戶賬戶的權限,該漏洞影響超1400萬美元。

時尚品牌Scotch&Soda推出基于NFT的客戶忠誠度計劃“Club Soda3.0”:9月20日消息,時尚品牌Scotch&Soda宣布推出支持NFT的忠誠度俱樂部計劃“Club Soda3.0”并將在Polygon區塊鏈上鑄造1,000枚Founder's Pass NFT。NFT持有者將會獲得Scotch&Soda獨家體驗、活動和優惠等福利。(Theindustry.fashion)[2022/9/21 7:09:24]

安全月度風險評估:中

月度評價:同類型漏洞相繼爆發,需做好安全預警

Ⅲ:花式危險

關鍵詞:雙花交易,錯誤鑄幣,權限控制

去中心化交易所DODO因未對init進行權限控制,導致黑客在進行閃電貸歸還操作時通過init函數將需要歸還的代幣修改為自己提前加入pool的垃圾代幣,從而規避校驗以次充好,損失超200萬美元。

PaidNetwork鑄幣功能存在漏洞,被利用鑄造超6000萬枚PAID代幣。

Filecoin由于節點特性出現“雙花交易”漏洞。

安全月度風險評估:高

月度評價:漏洞類型花樣百出,但核心都是資金安全

Ⅳ:經典重現

關鍵詞:重入攻擊,協議兼容性

Uniswap上的imBTC池遭到黑客攻擊,漏洞原因是Uniswap與ERC777協議出現兼容性問題,當交易產生時,ERC777中的迭代調用tokensToSend可以被用來實現重入攻擊,損失超30萬美元。

安全月度風險評估:低

Aptos生態訂單簿協議Econia已上線v2版本:8月9日消息,Aptos生態訂單簿協議Econia已上線v2版本,引入獨立訂單簿兌換功能,要求用戶注冊特定市場的交易賬戶,選擇性地委托托管人、存入抵押品,并使用其抵押品在相應的市場進行交易。此外v2版本現在允許用戶直接根據賬面結算市場訂單,無需支付任何費用。(Medium)[2022/8/9 12:12:11]

月度評價:經典漏洞以全新方式體現,說明安全理念并不會停滯,需要時刻進步

Ⅴ:八方風雨

關鍵詞:重入攻擊,協議沖突,滑點,閃電貸

合成資產協議SpartanProtocol遭到閃電貸攻擊,由于添加/移除流動性存在滑點修正機制的差別導致套利,損失3050萬美元

機槍池項目ValueDeFi由于協議組合存在的沖突隱患遭到攻擊,損失1000萬美元,2天后再次遭到攻擊,損失1100萬美元;

PancakeBunny遭到閃電貸攻擊,由于LP代幣價格計算問題導致套利,損失約4500萬美元;

BurgerSwap遭到閃電貸攻擊,由于重入漏洞和架構問題導致套利,損失約330萬美元;

安全月度風險評估:高

月度評價:本月是閃電貸攻擊多發月份,造成的損害也及其重大,所以必須不放過任意可能存在漏洞的細節,避免無法挽回的結果。

Ⅵ:風雨依舊

關鍵詞:薅羊毛,錯誤變量,address(this),閃電貸

PancakeBunny項目仿盤PancakeHunny項目遭遇黑客攻擊,主要漏洞原因在于mintFor函數錯誤地使用合約余額作為參數,且兌換HunnyToken使用的固定參數,導致套利可行。

IMF:經濟動蕩可能到導致全球穩定幣美元化程度增加:金色財經報道,高通脹加上潛在的世界經濟衰退可能會推動與美元掛鉤的穩定幣在新興市場或發展中市場采用,從而加速這些經濟體的美元化程度。 國際貨幣基金組織 (IMF) 也承認,經濟動蕩可能導致經濟體進一步美元化,尤其是美元的“數字版本”,比如 USDT 或 USDC,這些美元穩定幣在全球范圍內很容易獲得。

IMF 專家在最近發布的報告中指出,一些經濟體央行發行的貨幣,特別是被認為使用起來不太方便或價值波動的貨幣,可能會被由跨國公司或全球銀行發行美元穩定幣或主要經濟體發行的央行數字貨幣所取代, 即使是像比特幣這樣的波動性加密貨幣,在經濟動蕩期間也可能比當地貨幣更受歡迎。(blockworks)[2022/6/25 1:30:53]

以太坊DeFi項目Alchemix的alETH合約出現安全問題,由于部署腳本錯誤的創建vault值并在調用中使用了錯誤的索引,導致用戶獎勵超發

BSC鏈上DeFi協議xWinFinance遭到閃電貸攻擊,合約未對獎勵推薦人地址做校驗,導致同一地址推薦人獎勵可累計。

安全月度風險評估:中高

月度評價:本月閃電貸攻擊依然多發,其提醒著控制變量值得反復審計。

Ⅶ:邏輯理性

關鍵詞:私鑰,雙花攻擊,tx.origin,邏輯漏洞

去中心化跨鏈交易協議Anyswap遭到攻擊,漏洞原因在于其V3路由器MPC帳戶下存在兩個v3router交易,這兩個交易具有相同的R值簽名,攻擊者可以反推出MPC賬戶的私鑰,損失約800萬美元。

BSV網絡遭受惡意攻擊,造成多個區塊重組,攻擊者借此進行了雙花攻擊。

去中心化跨鏈交易協議THORChain遭受多次攻擊,因其代幣特性tx.origin可被用做釣魚,損失約2500萬美元。

收益耕作協議PolyYeldFinance遭受攻擊,因其轉賬時存在實際到賬少于轉出的缺陷,被黑客利用控制了MasterChef合約中代幣,實現超額獎勵。

安全月度風險評估:中高

月度評價:本月存在各類型的邏輯漏洞,涉及私鑰、轉賬已經功能特性等,需做更全面的考慮。

Ⅷ:危險之最

關鍵詞:年度損失之最,重入攻擊,同類型協議攻擊,閃電貸

以太坊上DeFi協議PopsicleFinance遭遇閃電貸襲擊,漏洞原因在于PLP池合約對手續費獎勵的計算存在缺陷,損失2,070萬美元;

跨鏈協議PolyNetwork遭到攻擊,由于函數缺陷導致keeper可被修改,這次攻擊被稱為年度最大黑客事件,損失約6.1億美元;

BSC鏈上DeFi項目Dot.Finance遭受閃電貸攻擊,這次攻擊屬于PancakeBunny同類型協議攻擊,損失近43萬美元,迄今為止,此類攻擊已造成損失超5,000萬美元;

以太坊上的DeFi協議CreamFinance遭遇重入漏洞襲擊,損失超1800萬美元;

安全月度風險評估:高

月度評價:本月各類攻擊損失都十分巨大,還有著堪稱全年損失之最的PolyNetwork攻擊,該月份攻擊不僅影響到新興的跨鏈項目也對同類型的協議敲響警鐘,這份影響持續著整個區塊鏈安全生態。

Ⅸ:問題依舊

關鍵詞:初始化攻擊,恒定乘積校驗,預言機操控,閃電貸

NFT賽馬項目DeRac被攻擊,其漏洞原理是:Vesting合約未進行init未初始化保護,從而讓黑客初始化了init中他想要的參數,最后通過緊急提款函數提取了合約資金,損失約400萬美元。

去中心化交易所NowSwap遭到黑客攻擊,由于沒有修改swap函數的參數導致閃電貸的恒定乘積校驗邏輯失效,攻擊者返還部分閃電貸金額即被認為是完全歸還,從而實現了攻擊,損失金額超100萬美元。

借貸協議Vee.Finance,超3500萬美元資產被盜,據官方調查,極可能是小數點未精確以及權限校驗問題導致預言機價格被操縱。

去中心化借貸協議Compound出現變量設置錯誤轉移了更多的COMP代幣,該漏洞損失約28萬枚COMP代幣。

安全月度風險評估:高

月度評價:本月各類攻擊損失依然巨大,但相較于新型漏洞,大多數漏洞都屬于可追溯漏洞即已經出現過的漏洞。

Ⅹ:漏洞多樣化

關鍵詞:價值描述,修補方案,多次攻擊

以太坊上被動收益協議IndexedFinance遭到攻擊,其漏洞產生的原因在于協議通過一種代幣來描述整個礦池價值,損失約1600萬美元。

去中心化借貸協議Compound在試圖通過社區提案修補流動性挖礦代幣分發合約含有的漏洞的同時,因為drip()函數的調用而向漏洞合約打入了20萬枚comp代幣,由此該協議已面臨1.58億美元的潛在損失。

以太坊上DeFi借貸協議CreamFinance再遭受攻擊,此次攻擊產生的核心代碼原因在于價格因子pricePerShare通過簡單的資產數額占比來動態定價,損失約1.3億美元。

安全月度風險評估:高

月度評價:各種漏洞產生的情況也是各有不同,有礦池功能存在問題、有兌換功能存在問題、甚至有鑄幣功能存在問題等,但是CreamFinance該年度已經多次遭受攻擊實屬應該做好防護。

Ⅺ:問題多元化

關鍵詞:預言機操控,治理攻擊,私鑰泄露

以太坊上的DeFi協議VesperFiFianance遭遇預言機操控攻擊,損失超300萬美元。

Curve.Finance遭Mochi穩定幣USDM團隊「治理攻擊」,損失超3000萬美元。

DeFi借貸協議bZx在Polygon和BSC鏈上的私鑰泄露事件已導致超5500萬美元資產被盜。

安全月度風險評估:高

月度評價:該月份同樣問題嚴重,有傳統的預言機安全問題、私鑰泄露問題甚至還有著項目方反擼礦工的操作。

Ⅻ:經典再現

關鍵詞:閃電貸,重入

Fantom鏈上復合收益平臺GrimFinance遭遇了閃電貸攻擊,攻擊者利用depoistFor函數不存在token校驗,通過將token地址指向自己的攻擊合約實現重入攻擊,損失超3000萬美元。

Definer遭遇預言機操控攻擊,問題在于OEC鏈上對于預言機的實現存在問題,使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生。

安全月度風險評估:中

月度評價:傳統的預言機安全問題與重入安全問題,但是殺傷力依舊巨大。

總結

凡是過去,皆為序章。

2021年,注定是不平凡的一年。對區塊鏈而言,各種新事物不斷出現的同時,也產生了諸多的安全問題,同時帶來了全新的安全挑戰。

在這些種種安全事件中最亮眼的名詞當屬閃電貸,在上述經典攻擊事件中閃電貸工具被使用了數10次。而攻擊難度低,收益高的跑路和詐騙也時有發生。每年對于區塊鏈安全所造成的損失也仍在不斷增加,并且沒有一絲暫緩之勢。

在這些攻擊中,DeFi仍是區塊鏈安全的重災地,由于各種項目方實現的多樣性和復用代碼造成的理解差異,導致了如此多的經濟損失值得每一個人深思。這不是某一個人或者某一個組織的事,而是需要整體行業大眾普遍安全意識的提升。

最后,希望大家在新的一年中,以史為鑒,砥礪前行。

Tags:ANCEFIDEFIDEFpSTAKE FinanceUMEfinancePINETWORKDEFI價格defibox幣有價值嗎一直跌

比特幣交易
如果你不是每天都被拒絕,那你的目標可能還不夠宏大-ODAILY_EOS:MetaverseMGL

我最有用的職業經歷大約是八年前,當時我正試圖打入由風投支持的初創公司的世界。我申請了數以百計的工作:低級別的風險投資角色、初創公司的工作,甚至是大的科技公司。但是我被每一家公司拒絕.

1900/1/1 0:00:00
Coinbase 的新提案將如何打破加密行業的監管窘境?-ODAILY_數字資產:COI

出品|白澤研究院 美國領先的加密交易所Coinbase的首席執行官布賴恩·阿姆斯特朗(BrianArmstrong)昨日在一條推文中表示,Coinbase推出了其數字資產政策提案.

1900/1/1 0:00:00
DAOrayaki|Forefront:塑造社區的貢獻區-ODAILY_DAO:FOR

不斷變化的社區 新的數字原生城市正在出現:首先以數字空間的形式出現,很快以社區的物理表現形式出現。當我們共同構造這些新組織時,需要重新審視舊的工作方式和成員資格.

1900/1/1 0:00:00
比特幣Taproot升級在即:它的來源、內容與影響是什么?-ODAILY_Tap:ROOT

吳說作者|袁奔 本期編輯|ColinWu近期,比特幣將迎來自己的的一次重要的軟分叉升級Taproot,超過90%的礦工同意了這次升級,因此不太可能會出現SegWit升級時出現的社區分叉論戰.

1900/1/1 0:00:00
為什么頭像能夠主導NFT市場熱潮?-ODAILY_NFT:GoCryptoMe

區塊鏈收藏品有多種風格,但其中一種顯然是領先的。CoinMarketCap的數據顯示,在市值排名前十的NFT系列中,有七款可以被稱為“頭像NFT”——基本上是卡通人物或像素化人物的頭像.

1900/1/1 0:00:00
DAOrayaki |DAO民主投票系列:民主投票機制綜述-ODAILY_DAO:aragon

本文是DAO民主投票系列的第一篇,直播鏈接:https://b23.tv/BbaJM3;去中心化的概念是顛覆的。千百年來,我們一直在講有序的故事,越是有序,越體現文明.

1900/1/1 0:00:00
ads