加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > MEXC > Info

一文揭秘2021年區塊鏈黑客攻擊頻發的原因_區塊鏈:區塊鏈騙局曝光騙局

Author:

Time:1900/1/1 0:00:00

區塊鏈是一片鼓勵創新的熱土,在某種角度上因其安全風險也成為了滋生犯罪的溫床。

當年眾籌超過1.5億美金的TheDAO被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。

自區塊鏈創世以后,各種針對交易所、錢包以及Dapp的黑客盜幣事件頻發。

那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?

2021年區塊鏈黑客盜幣事件整理

由于2021年市場情緒熱烈,黑客盜幣的金額打破了往年的歷史記錄。

截至三季度,統計一共有32起黑客入侵事件導致了15億美金的資產被盜,而去年全年這個數字是1.8億美金。

DeFi協議

UraniumFinance——邏輯漏洞

2021年4月份流動性挖礦協議Uranium受到了攻擊,被攻擊的智能合約是MasterChief的修改版本。

數據:某PEPE鯨魚購買BALD成為除開發者外的最大個人持幣地址:7月30日消息,據Lookonchain監測,某PEPE鯨魚5小時前以500枚ETH (約合937,000美元) 購買1360萬枚BALD,成為除開發者之外最大的持有者。[2023/7/31 16:07:50]

其中,用于執行“質押獎勵”的代碼出現了邏輯漏洞,使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子,并將它換成了價值130萬美元的BUSD以及BNB。

CreamFinance——預言機操縱

10月27日,CreamFinance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池來操縱預言機對yUSD的報價。

在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走CreamFinance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。

DeFi協議Elixir完成210萬美元種子輪融資:1月17日消息,DeFi 協議 Elixir 完成 210 萬美元的種子輪融資,FalconX、Commonwealth、OP Crypto、ChapterOne 和 Bitmex 創始人 Arthur Hayes 等參投。Elixir 旨在讓任何人都可以通過 DeFi 協議參與 CEX 和 DEX 的做市,并希望通過一項協議來解決做市商面臨的審查問題。該初創公司預計將在今年晚些時候推出其公共主網。[2023/1/17 11:17:17]

BadgerDAO——前端惡意代碼注入

攻擊者獲取了項目方在Cloudflare后臺的APIKey,以此在網站的前端代碼里面注入一系列的惡意代碼。

當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易,就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。

廈門:搶抓發展新機遇 構建元宇宙產業生態:8月28日消息,近日,廈門市長黃文輝前往立馬耀、鳳凰創壹、黑鏡科技等科技企業調研元宇宙及新興數字產業發展情況,并召開座談會。黃文輝要求,要搶抓數字經濟發展機遇,加快“數字廈門”建設,大力推進數字產業化、產業數字化,打造高質量發展新引擎。要保持戰略定力,堅持問需于企、問計于企,在應用場景開發、創新平臺建設、空間載體拓展、人才服務保障等方面為企業提供更加精準有效的服務,營造良好的產業生態。要更加突出特色、注重實用,強化政企互動,進一步增強數字技術對產業轉型升級、政府治理、民生服務等帶動作用,推動數字經濟和實體經濟融合發展。[2022/8/28 12:53:50]

Anyswap——后臺簽名

出事是因為后臺簽名時采用了不恰當的值,攻擊者通過兩筆交易來推導出了它簽名的私鑰。

錢包——釣魚信息

舉個比特幣錢包Electrum的例子,當用戶舊版本并連接到攻擊者的節點時,攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時,黑客便輕松掌握了用戶的私鑰。

A股收盤:深證區塊鏈50指數上漲2.25%:金色財經消息,A股收盤,上證指數報3279.43點,收盤上漲0.04%,深證成指報12494.77點,收盤下跌0.3%,深證區塊鏈50指數報2959.04點,收盤上漲2.25%。區塊鏈板塊收盤上漲2.44%,數字貨幣板塊收盤上漲3.44%。[2022/7/19 2:23:00]

交易所

不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析,交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。

一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。

資產被盜后的處理方式

關于資產被盜后的處理方式,可以從三個角度——項目方、交易所以及第三方安全機構來分析。

數據:以太坊網絡當前已銷毀超235萬枚ETH:金色財經報道,據Ultrasound數據顯示,截止目前,以太坊網絡總共銷毀2,354,065.62枚ETH。其中,OpenSea銷毀230,048.15枚ETH,ETHtransfers銷毀219,335.64枚ETH,UniswapV2銷毀219,335.70枚。注:自以太坊倫敦升級引入EIP-1559后,以太坊網絡會根據交易需求和區塊大小動態調整每筆交易的BaseFee,而這部分的費用將直接燃燒銷毀。[2022/5/23 3:34:38]

項目方一般會采取這幾個解決方式

及時暫停智能合約中的通證轉移和交易服務,對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。

同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。

聯系第三方安全機構,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。

對于被盜資金的去向——假如合約里面存在黑名單功能,第一時間屏蔽黑客地址,防止黑客進行資金轉移。

和安全機構和執法部門合作追回被盜的財產,同時提出合理的補償方案以減少用戶的損失。

從交易所的角度來說,有兩種情況

假如交易所本身被盜,需第一時間暫停所有的提現充值功能,把損失降到最少。交易所保留系統里面的所有信息以便日后做分析使用,聯系安全機構或者執法部門,協助進行財產追蹤。

假如某個項目被黑的話,交易所可以監控黑客相關鏈上地址,如果監測到最新充值的關聯地址,則立即凍結該賬戶。

安全機構則需要做到以下幾點

在事件發生之后分析漏洞產生的原因,并修復漏洞。

在項目重新上線之前提供安全審計服務,以減少項目重新上線之后的安全風險。

發布社區警告,同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞,可以通過保密渠道發出警告。

通過鏈上技術手段來追蹤資金流向以及分析鏈下信息,協助執法部門抓到黑客。

那么,為何安全機構對漏洞已進行層層篩查,還會被黑客有機可趁?

事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。

今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。

其次,跨鏈橋和其他DeFi項目的不同的點是:普通DeFi項目幾乎100%的邏輯是在智能合約上實現的,而跨鏈橋是web2和web3的結合,是智能合約和傳統后臺的結合。

非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。

簡而言之,DeFi協議除了自身的代碼需固若金湯,因其需與其他協議交互的可組合型,業務邏輯也要嚴絲合縫。

最重要的是,DeFi協議需借助第三方服務,而這些第三方服務很有可能面臨外部操縱的風險,這也是產品受到黑客攻擊的主要原因。

未來區塊鏈安全展望

未來隨著技術的發展,區塊鏈行業會變得日益安全嗎?

理論上是的。

先說底層技術,首先編寫智能合約的Solidity語言慢慢變成熟。

在最近的Solidity版本8.0之后,之前比較常見的一種漏洞叫做integeroverflow便銷聲匿跡了。

其次,區塊鏈業內對于安全的重視度正在大幅增加。

最后,安全的開源代碼庫也會提高安全系數。

OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。

另外,現在有很多安全工具會對代碼進行檢查——它可以幫助項目方在沒有聯系安全公司的情況下,找到一些潛在的漏洞,從而提高代碼的安全性。

例如CertiKSkynet天網掃描系統,它作為一個24*7全天候運行的安全情報引擎,可為智能合約的鏈上部署提供多維度和實時的透明安全監控并24小時運行監控和危險警報提示。

除此之外,例如公開透明展示安全數據的安全排行榜以及項目預警系統也可為除項目方外的投資人提供安全見解。所有投資者都可以通過這個這個不受限制的安全洞察數據庫查詢所需要的安全數據信息。

隨著越來越多的技術人員加入到這個領域來,區塊鏈行業的安全壁壘會不斷被加固。

總而言之,DeFi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。DeFi行業在安全性上達到無懈可擊,是這一賽道項目必須實現的目標——尤其對中心化嚴重的跨鏈賽道而言。

Tags:區塊鏈DEFIDEFEFI區塊鏈騙局曝光騙局defibox幣有價值嗎一直跌DeFinitionDefi Tiger

MEXC
回顧2021年市場主線 探尋2022年區塊鏈潛力賽道_ETH:BetProtocol

原文標題:《2022展望:來年區塊鏈行業最具潛力的賽道有哪些?》之前我們寫了一篇《2021年搶先復盤:一文說透Beta、Alpha等4種區塊鏈收益》的文章,復盤之后今天來談談展望.

1900/1/1 0:00:00
質疑元宇宙的主流聲音有哪些?_元宇宙:METACLOTH價格

元宇宙近期頻頻成為焦點。許多大公司紛紛入局,希望能夠成為第一個吃螃蟹的人。Meta公司宣布將在未來轉型成元宇宙公司,英偉達則是希望成為元宇宙的基建供應商。國內許多大公司也有不同程度的布局.

1900/1/1 0:00:00
金色觀察|以太坊的2023年計劃:分片鏈_以太坊:比特幣

以太坊2.0階段的信標鏈上線已一年之久,再向前推進半年左右,以太坊主網將和信標鏈合并,那合并后的下一步大動作是什么呢?是分片鏈的進展.

1900/1/1 0:00:00
Facebook的啟示_ACE:SPACEDOGE

對于Facebook改名Meta,其實是有很多非議的。很多人認為,Facebook的改名僅僅只是扎克伯格為了挽救股市的低迷,迎合資本的喜好.

1900/1/1 0:00:00
一文詳解DAO生態全景_DAO:defi幣有哪些

自2021年10月初以來,DAO的TVL增長了90%。Messari研究人員RobertoTalamas最近在推特上引用了DeepDao的數據,稱自8月以來,DAO成員增加了133%,超過160.

1900/1/1 0:00:00
年終總結:2021數字貨幣行業大事記_數字貨幣:元宇宙真正只有3家上市公司

2021是數字貨幣戰國時代的一個小高潮,對于整個數字金融市場而言,它都是波瀾壯闊的一段歷史。回首2021,無論是央行數字貨幣、還是加密數字貨幣,亦或元宇宙和Web3.0都面對著瞬息萬變的市場,復.

1900/1/1 0:00:00
ads