區塊鏈是一片鼓勵創新的熱土,在某種角度上因其安全風險也成為了滋生犯罪的溫床。
當年眾籌超過1.5億美金的The DAO被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。
自區塊鏈創世以后,各種針對交易所、錢包以及Dapp的黑客盜幣事件頻發。
那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?
2021年區塊鏈黑客盜幣事件整理
由于2021年市場情緒熱烈,黑客盜幣的金額打破了往年的歷史記錄。
截至三季度,統計一共有32起黑客入侵事件導致了15億美金的資產被盜,而去年全年這個數字是1.8億美金。
Uranium Finance——邏輯漏洞
2021年4月份流動性挖礦協議Uranium受到了攻擊,被攻擊的智能合約是MasterChief的修改版本(MasterChief是用于創建質押池并向用戶返還質押獎勵的智能合約)。
Michael Saylor:加密貨幣開發能量遷移到比特幣是不可避免的:金色財經報道,Michael Saylor表示,“將加密貨幣開發能量從其他加密貨幣遷移到比特幣,是不可避免的。”[2023/5/10 14:53:13]
其中,用于執行“質押獎勵”的代碼出現了邏輯漏洞,使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子,并將它換成了價值130萬美元的BUSD以及BNB。
Cream Finance——預言機操縱
10月27日,Cream Finance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池(包含yDAI、yUSDC、yUSDT和YTUUSD)來操縱預言機對yUSD的報價。
在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走Cream Finance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。
NYDIG創始人:不要投資除比特幣以外的加密貨幣:金色財經報道,NYDIG創始人兼董事長Ross Stevens在解釋為什么他的公司沒有與已經破產的FTX有任何關聯時說,生命太短暫,除了與你喜歡的、信任的人合作,以及在子彈橫飛時能和你一起感到非常自豪之外,不能做其他事情。在一篇名為《鏡中奇遇》的文章中,Stevens指出了許多危險信號,這些信號讓NYDIG多年來錯失了無數“機會”,不僅與FTX“合作”,還與三箭資本(Three Arrows Capital)、Celsius等失敗平臺“合作”。
Stevens表示,NYDIG仍將是一家比特幣公司,他建議讀者不要投資除比特幣以外的加密貨幣或非比特幣的去中心化金融。(coindesk)[2022/11/12 12:52:59]
Badger DAO——前端惡意代碼注入
攻擊者獲取了項目方在Cloudflare后臺的API Key,以此在網站的前端代碼里面注入一系列的惡意代碼。
V神:可通過部分區塊拍賣應對區塊構建者的中心化風險,長遠看區塊生產需要第三者介入:10月3日消息,以太坊聯合創始人Vitalik Buterin發文表示,可通過部分區塊拍賣限制構建者權力以應對其中心化風險,并主要介紹了包含列表(Inclusion lists)、提議者后綴(Proposer Suffixes)兩種可能方式:
在包含列表模式(Inclusion Lists)中,提議者提供一個包含列表,他們要求的事務列表必須包含在塊中,除非構建者可以完全用其他事務填充塊。這種設計相當簡單,但弱點包括:激勵相容性問題;提議者的額外負擔;構建者仍然可以從事一些濫用行為;需要partial enshrining才能使賬戶抽象化發揮作用。
另一種構建方法是允許提議者為區塊創建一個后綴。構建者在構建區塊時不會看到關于提議者意圖的信息,而提議者能夠將構建者遺漏的任何交易添加到末端。這樣的做法減少了激勵的兼容性問題,盡管對提議者來說可能增加額外負擔,但在從構建者那里得到響應和必須發布區塊之間,提議者將得到一些MEV機會。
在任何情況下,我們需要在最大限度地減少構建者的權力和信息的同時,最大程度地減少強加給提議者的負擔,而這似乎清楚地表明在區塊生產中需要一些第三者介入。[2022/10/3 18:38:10]
當用戶訪問前端網站時,觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易,就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。
BitWell安全部門:平臺Solana錢包未受漏洞影響,資產充提正常:8月3日消息,Solana審計公司OtterSec在推特上表示,在過去的幾個小時內,已經有超過8000個Solana錢包因漏洞遭遇大規模攻擊。對此,BitWell安全部門負責人Jackson表示:已對平臺所屬Solana錢包進行排查,未發現資金異常情況。
目前BitWell支持數十條公鏈,擁有媲美傳統銀行的風控體系和冷錢包儲備金管理機制,全方位確保用戶的資產安全和充提自由。[2022/8/3 2:55:41]
Anyswap——后臺簽名
出事是因為后臺簽名時采用了不恰當的值,攻擊者通過兩筆交易來推導出了它簽名的私鑰。
舉個比特幣錢包Electrum的例子,當用戶舊版本并連接到攻擊者的節點時,攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時,黑客便輕松掌握了用戶的私鑰。
蘇富比將展售日本藝術家松山智一9幅NFT作品:金色財經報道,蘇富比拍賣行(Sotheby's)宣布將于6月14至21日首次展售日本藝術家松山智一的9幅NFT作品,其中包括3幅一版1件、3幅一版5件及3幅一版150件,在蘇富比元宇宙平臺Sotheby’s Metaverse上亦可供觀賞和購買。另外,蘇富比指,若購買全部3幅每版各150件的NFT作品,可獲贈1幅由松山智一設計的特別版NFT禮物,但每個錢包地址可最多申請一件NFT禮物。[2022/6/11 4:18:22]
交易所
不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析,交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。
一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。
關于資產被盜后的處理方式,可以從三個角度——項目方、交易所以及第三方安全機構來分析。
項目方一般會采取這幾個解決方式
及時暫停智能合約中的通證轉移和交易服務,對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。
同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。
聯系第三方安全機構,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。
對于被盜資金的去向——假如合約里面存在黑名單功能,第一時間屏蔽黑客地址,防止黑客進行資金轉移。
和安全機構和執法部門合作追回被盜的財產,同時提出合理的補償方案以減少用戶的損失。
從交易所的角度來說,有兩種情況
假如交易所本身被盜,需第一時間暫停所有的提現充值功能,把損失降到最少。交易所保留系統里面的所有信息(比如說日志)以便日后做分析使用,聯系安全機構或者執法部門,協助進行財產追蹤。
假如某個項目被黑的話,交易所可以監控黑客相關鏈上地址,如果監測到最新充值的關聯地址,則立即凍結該賬戶。
安全機構則需要做到以下幾點
在事件發生之后分析漏洞產生的原因,并修復漏洞。
在項目重新上線之前提供安全審計服務,以減少項目重新上線之后的安全風險。
發布社區警告,同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞,可以通過保密渠道發出警告。
通過鏈上技術手段來追蹤資金流向以及分析鏈下信息(比如說黑客的IP地址以及設備),協助執法部門抓到黑客。
那么,為何安全機構對漏洞已進行層層篩查,還會被黑客有機可趁?
事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。
今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。
其次,跨鏈橋和其他DeFi項目的不同的點是:普通DeFi項目幾乎100%的邏輯是在智能合約上實現的,而跨鏈橋是web2和web3的結合,是智能合約和傳統后臺的結合。
非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。
簡而言之,DeFi協議除了自身的代碼需固若金湯,因其需與其他協議交互的可組合型,業務邏輯也要嚴絲合縫。
最重要的是,DeFi協議需借助第三方服務(如外部預言機、中心化的云平臺等),而這些第三方服務很有可能面臨外部操縱的風險,這也是產品受到黑客攻擊的主要原因。
未來隨著技術的發展,區塊鏈行業會變得日益安全嗎?
理論上是的。
先說底層技術,首先編寫智能合約的Solidity語言慢慢變成熟。
在最近的Solidity版本8.0之后,之前比較常見的一種漏洞叫做integer overflow(整數溢出)便銷聲匿跡了。
其次,區塊鏈業內對于安全的重視度正在大幅增加。
最后,安全的開源代碼庫也會提高安全系數。
OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。
另外,現在有很多安全工具會對代碼進行檢查——它可以幫助項目方在沒有聯系安全公司的情況下,找到一些潛在的漏洞,從而提高代碼的安全性。
例如CertiK Skynet天網掃描系統,它作為一個24*7全天候運行的安全情報引擎,可為智能合約的鏈上部署提供多維度和實時的透明安全監控并24小時運行監控和危險警報提示。
除此之外,例如公開透明展示安全數據的安全排行榜以及項目預警系統也可為除項目方外的投資人提供安全見解。所有投資者都可以通過這個這個不受限制的安全洞察數據庫查詢所需要的安全數據信息。
隨著越來越多的技術人員加入到這個領域來,區塊鏈行業的安全壁壘會不斷被加固。
總而言之,DeFi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。DeFi行業在安全性上達到無懈可擊,是這一賽道項目必須實現的目標——尤其對中心化嚴重的跨鏈賽道而言。
未來,普通人很可能不會為公司工作。相反,人們將通過玩游戲、學習新技能、創作藝術或策劃內容等活動以非傳統方式賺取收入.
1900/1/1 0:00:00頭條 ▌中央紀委國家監委網站發文《元宇宙如何改寫人類社會生活》12月23日消息,中央紀委國家監委網站于今日發文《元宇宙如何改寫人類社會生活》,文中解釋了什么是元宇宙,元宇宙為什么能出圈.
1900/1/1 0:00:00包括人工智能、虛擬現實 (VR)、增強現實 (AR)、5G和區塊鏈(以及相關數字貨幣)在內的新興技術都隨著時間取得了相應的進步,并實現了一定的價值.
1900/1/1 0:00:00今年 3 月,Roblox 以 450 億美元的市值風風火火地在紐交所上市。它成為「元宇宙第一股」后,同類公司也集體迎來了一波新風口下的飛速增長.
1900/1/1 0:00:00正當互聯網商業躊躇不前,互聯網大廠為了在存量中的增長擠破頭皮之時,元宇宙的概念被資本點燃。先是Facebook更名Meta正式進軍元宇宙,然后字節跳動收購了一家VR硬件公司Pico,隨后騰訊、百.
1900/1/1 0:00:00一個12歲的小朋友,在兩個月里賺到34萬美元,這種按照常理不可想象的事情,在2021年的夏天成為現實。而這種現實,關聯到當下A股市場一個新的風口:NFT.
1900/1/1 0:00:00