加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > Ethereum > Info

區塊鏈十大攻擊方式系列二:DeFi 黑客攻擊 真是防不勝防_區塊鏈:Amun DeFi Momentum Index

Author:

Time:1900/1/1 0:00:00

歡迎來到成都鏈安策劃的『區塊鏈10大攻擊方式』系列文章。上周分享了區塊鏈十大攻擊方式系列(1)——51%攻擊,大家看的還過癮嗎?

閑話少說,今天,我們開啟系列文章第二篇——DeFi 黑客攻擊,繼續為大家講解區塊鏈安全生態領域的那些攻擊套路、漏洞。

區塊鏈技術的誕生,為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破。其中「去中心化金融(DeFi)」便是這兩年最為火熱的應用之一。

DeFi 是去中心化金融Decentralized Finance的縮寫,它指的是基于區塊鏈的金融服務體系。

和現在的金融體系不同,用戶的資金不會存放在第三方的金融機構中,而是通過各種智能合約去實現協議和信任,如此可以最大程度地減少風險。它是一個完整的開源生態系統,提供貸款、交易、資產管理和支付等金融服務。

Zetrix與MIMOS合作運營馬來西亞國家區塊鏈基礎設施:10月7日消息,周五的一份新聞稿稱,馬來西亞的區塊鏈基礎設施將由位于馬來西亞的一層區塊鏈結構Zetrix和技術咨詢公司MIMOS Technology Solutions Sdn.Bhd.(MTSSB)共同創建和運營,這兩個實體簽署了諒解備忘錄(MOU)。馬來西亞的國家區塊鏈基礎設施將面向各級政府和商業部門。(CoinDesk)[2022/10/7 18:42:03]

DeFi攻擊事件頻發,最主要的原因還是其累計了巨額的資產。面對巨大的誘惑,黑客必然會想方設法去攻擊。比如跨鏈項目不僅僅是鏈上智能合約,還有鏈下的代碼,無論哪一部分出現了問題,都會被黑客所利用。

湖南日報:探索區塊鏈技術整合政法系統:湖南日報發文稱,推動社區防控網格化管理,平臺要由“散”向“精”轉變,實現公共資源高效整合。針對基層事務“散、雜、細、多”,我們探索利用區塊鏈技術,把政法系統的綜治中心、的天網工程、組織部部門的村級綜合服務中心等各種平臺整合形成一個系統、一個平臺,堵住“各自為戰”的漏洞,補齊局限和短板,將“單兵作戰”轉向“融合作戰”,減少資源浪費,簡化多頭管理,發揮資源整合的聚集疊加效應,逐步實現“人在網中走、事在格中辦”。[2020/3/10]

2022 年第一季度,區塊鏈領域共發生典型安全事件超過30起。總損失金額超12億美元,與去年同期相比增長了823%。

A股開盤:深證區塊鏈50指數上漲1.41%:金色財經報道,A股開盤,上證指數報3033.43點(+0.68%),深證成指報11593.91點(+0.84%),深證區塊鏈50指數報3691.73點,上漲1.41%。區塊鏈板塊上漲1.14%,201只概念股中,164漲26跌10平1停牌,漢威科技(+10.03%)、神州泰岳(+9.93%)領漲;當代東方(-3.10%)領跌。

數字貨幣板塊上漲1.33%,32只概念股29漲3跌,漢威科技(+10.03%)領漲,智度股份(-1.59%)領跌。[2020/3/5]

數據顯示,DeFi項目仍為黑客攻擊的重點領域,其中主要涉及到的安全問題包括:閃電貸攻擊、私鑰泄露、智能合約重入攻擊、Rugpull等等。

閃電貸攻擊

閃電貸就是在一筆鏈上交易中完成借款和還款,無需抵押。由于一筆鏈上交易可以包含多種操作,使得攻擊者可以在借款和還款間加入其它鏈上操作,以極低的成本撬動巨額資金,結合其他漏洞進行套利、價格操縱等攻擊。

動態 | 金融機構開始認識到比特幣在區塊鏈技術領域的重要性:據beincrypto消息,加密投資平臺BnkToTheFuture的創始人兼首席執行官Simon Dixon最近將當前資本流向加密資產的行為,描述為數百年來規模最大的財富轉移事件。在過去幾年,全球許多大型銀行和投資基金更關注的是區塊鏈技術而非比特幣,隨著社交網絡巨頭Facebook 推出Libra,該公司明確地將其稱為加密貨幣,而不是基于區塊鏈系統的產品。人們對比特幣和更廣泛數字資產領域的看法也發生了重大轉變,開始認識到了類似比特幣的分布式記賬技術在區塊鏈技術領域重要性。[2019/6/24]

比如2022年4月17日,算法穩定幣項目Beanstalk Farms遭黑客攻擊,黑客獲利近8000萬美元,黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備,再利用惡意提案,導致本次攻擊的發生。

詳細分析可點擊此處閱讀:黑客獲利近8000萬美元,惡意提案如何防范?Beanstalk Farms被攻擊事件分析

私鑰泄露:

項目方由于遭受社會工程學或傳統網絡安全攻擊,導致私鑰泄露,從而項目方地址權限被盜取,從而攻擊者可進行轉賬、提取等任意操作。

比如在2022年2月10日,DeFi應用Dego Finance遭到黑客攻擊,成都鏈安安術團隊進行分析時發現本次攻擊由于項目方私鑰泄露,黑客利用私鑰提取了多個鏈上的資產。

詳細分析可點擊此處閱讀:被盜約1700萬美元,DeFi 世界的樂高Dego Finance就這樣“塌了”嗎?

智能合約重入攻擊:

在存在外部合約調用的項目中,如果外部合約調用發生在賬本更新之前,且外部合約調用可以被用戶控制,那么該項目可能存在重入風險。在項目未做重入防范的情況下,惡意的攻擊者可以通過重入攻擊威脅項目資金安全。

比如在2022年3月31日,Ola Finance遭遇智能合約重入攻擊,損失約為467萬美元。

詳細分析可點擊此處閱讀:約467萬美元的損失!Ola Finance被攻擊事件簡析

Rug pull:

“Rug Pull”是指項目方撤出支持、DEX流動性池或突然放棄一個項目,毫無征兆地就卷走投資者的資金。這是一個DeFi領域典型的退出騙局。

從黑客的角度來看,對區塊鏈生態系統的攻擊是一種理想的手段。因為這些系統是匿名的,而且行業暫時缺乏技術監管,這使得網絡犯罪分子可以通過攻擊安全性較低的 DeFi 項目或實施Rug Pull來獲取金錢收益。

經成都鏈安安全團隊梳理和總結,2022年第一季度的安全事件中,盡管70%的被攻擊項目經過了第三方安全公司的審計,但是30%未審計的項目,其被攻擊之后的損失金額也達到了7.2億美元,占第一季度總損失金額的60%。

可見?DeFi?項目上線之前的審計依舊重要。在我們研究之后,發現在未審計的項目中,50%的攻擊手法都為合約漏洞利用。因此,盡早審計和及時修復代碼漏洞,可以避免上線后項目被攻擊造成的嚴重損失。

DeFi 為許多機會打開了大門,特別是對于那些熱衷于推動加密市場向前發展同時保持資金流動的去中心化模塊的投資者和開發商。由于DeFi熱潮的興起,該領域也自然成為了黑客“大展拳腳”的重點對象。

安全性仍然是 DeFi 生態系統面臨的重大挑戰,因此DeFi項目方應做好前置預防工作,引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案,完善安全防護機制。作為用戶,在選擇項目時,應留意該項目是否經過安全審計,切不可掉以輕心。

Tags:區塊鏈DEFIDEFEFI區塊鏈幣在中國合法嗎去中心化金融defi入門分析與理解Amun DeFi Momentum IndexDEFILANCER

Ethereum
金色前哨 | PayPal向外部加密錢包敞開大門_PAY:比特幣

PayPal不再是加密貨幣中的孤島。該公司6月7日宣布,在其PayPal賬戶錢包中持有加密貨幣的人現在將能夠通過外部錢包和交易所發送和接收數字資產.

1900/1/1 0:00:00
Web3.0:中國如何引領互聯網技術變革?_WEB:WEB3

2021年是新技術的爆發年:腦機接口技術、區塊鏈和非同質化代幣(NFT)、擴展現實技術(XR)等相關前沿加速發展,一個基于信任機制的、連接虛擬世界與現實世界的數字經濟發展新互聯網時代逐漸顯現.

1900/1/1 0:00:00
NFT 2.0: 下一代的NFT將是精簡且值得信賴的NFT

非同質化代幣(NFT)近年來一直是頭條新聞。當很多人試圖弄清楚NFT存在的原因時,其需求已經飆升,機構已經建立,這個術語已經進入我們的集體意識.

1900/1/1 0:00:00
晚間不讀5篇 | 代幣設計和發行的 30 個注意事項_WEB:TOKE

1.Consensys:代幣設計和發行的 30 個注意事項如果把加密貨幣比作 web2 世界中的網站,那么 SEO 和可搜索性就是通過流動性池和做市實現這些代幣的無縫分配.

1900/1/1 0:00:00
風口之上 誰已入局元宇宙?_元宇宙:元宇宙平臺公司經營范圍

朋友,你聽說過 " 元宇宙 " 嗎?你想探索馬爾代夫的海底嗎?想在火星漫步嗎?或是想在私人游艇上開 Party 嗎?未來已來,在數字鋼筋構建起來的元宇宙中.

1900/1/1 0:00:00
用 NFT 講故事是采用自上而下的方式 還是自下而上的方式_NFT:NFTY價格

一個好故事能讓你心有所感。這故事如果還歸你所有,那這些情緒就更加強烈了。無論故事新舊,NFT 都能夠成為講述它們的極佳方式。過去幾個月中,有些項目一直在探索這個跨界領域.

1900/1/1 0:00:00
ads