比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 火必APP > Info

近4億美元損失,Solana的黑客攻擊都有什么共同點?_OLE

Author:

Time:1900/1/1 0:00:00

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;Nirvana:通過閃貸操縱價格,350萬美元被盜;Slope錢包:由于助記詞被泄露,400萬美元被盜。在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。這些黑客有什么共同之處?

數據:近4小時ETH主力凈流入約 1.22億美元:8月29日消息,數據顯示,ETH的主力資金凈流入規模在近4小時里持續擴大,當前共計為1.22億美元。期間,ETH一度拉升近4%,現報1478.2 USDT。注:數據僅供參考,不構成任何投資建議[2022/8/29 12:56:00]

1.幾乎所有黑客(SlopeWallet除外)都精心設計了一個或多個假賬戶。Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。CashioApp:黑客創建了8個假賬戶來通過有效性檢查。CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。2.所有黑客攻擊都涉及多次交易Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10+筆閃貸交易,從不同的代幣池中進行竊取。Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。Slope錢包:廣泛的攻擊持續至少8個小時。4.最大的損失是由于缺少帳戶驗證前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。無論是否是巧合,這些攻擊都造成了很大的經濟損失。5.閃貸牽涉到兩次黑客攻擊CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。在CremaFinance,閃貸被用來引導存款流動性。在Nirvana中,其內部價格預言機被閃貸操縱。如何防止未來類似的黑客攻擊?

華爾街日報:Coinbase為熊市儲備近44億美元現金:8月19日消息,Coinbase截至6月底已積累了43.6億美元的現金儲備,遠高于去年底的11億美元,此舉旨在確保該公司能在面臨監管打擊、網絡攻擊和交易量下降等潛在商業風險的情況下繼續增長。Coinbase首席財務官Alesia Haas表示:我們希望維持這些現金儲備,以便在加密熊市到來時,可以繼續投資,繼續發展我們的產品和服務。Coinbase絕大部分收入和利潤都來自交易費用,上周,Coinbase二季度財報顯示凈收入突破16億美元,去年同期僅為3200萬美元,月交易散戶增加約六倍,達到880萬。該公司還擁有約9000家機構客戶。近幾個月,Coinbase相繼收購了數據分析平臺Skew、投資可視化公司Zabo以及區塊鏈基礎設施提供商Bison Trails。(華爾街日報)[2021/8/19 22:23:02]

根據上面總結的這些攻擊的特點,我們推薦以下的安全措施:1.預部署:驗證智能合約的所有輸入帳戶

動態 | 達沃斯報告:全球有近40家中央銀行正考慮發行央行數字貨幣:據BTCWires 4月5日報道,根據達沃斯報告匯編表示,全球有近40家中央銀行正在試驗區塊鏈技術,以發行自己的央行數字貨幣。[2019/4/5]

在編寫Solana智能合約時,要時刻牢記所有輸入都可能被攻擊者偽造,包括所有賬戶和外部程序(即用戶錢包賬戶、PDA賬戶和其他智能合約)。Solana的編程模型將代碼和數據解耦,因此程序中使用的所有帳戶都必須作為數據輸入傳遞。在幾乎所有情況下,都應該驗證:賬戶所有權賬戶簽名者帳戶之間的關系(或邏輯約束)根據協議邏輯,還應該檢查:如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。2.部署后:主動使用實時威脅監控

分析 | BitMEX :比特大陸二季度凈虧近4億美元:據CCN報道,根據BitMEX Research的一份詳盡分析,有足夠的數據可以說明比特大陸可能經歷了有史以來最糟糕的季度。比特大陸今年第二季度或虧損了3.95億美元,六個月回報應為7.42億美元。[2018/9/28]

由于所有這些黑客攻擊都涉及跨越至少幾分鐘或幾小時的多個交易,因此可以提前主動檢測可疑交易,并在中間遏制攻擊。這是Solana的獨特屬性,它允許鏈上威脅監控技術作為一種防御解決方案,來幫助有效地預防和阻止安全攻擊:原則上,威脅監控解決方案可能會有幫助:監控SOL或SPL代幣的大規模轉移;監控針對你的智能合約的閃貸交易;通過升級依賴程序來監控潛在的漏洞;監控異常狀態(例如,計算費用);監控往返交易事件例如deposit-claim-withdraw在單個tx中);監控來自同一簽名者的重復交易;任何針對協議特定屬性的自定義監控。如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。原地址

Tags:OLESOLFINAREMDolemy PartnerSolalgoFINALESupreme Finance

火必APP
a16z:需要監管的應是Web3應用,而非協議_WEB3

互聯網的許多早期支持者主張永遠保持自由和開放,使其成為全人類的無邊界和無監管的工具。在過去的20年里,隨著政府對濫用行為的打擊,這一愿景失去了一些明確性.

1900/1/1 0:00:00
USDT五年審計報告都透露了哪些信息?_穩定幣

2022年6月30日,穩定幣龍頭USDT發行方Tether發布了新的第三方審查報告。相比于上一次3月31日的審查報告報告,Tether依舊持有大量的美國國債,以Coinmarketcap當天6月.

1900/1/1 0:00:00
市場低迷期間,新加坡星展銀行計劃擴大其加密貨幣業務_PTA

Odaily星球日報譯者|念銀思唐盡管加密貨幣市場處于熊市,但新加坡最大的銀行計劃擴大其加密貨幣和數字資產業務。該行表示,希望擴大其數字交易所,并為亞洲30萬高凈值客戶中的更多客戶提供服務.

1900/1/1 0:00:00
以太坊合并之后,將面臨哪些監管問題和應用層問題?_ETH

隨著以太坊Merge時間節點將至,今天我們將探討以太坊合并之后會面臨哪些監管問題和應用層問題。2022年8月16日,以太坊聯合創始人VitalikButerin在推特上參與討論「若監管通過某些協.

1900/1/1 0:00:00
Celsius股東BnkToTheFuture將收購加密借貸平臺Salt Lending_CEL

Odaily星球日報譯者|念銀思唐 摘要: -投資平臺和Celsius股東BnkToTheFuture將收購加密貨幣借貸平臺SaltLending.

1900/1/1 0:00:00
從字節離職,我選擇all in Web3_WEB

今天這一篇是Jensen在離職時發在內網的離職稿件。作為1.435的核心人物,這是一些個人經歷的書寫,也是對1.435從成立到現在的回顧.

1900/1/1 0:00:00
ads