加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 波場 > Info

近4億美元損失,Solana的黑客攻擊都有什么共同點?_APP:Quoll Finance

Author:

Time:1900/1/1 0:00:00

原文作者:sec3

原文編譯:ChinaDeFi

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。

重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:

Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;

CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;

CryptoPunks系列NFT 24小時交易額增長近400%,位列OpenSea榜首:金色財經報道,OpenSea最新數據顯示,CryptoPunks系列NFT過去24小時的交易額為713ETH,增長率為395%。24小時交易額排名位列OpenSea第一。[2022/10/15 14:29:03]

CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;

Nirvana:通過閃貸操縱價格,350萬美元被盜;

Slope錢包:由于助記詞被泄露,400萬美元被盜。

在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。

華爾街日報:Coinbase為熊市儲備近44億美元現金:8月19日消息,Coinbase截至6月底已積累了43.6億美元的現金儲備,遠高于去年底的11億美元,此舉旨在確保該公司能在面臨監管打擊、網絡攻擊和交易量下降等潛在商業風險的情況下繼續增長。Coinbase首席財務官Alesia Haas表示:我們希望維持這些現金儲備,以便在加密熊市到來時,可以繼續投資,繼續發展我們的產品和服務。Coinbase絕大部分收入和利潤都來自交易費用,上周,Coinbase二季度財報顯示凈收入突破16億美元,去年同期僅為3200萬美元,月交易散戶增加約六倍,達到880萬。該公司還擁有約9000家機構客戶。近幾個月,Coinbase相繼收購了數據分析平臺Skew、投資可視化公司Zabo以及區塊鏈基礎設施提供商Bison Trails。(華爾街日報)[2021/8/19 22:23:02]

Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。

行情 | 全球加密貨幣市場24小時交易量創近4個月新低:據CMC數據顯示,全球加密貨幣市場24小時交易量在今日一度下降至400億美元下方,創近4個月新低。截至目前,全球加密貨幣24小時交易量為406.8億美元。其中,過去24小時比特幣交易量為111.17億美元。目前,比特幣市值占比為69.19%。[2019/9/1]

CashioApp:黑客創建了8個假賬戶來通過有效性檢查。

CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。

Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。

SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。

動態 | EOS dApp活躍用戶為以太坊近4倍:據ambcrypto報道,最近,以太坊及EOS的dApp每日活躍用戶高達約65000個。其中,約有51000名用戶使用EOS,當中45000人參加了與賭博相關的dApp。使用EOS的dApp活躍用戶為使用以太坊的近4倍。[2018/10/11]

2.所有黑客攻擊都涉及多次交易

Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。

CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。

CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10筆閃貸交易,從不同的代幣池中進行竊取。

Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。

SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。

3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)

Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。

CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。

CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。

Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。

Slope錢包:廣泛的攻擊持續至少8個小時。

4.最大的損失是由于缺少帳戶驗證

前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。

無論是否是巧合,這些攻擊都造成了很大的經濟損失。

5.閃貸牽涉到兩次黑客攻擊

CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。

在CremaFinance,閃貸被用來引導存款流動性。

在Nirvana中,其內部價格預言機被閃貸操縱。

安全措施:

賬戶所有權

賬戶簽名者

帳戶之間的關系(或邏輯約束)

根據協議邏輯,還應該檢查:

如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。

如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。

監控SOL或SPL代幣的大規模轉移;

監控針對你的智能合約的閃貸交易;

通過升級依賴程序來監控潛在的漏洞;

監控異常狀態(例如,計算費用);

監控往返交易事件例如deposit-claim-withdraw在單個tx中);

監控來自同一簽名者的重復交易;

任何針對協議特定屬性的自定義監控。

如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。

Tags:APPOLENCEANC亦來云幣appOLEA價格Quoll FinanceCylum Finance

波場
非托管錢包Omni完成1100萬美元融資_ENT:Terra

9月7日消息,非托管錢包Omni以5000萬美元估值完成1100萬美元股權融資,參投方包括SpartanGroup、GSRVentures和EdenBlock.

1900/1/1 0:00:00
比特幣價格分析:BTC 遭受重創_比特幣:加密貨幣

比特幣價格開始新跌破20,000美元區域。價格現在低于20,000美元和55個簡單移動平均線。在BTC/USD貨幣對的4小時圖上,有一條關鍵的看跌趨勢線形成,阻力位在19,550美元附近.

1900/1/1 0:00:00
科普 | 什么是粉絲Token?_TOK:UBGToken

傳統的范式是,無論是球隊還是樂隊,粉絲和他們偶像之間的關系都是單向的:粉絲們購買門票和商品,球隊或樂隊賺取收益。現在,這種關系即將被一種新型的加密資產——粉絲Token,所改變.

1900/1/1 0:00:00
Hubble Protocol獲得500萬美元融資,Multicoin Capital領投_HUB:ITA

金色財經報道,基于Solana的穩定幣借貸平臺HubbleProtocol周四宣布,該公司在由MulticoinCapital領投的一輪戰略融資中籌集了500萬美元.

1900/1/1 0:00:00
CertiK 8月報:31起重大攻擊事件,最高一次蒸發近2億美元_CER:football幣發行總量

Web3.0世界本年度發生了共計377次黑客攻擊,到目前為止因漏洞風險及騙局所造成的資產損失已達到了約2,338,681,983美元.

1900/1/1 0:00:00
以太經典單日上漲 28%,市值增加超過 10 億美元_ETC:以太經典

在主以太坊(ETH)區塊鏈上實施合并更新之前的幾天里,加密貨幣投資者繼續對以太坊經典(ETC)表現出越來越大的興趣。ETC購買壓力凸顯了這種興趣,導致大量資金涌入代幣.

1900/1/1 0:00:00
ads