加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

區塊鏈安全公司CertiK:注意DeFi中的4大安全風險_DEFI:區塊鏈

Author:

Time:1900/1/1 0:00:00

注:5月,DeFi安全事故頻發,據統計,約有15個項目遭到黑客攻擊,包括BeltFinance、BurgerSwap、Julswap、Merlin、AutoSharkFinance、BoggedFinance、PancakeBunnny、Venus、FinNexus、bEarnFi、EOSNation、xToken、RariCapital、ValueDeFi、Spartan,涉及資金損失近3億美元。值得注意的是,在如此多的攻擊中,BSC上的DeFi項目貌似成了黑客的集中攻擊點,而閃電貸則是黑客主要的攻擊手段。5月30日,幣安智能鏈官方還針對頻發的安全事件發布推特稱:

最近已經接連發生超過8起針對BSC鏈上項目的閃電貸攻擊,我們認為現在有一個有組織的黑客團隊盯上了BSC。我們呼吁所有DApp注意防范并采取防治措施。

此前,BSC還與區塊鏈安全公司CertiK舉辦了有關DeFi風險的直播活動,本文將對其進行回顧以幫助了解DeFi中的4大安全風險。觀看活動視頻,可訪問:https://www.pscp.tv/w/1BdGYYeYVREGX。

自9個月前推出以來,幣安智能鏈已成為全球領先的DeFi平臺之一。如今,有超過600個項目在BSC上每天產生數千萬的交易。

美國眾議院將于6月7日舉行Web3和區塊鏈相關聽證會:6月1日消息,美國眾議院能源與商務委員會主席Cathy McMorris Rodgers和創新、數據與商務小組委員會主席Gus Bilirakis宣布,將于美東時間6月7日10:00(北京時間6月7日22:00)舉行一場名為建立區塊鏈:探索Web3和分布式賬本技術的其他應用的聽證會,旨在加強美國在區塊鏈技術方面的領導地位。[2023/6/1 11:52:20]

然而,巨大的成功也伴隨著巨大的風險。黑客利用在不同層面暴露出來的漏洞,越發頻繁地進行了漏洞攻擊。這些漏洞可以分為4個大類,我們將對這些漏洞進行介紹,以使讀者更好地了解與DeFi有關的安全風險。

管理密鑰的泄露

在智能合約中,修改器限制了允許調用某些功能的人選。這些功能通常是用于修改合約配置或管理智能合約中持有的資金的特權功能。如果攻擊者獲取了管理密鑰,他們就可以完全控制智能合約,并竊取用戶資金。

密鑰如何被泄露?

第一種可能性是通過計算機木馬。攻擊者可以使用木馬程序來竊取存儲在計算機上的私鑰。此外,攻擊者也可以進行網絡釣魚攻擊,欺騙用戶將私鑰發送給攻擊者。對于DeFi項目而言,有時幾個項目利益相關者將共享一個私鑰。這就使得惡意的內部人員可以使用該密鑰調用管理功能,并將項目的代幣轉移到他們自己的錢包地址。

歐科云鏈OKLink區塊鏈瀏覽器添加地址標簽功能:據官方消息,歐科云鏈OKLink區塊鏈瀏覽器在BTC瀏覽器添加地址標簽,覆蓋多家主流交易所。地址標簽給發送/接收加密貨幣的虛擬地址添加標簽,以便更快速地識別不同的虛擬地址主體,追蹤各個地址間的資金動向。在打開 OKLink區塊鏈瀏覽器后,可以在交易詳情、地址詳情等頁面查看到已經收錄的地址標簽。[2020/6/10]

例如,2021年3月5日,PAID網絡就遭受了因私鑰管理不善而引發的"鑄幣"攻擊。PAID代幣合約是置于一個可升級的代理之后的,也就是說,合約可以被修改和替換。代理人的私鑰被用來交換部署在代理背后的代碼,其中包含攻擊過程中使用的銷毀和鑄造功能的惡意代碼。攻擊者銷毀了6000萬現有的PAID代幣,然后為自己鑄造了5900萬代幣。瞬時,PAID代幣價格從2.8美元跌至0.3美元,因為2,501,203個PAID代幣在Uniswap上遭到拋售,總價約為2,040ETH。攻擊者很可能是通過網絡釣魚攻擊入侵了管理員的機器。

2021年4月19日,298萬個EASY代幣從EasyFi官方錢包轉移到幾個未知的錢包,這些代幣的當時價值為7500萬美元。EasyFi創始人聲稱,黑客攻擊的原因是"對創始人的機器/Metamask進行有針對性的攻擊,以獲取管理密鑰"。

項目應該安全地存儲私鑰,而不應該在PC設備上以純文本形式存儲管理密鑰,或依賴MetaMask熱錢包。我們建議使用硬件錢包創建一個多簽賬戶。例如,對于一個五人團隊,每個團隊成員都應該有自己的硬件錢包。當他們試圖發送特權交易時,應該要求五個團隊成員中至少有三個人簽署該交易,從而防止攻擊者在獲得其中一個密鑰時就能夠調用任何特權功能。

聲音 | 國家科技部原副部長:區塊鏈作為核心技術自主創新的突破口是應用發展的當務之急:12月21日,區塊鏈中國大會暨鏈改及分布式存儲峰會在西安召開。國家科技部原副部長、第十一屆全國人大教科文衛委員會委員吳忠澤表示,要充分認識區塊鏈作為核心技術自主創新的突破口是區塊鏈應用發展的當務之急。還要加強集成創新與商業模式創新,加快區塊鏈與實體經濟融合發展是行業發展重中之重。然后,創新驅動實質是人才驅動,大力培養引進人才是企業發展的核心要求。最后是要開放創新,協同創新,合作共贏,這是區塊鏈行業發展的必由之路。大會現場還舉行了西北區塊鏈產業基地揭牌儀式。(經濟參考報)[2019/12/24]

對于代幣合約來說,如果可能的話,應避免允許鑄造新的代幣。但如果沒有這個可能,也要盡量使用DAO合約或時間鎖合約作為所有者,而不是EOA賬戶。

編碼錯誤

DeFi中,一些漏洞的復雜程度很高,但情況并不總是如此。有時,智能合約中的一個小編碼錯誤就會變成一場大災難,導致價值數百萬的資產受到損害。

一些常見的編碼錯誤包括:

函數允許(修改)

拼寫錯誤

數字錯誤

缺少/不正確的變量值賦值

一個值得注意的例子是UraniumFinance的黑客事件,該事件發生在一個未經審計的合約上,最終導致了5700萬美元的損失。這是由于在比較交換前后池中兩個代幣余額的乘積時,使用了不一致的乘數,使得攻擊者可以從資金池中換出大部分代幣,而成本只有1Wei。

動態 | 西班牙百貨商店El Corte Inglés將采用區塊鏈系統 以確保其使用能源系可再生:西班牙百貨商店El Corte Inglés將采用其與其能源供應商EDP合作開發的區塊鏈系統,以確保其三個最大的分店使用的電力為可再生的,進而證明該公司減少碳排放的承諾。據悉,EDP的子公司EDP Renovaveis在西班牙擁有五個風力發電場,這些發電場將為那些選擇首先利用區塊鏈技術的分店提供電力。[2019/12/5]

UraniumFinance代碼:

正確代碼:

另一個例子是來自于ValueDeFi的黑客事件,該事件導致了1000萬美元的損失。據悉,合約中的初始化函數漏掉了"initialized=true",也就是說,任何人都可以重新初始化資金池并將自己設置為操作員。2021年5月5日,攻擊者重新初始化了資金池,并將操作員的角色設置為了自己,然后使用"governanceRecoverUnsupported()"函數耗盡了池中的質押代幣。

ValueDeFi中的漏洞代碼:

聲音 | 經濟參考報:區塊鏈等金融科技監管將升級:據經濟參考報報道,多個監管層人士近期接連發聲,向市場釋放了金融科技監管將升級的信號。一方面,科技手段將被更多運用在監管中,另一方面,對于大型科技公司金融業務的監管將更加嚴格,而且會實時介入。業內人士表示,金融科技已成為金融資源布局的關鍵領域。區塊鏈、云計算、大數據、人工智能等技術的應用,為金融創新和發展帶來了新的機遇,但一些新技術被扭曲、大型技術公司風險高發等現象也給金融安全帶來巨大挑戰。金融科技監管需要平衡好創新和風險防范的關系。[2018/11/28]

修復代碼:

上述兩個例子都是由簡單的編碼錯誤引起的,而且都造成了重大損失。但是,這些類型的錯誤完全可以通過適當的同行評審、單元測試和安全審計來輕松消除。

閃電貸和價格操縱

閃電貸是一種從Aave或DyDx等協議中借入大量資金以獲得一定費用的方式。其要求是,貸款需要在同一交易中歸還。如果沒有,貸款就會被退回。這些貸款的一般利用流程如下:

使用閃電貸借入大量的代幣A

在DEX上將代幣A換成代幣B

利用一個依賴A/B交易對價格的DeFi項目

償還閃電貸

近日,PancakeBunny就遭遇閃電貸攻擊,攻擊者共獲得了114KBNB和697KBunny。攻擊者利用閃電貸操縱了PancakeSwapUSDT-BNBV1池的價格,導致大量的BNB流入BNB-Bunny池,從而使得該合約能夠以虛高的BNB對Bunny的價格鑄造Bunny。PancakeBunny則使用以下函數來計算Bunny價格:

隨著大量的BNB流入BNB-Bunny池,變量"reserve0"變得很大。最終,由于價格計算存在缺陷,攻擊者共獲得了697KBunny。

此外,遭受過閃電貸攻擊的受害者還有很多,其中也不乏DeFi領域的一些知名項目,包括PancakeBunny($4000萬資金損失),HarvestFinance($2500萬資金損失),Yearn($1100萬資金損失),ValueDeFi($700萬資金損失),AKROPOLIS($200萬資金損失),CheeseBank,XToken,bZx等等。

如果一個項目需要價格參考,它也需要小心,因為閃電貸可能會操縱價格。為了防止這種情況發生,我們建議使用時間加權平均價格。TWAP代表了一個代幣在特定時間范圍內的平均價格。如果攻擊者在一個區塊中操縱價格,它是不會影響平均價格的。另一個建議是,使用一個可靠的鏈上價格預言機,如Chainlink。

濫用第三方協議和商業邏輯錯誤

許多項目,如PancakeSwap和UniSwap,是獨立運行的。在PancakeSwap中,用戶可以為收益耕種代幣提供流動性,或者用一種代幣交換另一種代幣。用戶不與其他第三方協議互動。

其他項目,如YearnFinance,運作方式則不同。YearnFinance收集用戶資金并將其投入第三方合約。它通過投資用戶的代幣獲得收益。另一種情況是,一些項目從其他項目"借用"代碼。例如,PancakeSwap就引用了UniSwap的代碼。在這兩種情況下,如果第三方代碼的源頭有漏洞,那么使用該代碼的項目也會出現漏洞。如果一個項目的開發者不熟悉他們所使用的第三方代碼,那么一旦漏洞被利用,就可能釀成大問題。

2021年5月8日,ValueDeFivSwapAMM的非50/50資金池被人利用,總共損失了約1100萬美元。為了實現非50/50資金池,ValueDeFi從屬于Bancor協議的"BancorFormula.sol"復制了"power()"函數。在power()函數的描述中,寫到這個函數不支持"_baseN<_baseD"的情況。然而,不幸的是,ValueDeFi就是這樣使用這個函數的。攻擊者通過向該函數發送了一個精心制作的有效載荷,將少量的代幣A交換成了代幣B。

ValueDeFi代碼:

在DeFi領域中還有許多其他類似的案例。2021年5月8日,一名攻擊者通過利用集成在RariCapitalV2中的AlphaHomoraV1的ibETH池的功能,從RariCapitalEthereum池中抽走了大約2600個ETH。BearnFinance則在其"BvaultsStrategy"合約中允許使用BUSD的提款金額來提取ibBUSD,使得攻擊者從池中移除了10,859,319BUSD。

相較于前幾種問題,此類漏洞更難發現,在使用與任何第三方協議通信的項目時,都應該謹慎行事。我們不建議盲目地復制和部署開發人員不了解的代碼。開發者應該在整合第三方協議并將其部署到生產中之前,充分了解第三方協議以及分叉項目的工作方式。此外,我們還建議開發者先在測試網上部署他們的項目,并進行測試運行,以檢查交易記錄的異常情況。

作為終端用戶,在使用個人資產與項目進行互動之前,有時很難找出項目的詳細信息。這時,便可以借助區塊鏈安全公司的審計報告,來瀏覽項目的安全性。

總之,創建DeFi項目可以很有趣,但被黑客攻擊就不好了。要使一個項目100%安全是困難的,但我們可以盡可能地進行保護:

保持管理密鑰的安全

避免簡單的編碼錯誤

使用可靠的鏈上價格饋送

接受安全審計并做好審計準備

Tags:DEFIEFI區塊鏈DEFXDEFI價格DefyDefi區塊鏈工程專業學什么及就業方向DEFLA

火幣下載
比特幣挖礦遇強監管 礦工在觀望等待細則?_比特幣:Stone Coin

5月21日,國務院副總理劉鶴主持召開國務院金融穩定發展委員會第五十一次會議,研究部署下一階段金融領域重點工作。會議強調打擊比特幣挖礦和交易行為,堅決防范個體風險向社會領域傳遞.

1900/1/1 0:00:00
金色趨勢丨知史鑒今 牛市低吸機會?_區塊鏈:數字貨幣

目前BTC是否已經見牛市終極大頂?我們可以看看BTC長期走勢,下方為對應的RSI曲線走勢,研究可以看出,在BTC歷史上前三輪牛市中,2011年、2013年和2017年牛市,每一輪牛市.

1900/1/1 0:00:00
MATIC強勢反彈300%,Polygon生態不了解一下?_OLY:Polygon

作者|indigo 編輯?|門人??運營|小石頭風清揚5月19日,比特幣再次閃跌萬刀,山寨集體跳水80%,加密貨幣總市值一夜之間蒸發近5千萬美元,市場情緒恐慌到極點.

1900/1/1 0:00:00
人民網 | “四問比特幣”之一:監管為何接踵而至 炒幣風險有多大?_比特幣:人工智能軟件

作者:丁亦鑫 來源:人民網-強國論壇 編者按:5月,“幣圈”吸引無數關注。5月18日,中國互聯網金融協會等三大協會發布公告指出,開展法定貨幣與虛擬貨幣兌換及虛擬貨幣之間的兌換業務,違反有關法律法.

1900/1/1 0:00:00
新華社|挖礦耗能巨大 價格暴漲暴跌——虛擬貨幣亂象調查_比特幣:狗狗幣

來源:新華社 記者吳雨、陳健、毛振華 一夜暴跌30%、一個月價格幾近“腰斬”、爆倉者兩手空空……近期,比特幣等虛擬貨幣價格暴漲暴跌,激起圍觀者驚呼、投資者哀嘆.

1900/1/1 0:00:00
北京4000萬數字人民幣紅包來了!怎么搶?戳這里_數字人:抹茶交易所APP下載

來源:21財經 作者:邊萬莉 北京第二輪數字人民幣紅包將至。據北京市地方金融監督管理局消息,北京將開啟“京彩奮斗者數字嘉年華”活動,由北京城市副中心、東城區、朝陽區、海淀區、石景山區、延慶區共同.

1900/1/1 0:00:00
ads