黑暗森林中的攻擊手法和防范措施。
本文來自 Medium,原文作者:Kofi Kufuor,由 Odaily 星球日報譯者 Katie 辜編譯。
黑客今年從加密應用程序中竊取了 20 多億美元。國慶期間,行業又經歷了 TokenPocket 閃兌服務商被盜(損失超 2100 萬美元)和 BNB Chain 跨鏈 橋 BSC Token Hub 遭攻擊(損失約 5.66 億美元)的加密盜竊事件。
隨著加密生態系統的發展,安全攻防戰只會越演越烈。因此,本文將:
提出加密安全事件的分類法;
列舉出迄今為止讓黑客最賺錢的攻擊手段;
回顧當前用于防止黑客攻擊的工具的優缺點;
討論加密安全的未來。
加密應用生態系統由互操作協議組成,由智能合約支持,依賴于鏈和互聯網的底層基礎設施。此堆棧的每一層都有其獨有的漏洞。我們可以根據利用的堆棧層和使用的方法對加密黑客進行分類。
對基礎設施層的攻擊利用了加密應用程序的底層系統中的弱點:依賴用于達成共識的區塊鏈、用于前端的互聯網服務和用于私鑰管理的工具。
Euler Finance黑客事件的幕后黑手:自己現在被關在巴黎監獄里:金色財經報道,一名自稱是2億美元Euler Finance黑客事件幕后黑手的男子表示,他現在被關在巴黎監獄里。這名自稱名叫Federico Jaime的男子表示,他在一名西班牙學生的幫助下攻擊了Euler,但后來爆發了內訌。[2023/7/13 10:53:08]
這一層的黑客利用了智能合約語言(如 Solidity)的弱點和漏洞,例如可重入性(reentrancy)和實現委托調用(delegatecall)的危險,這些可以通過遵循安全規范來規避。
這類攻擊利用單個應用程序業務邏輯中的錯誤。如果黑客發現了一個錯誤,他們可以利用這個錯誤觸發應用程序開發者沒有預料到的行為。
例如,如果一個新的 DEX 在決定用戶從交易中獲得多少錢的數學方程中出現了錯誤,那么這個錯誤就可以被利用,使用戶從交易中獲得比本應可能獲得的更多的錢。
協議邏輯級攻擊還可以利用用于控制應用程序參數的治理系統。
許多知名的加密黑客利用了多個應用程序之間的交互。最常見的是黑客利用一個協議中的邏輯錯誤,利用從另一個協議借來的資金來擴大攻擊規模。
通常,用于生態系統攻擊的資金是通過閃電貸(flashloan)借來的。在執行閃電貸時,你可以從 Aave 和 dYdX 等協議的流動性池中借到你想要的金額。
我收集了 2020 年以來 100 起規模最大的加密貨幣黑客攻擊的數據集,被盜資金總計 50 億美元。
Harmony:將在兩周內與社區討論Horizo??n黑客事件的恢復計劃:7月15日消息,Harmony官方推特表示,將在兩周內與社區討論恢復計劃的細節,該計劃涉及14種資產中大約5萬個錢包,總計9760萬美元,由社區投票決定最終結果。據此前報道,公鏈項目Harmony跨鏈橋Horizo??n宣布遭受黑客攻擊,損失約1億美元。[2022/7/15 2:15:19]
生態系統受到的攻擊最為頻繁。他們占 41%。
協議邏輯漏洞導致了最多的金錢損失。
金額最大的三個攻擊:Ronin 跨鏈橋攻擊(6.24 億美元),Poly Network 攻擊(6.11 億美元)和 BSC 跨鏈橋攻擊(5.7 億美元)。
如果排除前三大攻擊,則針對基礎設施的被盜案件是損失資金最多的類別。
在 61% 的基礎設施漏洞中,私鑰是通過未知的方式泄露的。黑客可能通過網絡釣魚郵件和虛假招聘廣告等社會攻擊獲得這些私鑰。
Avalanche創始人:Terra事件的嚴重程度比Mt.Gox黑客事件更糟糕:5月20日消息,Avalanche創始人Emin Gün Sirer在接受采訪時表示,Terra事件的嚴重程度與Mt.Gox黑客事件相比,甚至是更糟糕,他擔心這種事件會導致更多的監管審查。他承認,由于LUNA吸引了大量資金,Avalanche一度被LUNA的快速發展所阻礙。Emin Gün Sirer承認,因Avalanche之前與Terra建立合作關系,Avalanche在這次Terra事件中造成了一些損失。但其未透露具體損失金額。
據悉,位于日本東京的Mt.Gox曾是世界上最大的比特幣交易所,高峰時承擔著超過70%的比特幣交易,但在一次大規模黑客攻擊后于2014年破產。 (U.today)[2022/5/20 3:30:36]
可重入性攻擊是智能合約語言級別上最熱門的攻擊類型。
在可重入攻擊中,易受攻擊的智能合約中的函數調用惡意合約上的一個函數。或者,當易受攻擊的合約向惡意的合約發送代幣時,可以觸發惡意合約中的函數。然后,在合約更新其余額之前,惡意函數在遞歸循環中回調易受攻擊的函數。
例如,在 Siren Protocol 黑客攻擊中,提取質押品代幣的函數很容易被重入,并被反復調用(每次惡意合約接收代幣時),直到所有質押品耗盡。
協議層上的大多數漏洞都是特定應用程序獨有的,因為每個應用程序都有唯一的邏輯(除非它是純分叉 )。
2020年加密交易所黑客事件數量較2019年下降58%:12月24日消息,2020年總計發生了5次加密交易所被攻擊事件。其中4起攻擊事件導致加密資產被盜,另外一起攻擊事件則涉及交易所用戶數據被盜。至此,2020年5起攻擊事件共損失價值286,933,760美元的數字貨幣,以及200條客戶數據被盜。相較于2019年共發生12次加密交易所被攻擊事件,2020年交易所遭受的攻擊次數下降了58%,攻擊事件造成的加密資產損失金額也將下降了2%。究其原因存在多種可能,其中比較主要的有:1.加密交易所安全措施及KYC政策等更為嚴格,交易所安全性有所提升;2.DeFi平臺攻擊事件增多,加密交易所不要是黑客主要的攻擊目標。(CoinGeek)[2020/12/24 16:24:02]
訪問控制錯誤是樣本組中最常見的重復出現的問題。例如,在 Poly Network 黑客事件中,“EthCrossChainManager” 合約有一個任何人都可以調用的功能來執行跨鏈交易。
注意:有很多情況下,多個協議使用相同的技術會被黑客攻擊,因為團隊分叉了一個有漏洞的代碼庫。
例如,許多 Compound 分叉,如 CREAM、Hundred Finance 和 Voltage Finance 都成為了重入性攻擊的受害者,因為 Compound 的代碼在允許交互之前無需檢查交互的效果。這對 Compound 來說很有效,因為他們審查了他們支持的每個新代幣的漏洞,但制作分叉的團隊并沒有這么做。
日本交易所Fisco起訴幣安 稱后者在2018年“Zaif黑客事件”中為洗錢提供便利:日本加密貨幣交易所Fisco日前已于美國法院提起了針對幣安(Binance)的訴訟,Fisco聲稱在2018年Zaif(現已被Fisco收購)遭遇黑客入侵丟失6300萬美元的加密貨幣后,幣安為黑客洗錢提供了便利。Fisco在起訴書中指出,通過鏈上分析追蹤到了一個比特幣地址,黑客自這個地址通過幣安清洗了1451.7枚比特幣,幣安本有著凍結該賬戶并組織交易的能力,但由于幣安缺乏行動,Zaif的客戶和交易所本身都遭受了財務損失。Fisco要求獲得幣安的賠償,具體金額將在庭審中確定。(Finance Magnates)[2020/9/15]
98% 的生態系統攻擊中都使用了閃電貸。
閃電貸攻擊通常遵循以下公式:使用貸款進行大規模交易,推高貸款協議用作喂價( price feed)的 AMM 上的代幣價格。然后,在同一筆交易中,使用膨脹的代幣作為質押品,獲得遠高于其真實價值的貸款。
根據失竊的合約或錢包所在的鏈對數據集進行分析。以太坊的黑客數量最多,占樣本組的 45%。幣安 智能鏈(BSC)以 20% 的份額位居第二。
造成這種情況的因素有很多:
以太坊和 BSC 擁有最高的 TVL(在應用程序中存入的資金),所以對這些鏈上的黑客來說,獎勵的規模更大。
大多數加密貨幣開發人員都知道 Solidity,這是以太坊和 BSC 上的智能合約語言,而且有更復雜的工具支持該語言。
以太坊的被盜資金最多(20 億美元)。BSC 位居第二(8.78 億美元)。
涉及跨鏈橋或多鏈應用程序(例如多鏈交易或多鏈借貸)對數據集產生了巨大的影響。盡管這些黑客事件只占總數的 10%,但卻竊取了 25.2 億美元的資金。
對于威脅堆棧的每一層,我們都可以使用一些工具來早期識別潛在的攻擊載體并防止攻擊的發生。
大多數大型基礎設施黑客攻擊都涉及黑客獲取諸如私鑰等敏感信息。遵循良好的操作安全(OPSEC)步驟并進行經常性的威脅建模可以降低這種情況發生的可能性。擁有良好 OPSEC 流程的開發團隊可以:
識別敏感數據(私鑰、員工信息、API 密鑰等);
識別潛在的威脅(社會攻擊、技術利用、內部威脅等);
找出現有安全防御的漏洞和弱點;
確定每個漏洞的威脅級別;
制定并實施減輕威脅的計劃。
1. 模糊測試工具
模糊測試工具,如 Echidna,測試智能合約如何對大量隨機生成的交易做出反應。這是檢測特定輸入產生意外結果的邊緣情況的好方法。
2. 靜態分析
靜態分析工具,如 Slither 和 Mythril,自動檢測智能合約中的漏洞。這些工具非常適合快速找出常見的漏洞,但它們只能捕獲一組預定義的問題。如果智能合約存在工具規范中沒有的問題,也不會被發現。
3. 形式化驗證
形式化驗證工具,如 Certora,將比較智能合約與開發人員編寫的規范。該規范詳細說明了代碼應該做什么以及所需的屬性。例如,開發人員在構建一個貸款應用程序時,會指定每筆貸款都必須有足夠的質押品支持。如果智能合約的任何可能行為不符合規范,則形式化驗證者將識別該違規行為。
形式化驗證的缺點是測試只和規范保持一樣的標準。如果所提供的規范沒有說明某些行為或過于寬松,那么驗證過程將無法捕獲所有的錯誤。
4. 審計和同行評審
在審計或同行評審期間,一組受信任的開發人員將測試和評審項目代碼。審計員將撰寫一份報告,詳細說明他們發現的漏洞,以及如何修復這些問題的建議。
讓專業的第三方評審合約是發現原始團隊遺漏的漏洞的好方法。然而,審核員也是人,他們永遠不會捕抓到所有漏洞。此外要信任審計員,如果審計員發現了問題,他們會告訴您,而不是自己利用它。
5. 生態系統攻擊
盡管生態系統攻擊是最常見和最具破壞性的類型,現有工具中沒有很多工具適合防止這類攻擊。自動安全工具專注于每次在一個合約中查找錯誤。審計通常無法解決如何利用生態系統中多個協議之間的交互。
像 Forta 和 tenerly Alerts 這樣的監視工具可以在發生組合性攻擊時提供早期警告,以便團隊采取行動。但在閃電貸攻擊中,資金通常在單筆交易中被盜,因此任何預警都太晚了,無法防止巨大損失。
威脅檢測模型可以用來發現內存池中的惡意交易,在節點處理它們之前,交易就存在于內存池中,但黑客可以通過使用 flashbot 等服務直接將交易發送給礦工,從而繞過這些檢查。
我對加密安全的未來有兩個預測:
1. 我相信最好的團隊將從把安全視為基于事件的實踐(測試->同行評審->審核)轉變為將其視為一個連續的過程。他們將:
對主代碼庫中的每一個新增代碼執行靜態分析和模糊處理;
對每一次重大升級都進行正式驗證;
建立具有響應動作的監視和警報系統(暫停整個應用程序或受影響的特定模塊);
讓一些團隊成員制定和維護安全自動化和攻擊響應計劃。
安全工作不應在審計后結束。在許多情況下,例如 Nomad 跨鏈橋黑客攻擊,其漏洞是基于審計后升級中引入的錯誤。
2. 加密安全社區應對黑客攻擊的過程將變得更有組織和精簡。每當黑客攻擊發生時,貢獻者就會涌入加密安全群組聊天,渴望提供幫助,但缺乏組織意味著重要細節可能會在混亂中丟失。我認為在未來,這些群聊將轉變成更有條理的組織形式:
使用鏈上監控和社交媒體監控工具,快速檢測主動攻擊;
使用安全信息和事件管理工具協調工作;
采取獨立的工作流程,使用不同的渠道溝通黑白客的工作、數據分析、根本原因和其他任務。
Odaily星球日報
媒體專欄
閱讀更多
金色財經Maxwell
金色薦讀
FastDaily
中國金融雜志
巴比特資訊
元宇宙之道
吳說Real
NFT,一個鏈上token,一份存證,記錄著數據,記錄著文化,記錄著歷史,也記錄著資產。它可以是文字、可以是圖片、亦或影像、代碼,又或者說數據、藝術……無論它承載了什么,這都是一份獨一無二,不可.
1900/1/1 0:00:00在一個資本錯配問題嚴峻的世界,比特幣這一價值儲存手段為我們帶來了希望。根據美國6月份的消費者價格指數(CPI,反映居民家庭一般所購買的消費商品和服務價格水平變動情況)報告,今年6月的消費者價格同.
1900/1/1 0:00:00撰文:pseudotheos 編譯:DeFi 之道 Domothy 和我合著了這篇文章。PBS (區塊提議者-構建者分離) 仍然是一個活躍的研究領域,但這篇綜合性文章旨在匯總迄今為止的研究進展以.
1900/1/1 0:00:00原文出版于 2018 年 11 月。三年過去,如果作者此時再撰寫一篇這樣的文章,無疑會增補不少內容,也會減少對某些話題的描述。但回顧這篇文章仍然是有意義的.
1900/1/1 0:00:00文/Forgiven,原發作者推特1、美元穩定幣發行量約在1500億美元,800億美元購買短期美國國債.
1900/1/1 0:00:00北京時間2022年10月18日凌晨,備受矚目的新一代公鏈Aptos宣布主網上線。 隨后,FTX、幣安、Huobi Global、Coinbase等多家一線交易所均在沒有任何代幣經濟學透明度的情況.
1900/1/1 0:00:00