安全公司Certik：2021年Defi領域因黑客攻擊造成的資金損失達13億美元_DEFI

網絡安全公司Certik在周三發布的報告中表示，2021年因黑客攻擊、漏洞利用和詐騙造成的加密貨幣損失達到13億美元的歷史新高。雖然Defi市場由于黑客攻擊損失金額在2021年攀升近160%，但由于DeFi市場的顯著增長，該金額在總額中的比例比2020年要小。據DefiLlama的數據，去年損失的資金TVL占比從2020年的2.78%縮減到2021年的0.5%。

安全公司：DeliveryDefi可能存在高風險，在交互之前保持謹慎:安全公司CertiK表示，名為DeliveryDefi的項目可能存在高風險。惡意代碼片段出現在智能合約中，希望社區在交互之前保持謹慎。[2021/3/21 19:04:39]

該安全公司說，到目前為止，中心化問題是最常見的漏洞。Certik通過其審計的1737個項目發現了286個離散的中心化風險，包括特權所有權。例如，一些項目是由于黑客獲得了私鑰，導致資產損失。如果使用多簽名錢包或DAO，而不是一個或一組私鑰，這很可能是可以避免的。其他最常見的漏洞包括丟失事件發射、使用未鎖定的編譯器版本、不正確的輸入驗證以及對第三方依賴項的依賴。

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

原文鏈接

安全公司：在過去2個月中共發生13起較典型的安全事件:據成都鏈安區塊鏈安全態勢感知平臺Beosin-Eagle?Eye統計數據顯示，在過去2個月中，共發生13起較典型的安全事件。在Defi方面：2月15日，BZX協議被爆出遭到可組合資產流動性套利攻擊，攻擊者通過閃貸從BZX借出ETH后獲利1000多ETH；2月18日，BZX再次遭到類似攻擊，攻擊者通過抬高幣價對BZX合約進行蒙騙，導致損失2378ETH；Curve出現異常交易，攻擊者對Curve的busd.curve.fi以及y.curve.fi兩種資金池進行一次鉗形攻擊。[2020/3/2]

Tags：DEFIEFISTADEFDefiskeletonsWEFIN幣STAMP幣Axis DeFi

ICP