比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > TRX > Info

近4億美元損失,Solana的黑客攻擊都有什么共同點?_FINA

Author:

Time:1900/1/1 0:00:00

原文作者:sec3

原文編譯:ChinaDeFi

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。

重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:

Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;

CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;

Coinbase股價開盤后升至64.09美元高點,漲幅近4%:金色財經報道,在宣布推出以太坊L2“Base”之后,Coinbase股價開盤后出現上漲并升至64.09美元高點,漲幅接近4%,之后小幅回落至62.15美元,當前Coinbase公司市值約為140.9億美元。[2023/2/24 12:26:09]

CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;

Nirvana:通過閃貸操縱價格,350萬美元被盜;

Slope錢包:由于助記詞被泄露,400萬美元被盜。

在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。

數字貨幣板塊短線拉升,旗天科技漲近4%:數字貨幣板塊短線拉升,旗天科技漲近4%,新國都、朗科科技、正元智慧、浙文互聯跟漲。(金十)[2021/5/14 22:01:15]

Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。

CashioApp:黑客創建了8個假賬戶來通過有效性檢查。

CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。

Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。

SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。

數據:香港近40%新金融科技公司都使用區塊鏈:區塊鏈公司在香港金融科技行業的主導地位日益增強,在過去一年中,近40%在香港成立的新金融科技公司都利用區塊鏈技術進行運營。根據香港金融服務和財政局(Financial Services and Treasury Bureau)的數據,分布式分類帳技術(DLT)在香港新金融科技公司中的占比逐年上升,高于2018年的27%。(Cointelegraph)[2020/6/8]

2.所有黑客攻擊都涉及多次交易

Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。

行情 | LTC在一小時內持續下跌近4.0%:據Huobi數據顯示,LTC在一小時內持續下跌,最大跌幅近4.0%,當前報價為42.66USDT,24小時跌幅為4.02%,行情波動較大,請注意控制風險。[2019/2/25]

CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。

CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10筆閃貸交易,從不同的代幣池中進行竊取。

Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。

SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。

3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)

Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。

CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。

CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。

Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。

Slope錢包:廣泛的攻擊持續至少8個小時。

4.最大的損失是由于缺少帳戶驗證

前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。

無論是否是巧合,這些攻擊都造成了很大的經濟損失。

5.閃貸牽涉到兩次黑客攻擊

CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。

在CremaFinance,閃貸被用來引導存款流動性。

在Nirvana中,其內部價格預言機被閃貸操縱。

安全措施:

賬戶所有權

賬戶簽名者

帳戶之間的關系(或邏輯約束)

根據協議邏輯,還應該檢查:

如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。

如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。

監控SOL或SPL代幣的大規模轉移;

監控針對你的智能合約的閃貸交易;

通過升級依賴程序來監控潛在的漏洞;

監控異常狀態(例如,計算費用);

監控往返交易事件例如deposit-claim-withdraw在單個tx中);

監控來自同一簽名者的重復交易;

任何針對協議特定屬性的自定義監控。

如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。

Tags:OLEFINAFINANCWHOLE幣Skyrim FinanceYearn2.FinanceMethod Finance

TRX
Cosmos(atom) 生態:構建可互操作的多鏈未來_COS

什么是Cosmos? Cosmos通過為開發人員提供巨大的靈活性,為在多鏈范式中構建區塊鏈提供了一種方法.

1900/1/1 0:00:00
XT.COM Announcement on Suspending FEG-BEP20 Withdrawal_EXT

DearXTers, XT.COMhassuspendedFEG-BEP20withdrawaltosupportthemaintenanceofFEG-BEP20Wallet.Apologie.

1900/1/1 0:00:00
Play-To-Earn游戲失去動力:GameFi走向哪?_INFINITY

2021年夏天,一種全新的游戲現象席卷了東南亞。在菲律賓,NFT游戲AxieInfinity的游戲市場已經成熟,當年它的平流層上升尤為明顯。更多資訊微薄團團財經這里詳細了解.

1900/1/1 0:00:00
BitVito幣位:DL將轉向研究和開發Cosmos生態系統

DelphiDigital發布長文《Findingahomeforlabs》,表示DelphiLabs是Delphi的協議研發部門,擁有約50人的團隊,此前.

1900/1/1 0:00:00
【Token Airdrop Event】CandyDrop launches VINU on Sep 7, 2022_AND

DearHuobiGlobalUsers,CandyDropislaunchingVINUonSep7,2022.Registrationperiod:VINU:04:00(UTC)Sep7.

1900/1/1 0:00:00
Delphi Labs將轉向研究和開發Cosmos生態系統_PHI

9月9日消息,昨日,DelphiDigital發布長文《Findingahomeforlabs》,表示DelphiLabs是Delphi的協議研發部門,擁有約50人的團隊,此前.

1900/1/1 0:00:00
ads