加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

2020攻擊事件總結:900億人民幣不翼而飛 2021我們如何遠離黑客?_NCE:SoccerInu

Author:

Time:1900/1/1 0:00:00

“如果那東西看上去像鴨子,走起路來也像鴨子,我們就說它是鴨子。”這句來自某位政客所說的話被許多人奉為圭臬。如同我們每一個人,很多時候我們對外界釋放出的信息都會再通過外界評價反饋和影響到自身。這個道理不僅僅應用于某一個特殊領域,相反,它在所有事情上都可以找到痕跡。

區塊鏈發展日久,但對于很多人來說,它依舊是一個暗藏著騙局、跑路、黑客的法外之地。人們心中的認知很難被其他信息所影響,當然,這也的確需要歸因于目前區塊鏈項目所受的攻擊愈發猛烈。在鋪天蓋地的黑客事件中,想要扭轉人們對于區塊鏈的不安和抗拒只有依靠提高區塊鏈的安全標準,建立安全健康的區塊鏈生態。同理,當整個區塊鏈不再受負面新聞所纏身時,這個“鴨子”也會變成有利的那一只。

經統計,2020年傳統領域的網站及軟件安全率達到了97.5%,其中損失最大的一筆資產僅僅是接近5萬人民幣。而區塊鏈領域內,智能合約及相關節點的安全率只有89%,且損失往往處于600萬至6,000萬人民幣之間,這是需要幾個大卡車都運不下的天價資產。一次來自于區塊鏈領域的損失資產,也許就是傳統網絡損失資產的千倍以上。因此,CertiK安全專家盤點了2020年較為典型的23個區塊鏈項目,分析了其受攻擊的原因和黑客使用的攻擊方式,以作為業內安全事故警示的參考。在分析的這23個區塊鏈項目中,其中實現邏輯錯誤所導致的攻擊事件8起,價格預言機操縱事件5起,項目方欺詐事件4起,重入攻擊事件3起,閃電貸攻擊事件2起,錢包攻擊事件1起。這些安全事故項目列表如下:

Berenberg:將比特幣2024年4月的預測價格上調至5.66萬美元:金色財經報道,Berenberg周三在一份報告中表示,將2024年4月的比特幣(BTC)價格預測上調至56,630美元。此外,該銀行重申了對MicroStrategy股票的買入評級,并將其股價目標從430美元上調至510美元。該銀行表示,將截至2024年4月下旬該公司持有的比特幣價值預估從62.7億美元上調至87.4億美元。它將商業智能軟件業務的價值預估從8.59億美元上調至13.7億美元。[2023/7/12 10:51:13]

表1:2020年區塊鏈重大事故項目列表

圖一:2020年區塊鏈重大事故項目損失圖表一和圖一展示了2020年區塊鏈重大事故項目損失情況。

圖二:攻擊類型損失圖

2020年重大攻擊事件明細

CoverProtocol

2020年12月28日晚,CertiK安全驗證團隊發現CoverProtocol發生代幣無限增發漏洞攻擊。攻擊者通過反復對項目智能合約進行質押和取回操作,觸發其中包含鑄造代幣的操作,對Cover代幣進行無限增發,導致Cover代幣價格崩盤。最終損失共計約2850萬人民幣。WarpFinance

2020年12月17日,攻擊者利用WarpFinance項目使用的oracle計算質押的LP代幣資產價格錯誤的漏洞,從Warpfinance項目中獲利約1462枚ETH代幣,總價值約615萬人民幣。此外,攻擊者還mint了價值大約3,990萬人民幣的DAI-ETHLPshare,約650萬人民幣的獲利流入了uniswap和sushiswap的LP中。在本次攻擊中,Warpfinance遭受的損失大約為5,000萬人民幣。Compounder.Finance

美國銀行業貸款規模升至2021年3月以來的最高水平:5月17日消息,美聯儲每周數據顯示,一項衡量美國銀行業貸款規模的關鍵指標走高,安全資產所占比例下降。數據顯示,截至5月4日當周,美國銀行業的貸款和租賃占總資產的比重從上一季度的49.03%升至49.18%。該報告的重點包括:總資產從22.69萬億美元降至22.65萬億美元,安全資產(幾乎無風險的投資,例如現金、美國國債和實際上由美國政府擔保的證券)所占比例從48.2%降至48.1%,貸款和租賃占存款的比重從61.3%上升至61.5%。(財聯社)[2022/5/17 3:20:18]

2020年12月1日下午3點,CertiK安全技術團隊通過Skynet發現Compounder.Finance項目智能合約發生數筆大量代幣的交易。經過仔細驗證得知這些交易為內部操作,項目擁有者將大量數額代幣轉移到自己的賬戶中。經過統計,最終共損失價值約7,610萬人民幣的代幣。SushiSwap

2020年11月30日,Sushiswap項目被發現遭到惡意流動性提供者的攻擊,攻擊者利用該項目SushiMaker合約中的漏洞進行攻擊,最終獲利約10萬人民幣。Compound

2020年11月26日,Compound項目發生價格預言機代幣價格錯誤。其所采用的Coinbase價格預言機對DAI價格出現巨大波動,導致約58,250萬人民幣的資產被清算。PickleFinance

1475 孫赫:Filecoin或將成為2021年牛市發動機:據官方消息,11月10日,1475副總裁孫赫在媒體直播間發表了自己的觀點:Filecoin或將成為2021年區塊鏈行業牛市發動機。

孫赫表示,每一次比特幣減半后確實都會帶來一波牛市,這一次比特幣減半帶來的大牛市還是大概率會發生,時間應該會是在2021年。而比特幣只是牛市的“敲門磚”,需要如17年以太坊一樣量級的項目去引爆。IPFS背后是億萬級的存儲市場,相信只要Filecoin能夠成熟發展,它不僅能實現自身的價值,同時也能帶動比特幣的增長,成為2021年牛市的發動機。[2020/11/10 12:14:28]

2020年11月22日凌晨2點37分,CertiK安全驗證團隊通過Skynet發現PickleFinance項目遭到攻擊。攻擊者利用合約中未檢查外部Jar合約是否合法的漏洞進行攻擊。最終項目共損失約1975萬枚Dai代幣,價值約12,800萬人民幣。OriginProtocol

2020年11月17日,OriginalProtocol項目OUSD遭到閃電貸與重入攻擊的組合攻擊。攻擊者利用合約中mintMultiple()函數中的重入漏洞,增加閃電貸貸來的資金作為杠桿,擴大攻擊收益。項目最終損失約4,500萬人民幣。CheeseBank

2020年11月16日,DeFi項目CheeseBank遭到閃電貸攻擊。攻擊者通過操縱流動性池中代幣數目,利用重置預言機來提高UniswapLP流動性憑證價格進行攻擊。最終項目損失約2,100萬人民幣,其中包括價值1,300萬人民幣的USDC。ValueDeFi

MOMOEX即將于2020年5月8日上線BJLC/USDT交易:據官方消息,MOMO交易平臺即將開放BJLC的充值、提現,并開放BJLC/USDT交易對,具體時間如下:

1.開放充值時間:5月7日 18:08 (GMT+8);

2.開放交易時間:5月8日 10:30 (GMT+8);

3.開放提現時間:5月8日 11:00 (GMT+8);

BJL智能區塊鏈平臺——基于NEO\\ONT底層,為用戶提供點對點通證銷售服務。降低商品在銷售過程中的信用成本。目前主要產品是智能錢包(APP、網頁、PC)、NEO區塊瀏覽器,后續將在智能錢包中集成智能交易、智能鎖倉、智能預測、dapp商城等其他智能合約應用。

MOMOex數字資產管理與交易平臺的經營理念是“安全合規、服務客戶、誠信共贏、回報社會”。[2020/5/7]

2020年11月15日,DeFi項目ValueDefi遭到閃電貸攻擊。攻擊者通過項目中使用Curve價格預言機,通過閃電貸操縱預言機代幣價格計算漏洞進行攻擊。最終攻擊者獲利約4,800萬人民幣價值的DAI。AxionNetwork

2020年11月2日晚上,黑客利用AxionStaking合約的unstake函數設法鑄造了約800億個AXN代幣。黑客隨后將AXN代幣在Uniswap交易所中兌換以太幣,重復此過程,直到Uniswap中ETH-AXN交易對的以太幣被耗盡,同時AXN代幣價格降至0。該攻擊是內部操作造成的,該內部操作通過在部署代碼時,對項目依賴的OpenZeppelin依賴項注入惡意代碼,最終損失約330萬人民幣。HarvestFinance

現場 | 蔣國飛:2020年會看到更好的發展,更多行業會擁抱區塊鏈技術:金色財經現場報道,今日,螞蟻金服智能科技事業群總裁蔣國飛在現場首先總結了過去一年的發展。他指出,過去一年區塊鏈行業有非常大的變化,區塊鏈成為了中國的國家戰略,得到很多的關注,其次,產業區塊鏈開始出現,現在進入了區塊鏈的實際應用,同時,國際上的Libra等將大眾的關注提到了一個新的高度。對于螞蟻金服,蔣國飛指出螞蟻金服的專利數量很多,約1000個,在實際應用中,有大批應用出現,在產業規模方面,螞蟻金服做了好的開放平臺,區塊鏈云服務已經有很多客戶在其上開發應用,同時為了降低門檻,螞蟻金服開放聯盟鏈,幫助中小企業開發自己的應用。蔣國飛還認為,2019年看到了希望,2020年會看到更好的發展,更多行業會擁抱區塊鏈技術,挖掘其價值,技術會做的更深,會有更好的生態連接。[2020/1/8]

2020年10月26日Harvest.Finance項目發生套利攻擊事件,損失超3380萬美元。根據官方報告,計算了攻擊者返還給項目的1300萬USDC和11萬USDT之后,總損失超過2億人民幣。在Harvest.Finance這次的套利攻擊事件中,攻擊者通過影響USDC、USDT代幣的價格來進行套利。Eminence

2020年9月29日,攻擊者使用腳本程序,通過閃電貸借得初始資金,利用Eminence項目中的聯合曲線模型漏洞,反復購買出售EMN和eAAVE來獲得收益。項目最終損失約9,800萬人民幣。GemSwap

2020/09/26日,DeFi項目GemSwap遭到項目擁有者的后門攻擊。項目擁有者通過調用后門函數emergencyWithdraw()將所有的流動性證明取出并轉移至自己擁有的賬戶中,最終項目損失約850萬人民幣。SodaFinance

2020年9月21日,CertiK安全研究團隊發現soda區塊鏈項目中存在智能合約安全漏洞。該漏洞允許任意外部調用者通過調用智能合約函數,無視受害用戶債務中的代幣數目,強行結算受害用戶的債務,并將通過結算操作所得的收益轉入到自己的收款地址。最終項目損失約105萬人民幣。BASED

2020年8月14日,流動性挖礦項目Based出現初始化失誤造成的漏洞。其智能合約在進行部署時,Base官方僅通過調用智能合約中的renounceOwnership函數聲明了所有者,而并沒有對智能合約初始化。而一名外部攻擊者在Based官方之前,搶先調用initialize函數對智能合約進行了初始化。YAM

2020年8月12日,YAMFinance官方宣布他們發現了一個智能合約漏洞,并稱該漏洞將生成超出最初設定數量的YAM代幣,在計算totalSupply時,給出了錯誤的結果,這會導致系統保留的代幣數量過多。最終項目損失約500萬人民幣。NUGS

2020年8月11日,CertiK安全研究團隊發現基于以太坊的代幣項目NUGS出現安全問題。其智能合約中存在安全漏洞,致使其代幣系統出現巨額通脹。由于該智能合約的安全漏洞無法被修復,因此最終NUGS項目官方發布公告決定放棄該項目,存入其中的代幣也無法被取出。此次攻擊損失巨大,直接造成該項目失敗。Opyn

2020年8月4日,DeFi項目Oypn發生攻擊事件。攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。攻擊者在向智能合約中發送某一數量的ETH時候,智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致,而不是動態的檢查攻擊者發送的ETH數量是否在每一次的交易之后仍舊等于完成該次期貨買賣所需要的數量。也就是說,攻擊者可以用一筆ETH進行抵押,并在贖回兩次交易,最終獲得自身發送數量兩倍的ETH最終項目損失約240萬人民幣。Cashaa

第一次攻擊發生于7月10日北京時間晚6點57分,Cashaa的比特幣錢包之一被盜用并向攻擊者賬戶轉移了1.05977049個BTC。根據Cashaa報告中描述,攻擊者通過控制受害者電腦,操作受害者在Blockchain.info上的比特幣錢包,向攻擊者賬戶轉移BTC。第二次攻擊發生于7月11日北京時間凌晨8點10分,Cashaa的總計8個比特幣錢包,共計335.91312085個比特幣被攻擊者通過同樣的手段轉移到同一個地址中。最終項目損失約2,000萬人民幣。Balancer

2020年6月29日凌晨2點03分,攻擊者利用從dYdX閃電貸中借到的WETH,大量買進STA代幣,使得STA與其他代幣的兌換價格急劇上升。然后使用最小量的STA不斷回購WETH,并在每次回購后,利用Balancer的合約漏洞重置其內部STA的數量,以此穩住STA的高價位。攻擊者不斷利用漏洞,用高價的STA將某一種代幣完全買空,最終用WETH償還閃電貸,并剩余大量STA,WETH,WBTC,LINK和SNX,并通過uniswap將非法所得轉移到自己賬戶中。繼6月29日凌晨2點CertiK捕獲Balancer攻擊事件后,2020年6月29日20點與23點23分,Balancer項目再次遭到攻擊。攻擊者從dYdX閃電貸中借到代幣并鑄幣后,通過uniswap閃貸獲得cWBTC和cBAT代幣,然后將借得的代幣在Balancer代幣池中大量交易,從而觸發Compound協議的空投機制,獲得空投的COMP代幣,再使用Balancer有漏洞的gulp()函數更新代幣池數量后,取走所有代幣并歸還閃電貸。攻擊者相當于利用了Compound協議的金融模型、閃電貸和Balancer代碼漏洞,無中生有了COMP。兩次攻擊直接導致Balancer損失了約300萬人民幣。Hegic

2020年4月27日,Hegic項目中由于代碼實現存在錯誤,導致合約中用戶資金被鎖定,無法被任何方法操作。最終項目損失約18萬人民幣。Lendf.Me

2020年4月19日,Lendf.me項目遭到基于ERC777標準缺陷問題的重入攻擊。最終項目損失約16,200萬人民幣。Uniswap

2020年4月18日,DeFi項目Uniswap遭到攻擊。攻擊者利用ERC777可以在同一筆交易中完成代幣兌換的特性,通過其tokensToSend()函數對Uniswap進行重入攻擊。最終Uniswap項目損失共計約150萬人民幣。總結

從上文的數據統計里可以看出,這23次重大攻擊事件,損失總金額高達約18億人民幣。這18億人民幣被包括價格預言機操縱、重入攻擊、實現邏輯錯誤、閃電貸攻擊、項目方欺詐、錢包攻擊在內的各種攻擊方式所盜取,讓人防不勝防。計算機領域中早有統計,平均每1000行代碼中,會有1-25個bug。也就是說,這個概率的區間是千分之一至百分之二點五。

Tags:NCE區塊鏈ANCCERCap Finance區塊鏈域名成交Crypto Against CancerSoccerInu

酷幣下載
關于ZT創新板即將上線MC的公告_XRP:xrp幣有銷毀機制嗎

尊敬的ZT用戶:ZT創新板即將上線MC,并開啟MC/USDT交易對。具體上線時間請關注官網公告.

1900/1/1 0:00:00
霍比特關于“USDT 28日定期(第一期)”Staking 產品上線的公告_BTC:hbc幣最新價格

尊敬的社區用戶: 為回饋用戶長期的關注與支持,霍比特交易所將于1月12日16:00正式上線“USDT28日定期”Staking產品.

1900/1/1 0:00:00
Gate.io理財寶DOT PoS挖礦活期理財正在進行,年化收益9%_GAT:HTT幣

Gate.io芝麻金融理財寶Polkadot活期PoS挖礦理財正在進行中,歡迎前往一鍵理財:https://www.gateio.pro/hodl/287手機App用戶可以通過行情頁面“理財寶”.

1900/1/1 0:00:00
YFI價格曾超比特幣 DeFi聚合器究竟是什么神奇存在?_DEFI:EFI

原文標題:《超越比特幣,他們有實踐經驗》編者語:本篇文章是區塊引擎回顧2020年DeFi浪潮的第二期,以YFI為例帶你重新理解DeFi領域中最為核心的類別之一,聚合器.

1900/1/1 0:00:00
UBIEX.CO上線XWBB交易的公告_UBI:OVR

尊敬的UBIEX用戶: UBIEX將上線XWBB交易,并開通XWBB/WBB交易對,具體時間如下:XWBB交易:01月12日19:00(UTC8)XWBB充提:01月12日18:00(UTC8).

1900/1/1 0:00:00
從歷史出發,看DeFi的前世今生及未來展望_EFI:DEFC價格

去中心化金融是什么?它從何而來?2020年DeFi領域有什么值得回味的事情?它的未來將何去何從?您將在這里找到上述問題的答案。 讓我們先從頭說起.

1900/1/1 0:00:00
ads