比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

從 100 個攻擊事件分析加密攻擊類型、工具、防范方法和未來預測_ETH

Author:

Time:1900/1/1 0:00:00

加密安全啟示錄

黑客今年從加密應用程序中竊取了超過 2B 美元。DAOrayaki去中心化編輯委員會撰寫此文時,又發生兩起黑客攻擊事件:Rabby wallet 、Solana生態去中心化金融平臺Mango。隨著加密生態系統的發展并吸引更多的惡意行為者,問題只會變得更糟。有些事情必須改變。是時候退后一步,反思過去的錯誤,并改變我們在這個行業中處理安全性的方式。

在這篇文章中,我們將:

提出一個對加密貨幣黑客進行分類的框架

概述迄今為止最有利可圖的黑客所使用的方法

回顧目前用于防止黑客的工具的優勢和劣勢

討論加密貨幣安全的未來

1、加密貨幣黑客攻擊分類框架

加密應用生態系統由可互操作的協議組成,由智能合約提供支持,依賴于主鏈和互聯網的底層基礎設施。

由于堆棧的每一層都有其獨特的漏洞。我們可以根據被利用的堆棧層和使用的方法對加密黑客進行分類。

基礎設施

對基礎設施層的攻擊利用了支持加密應用程序的底層系統的弱點:它依賴于達成共識的區塊鏈、用于前端的互聯網服務以及用于私鑰管理的工具。

智能合約語言

這一層的黑客利用了 Solidity 等智能合約語言的弱點。智能合約語言中存在眾所周知的漏洞,例如可重入性和錯誤的委托調用實現的危險,可以通過遵循最佳實踐來緩解這些漏洞。

*有趣的事實:用于執行 6000 萬美元The DAO 黑客攻擊的漏洞實際上是由 Least Authority 在對以太坊的安全審計中發現的。有趣的是,如果在發布前已經修復,事情會有多不同。

DWF Labs 從 Floki 財庫購買價值 500 萬美元的 FLOKI 代幣:5月25日消息,Shiba Inu 犬種主題項目 Floki 宣布于 Web3 投資公司 DWF Labs 建立戰略合作伙伴關系,DWF Labs 已從 Floki 財庫購買了價值 500 萬美元的 FLOKI 代幣,并將通過其網絡和資源來幫助加速 FLOKI 代幣的采用。[2023/5/25 10:40:31]

協議邏輯

此類攻擊利用單個應用程序的業務邏輯中的錯誤。如果黑客發現錯誤,可以使用它來觸發應用程序開發人員無意的行為。

例如,如果一個新的去中心化交易所在確定用戶從exchange中獲得多少的數學方程式中存在錯誤,則可以利用該錯誤從exchange中獲得比本應可能的更多的錢。

協議邏輯級攻擊還可以利用現有的治理系統來控制應用程序的參數。

生態系統

許多最具影響力的加密黑客利用了多個應用程序之間的交互。最常見的變體是黑客利用從另一個協議借來的資金利用一種協議中的邏輯錯誤來擴大攻擊規模。

通常,用于生態系統攻擊的資金是通過快速貸款借入的。在執行閃電貸款時,只要資金在同一筆交易中歸還,您就可以從 Aave 和 dYdX 等協議的流動資金池中借入盡可能多的資金,而無需提供抵押品。

2、數據分析

從 2020 年起,我們采集了 100 個最大的加密黑客數據集,被盜資金總計 5B 美元。

生態系統攻擊最常發生。占樣本組的 41%。協議邏輯漏洞導致的損失最大。

數據集中最大的三次攻擊,即Ronin bridge攻擊(6.24億美元)、Poly Network黑客(6.11億美元)和Binance bridge黑客(5.7億美元),對結果產生了巨大的影響。

數據:7000 萬 USDT 從 Tether 金庫轉至 Bitfinex:12月15日消息,Whale Alert 數據顯示,北京時間 10:44:51,7000 萬枚 USDT 從 Tether 金庫轉至加密交易所 Bitfinex。[2022/12/15 21:46:26]

如果排除前三種攻擊,則基礎設施黑客攻擊是損失資金影響最大的類別。

3、黑客如何執行

基礎設施攻擊

在樣本組中 61% 的基礎設施漏洞利用中,私鑰被未知方式破壞。黑客可能已經通過網絡釣魚電子郵件和虛假招聘廣告等社交攻擊獲得了對這些私鑰的訪問權限。

智能合約語言攻擊

重入攻擊是智能合約語言級別上最流行的攻擊類型。

在重入攻擊中,易受攻擊的智能合約中的函數調用惡意聯系人的函數。或者,當易受攻擊的合約向惡意合約發送代幣時,可以觸發惡意合約中的功能。然后,在合約更新其余額之前,該惡意函數會在遞歸循環中回調易受攻擊的函數。

例如,在 Siren Protocol hack 中,提取抵押代幣的功能很容易被重入并被反復調用(每次惡意合約收到代幣時),直到所有抵押品都被耗盡。

以太坊巨鯨從 Bitfinex 轉移了超8000萬美元的ETH:金色財經消息,以太坊巨鯨從 Bitfinex 轉移了價值 80,656,629 美元的以太坊,交易地址為:0x4862733b5fddfd35f35ea8ccf08f5045e57388b3。[2022/4/19 14:32:34]

協議邏輯攻擊

協議層上的大多數漏洞都是特定應用程序獨有的,因為每個應用程序都有獨特的邏輯(除非它是純分叉)。

訪問控制錯誤是樣本組中最常出現的問題。例如,在 Poly Network hack 中,“EthCrossChainManager”合約具有任何人都可以調用以執行跨鏈交易的功能。

該合約擁有“EthCrossChainData”合約,因此如果您將“EthCrossChainData”設置為跨鏈交易的目標,則可以繞過onlyOwner()審查。

剩下要做的就是制作正確的消息來更改哪個公鑰被定義為協議的“保管人”,奪取控制權并耗盡資金。普通用戶永遠無法訪問“EthCrossChainData”合約上的功能。

**注意:在許多情況下,多個協議使用相同的技術被黑客入侵,因為團隊分叉了一個存在漏洞的代碼庫。

例如,CREAM、Hundred Finance 和 Voltage Finance 等許多 Compound 分叉成為重入攻擊的受害者,因為 Compound 的代碼在允許交互之前沒有檢查交互的效果。這對 Compound 來說效果很好,因為他們審查了他們支持的每個新代幣的漏洞,但分叉團隊并沒有做這樣的努力。

生態系統攻擊

98% 的生態系統攻擊都使用了閃電貸。

NuCypher 已將共享策略訪問周期持續時間從 24 小時延長至 7 天:據官方消息,隱私基礎設施 NuCypher (NU)的關于將共享策略訪問周期持續時間以提升 Worker (節點運營方和質押者)潛在回報的第一項升級提案現已獲得通過,且已執行。目前,NuCypher 已將周期從 24 小時延長至 7 天,可降低 Worker 在鏈上作出承諾所需的累積 Gas 成本。[2021/4/15 20:21:32]

Flashloan 攻擊通常遵循以下公式:使用貸款進行大規模掉期,從而推高 AMM 上的代幣價格,而 AMM 將其用作價格饋送。然后,在同一筆交易中,使用膨脹的代幣作為抵押,獲得遠高于其真實價值的貸款。

4、何時執行黑客攻擊

數據集不夠大,無法從時間分布中得出有意義的趨勢。但我們可以看到,不同類型的攻擊在不同的時間更頻繁地發生。

2021 年 5 月是生態系統攻擊的歷史新高。2021 年 7 月的協議邏輯攻擊最多。2021 年 12 月發生的基礎設施攻擊最多。很難判斷這些集群是否是巧合,或者它們是否是一個成功的成功案例,激勵同一演員或其他人專注于特定類別。

智能合約語言級別的漏洞利用是最罕見的。該數據集始于 2020 年,當時該類別中的大多數漏洞利用已經廣為人知,并且很可能很早就被發現。

隨著時間的推移,被盜資金的分布有四個主要峰值。2021 年 8 月有一個高峰,這是由 Poly Network 黑客驅動的。2021 年 12 月,由于大量基礎設施黑客攻擊導致私鑰遭到破壞,例如 8ight Finance、Ascendex 和 Vulcan Forged,又出現了另一次高峰。然后,由于 Ronin 黑客攻擊,我們看到了 2022 年 3 月的歷史新高。最后的峰值是由BNB bridge被攻擊引起的。

實力派 | 范瑞彬:FISCO BCOS的設計邏輯主要從 5個方面出發:在今日“金色實力派”線上訪談中,針對海創鏈CEO張弢提出的“微眾銀行聯合金鏈盟開源工作組研發并開源的FISCO BCOS的設計邏輯是什么?”的問題,微眾銀行分布式商業科技發展部副總經理、區塊鏈負責人范瑞彬表示,FISCO BCOS在設計上主要從5方面出發考量:1、安全。全方位的安全防護(覆蓋網絡、主機、存儲、應用等),要避免短板和破窗。同時針對聯盟鏈的場景,專門支持了準入機制,CA認證、密鑰管理等關鍵能力。2、隱私保護。完整支持了國密算法體系(包括SM1、SM2、SM3、SM4等)。同時支持了權限管理、群簽名、環簽名、同態加密、零知識證明等隱私保護功能。3、性能。在工信部信通院的評測中單鏈TPS超2w,而且還支持了并行計算和分布式存儲,包括多鏈、跨鏈、熱點賬戶、多群組等一整套完整的解決方案,具備靈活高效的平行擴展能力。4、易用,提供開源的中間件平臺,讓使用者更便利的學習上手、開發、調試、部署、運營、監控、審計等。5、可靠,架構設計上要達到金融級水準的高可靠性。除了架構設計本身保證可靠,通過開源,更多人可以使用,促進更多的應用落地,用實踐來檢驗和加速推動FISCO BCOS的成熟可靠。[2019/12/18]

5、黑客在哪里執行

根據托管資金被盜的合約或錢包的鏈來分割數據集。以太坊的黑客數量最多,占樣本組的 45%。幣安智能鏈(BSC)以 20% 位居第二。

造成這種情況的因素有很多:

以太坊和 BSC 的鎖定總價值(存入應用程序的資金)最高,因此對于這些鏈上的黑客來說,獎金的規模更大。

大多數加密開發人員都知道 Solidity,這是以太坊和 BSC 上選擇的智能合約語言,并且有更復雜的工具支持該語言

以太坊被盜的資金量最大(20億美元),BSC位居第二(8.78億美元)。以太坊、BSC和Polygon上的資金被盜的黑客在一次事件中排名第三(6.89億美元)。這主要是因為 Poly Network 攻擊事件。

涉及跨鏈橋或多鏈應用的黑客(如多鏈交換或多鏈借貸)對數據集有巨大影響。盡管只占事件的10%,這些黑客占了25.2億美元的被盜資金。

6、我們如何防止黑客入侵

對于威脅堆棧的每一層,我們可以使用一些工具來及早識別潛在的攻擊向量并防止攻擊發生。

大多數大型基礎設施黑客攻擊都涉及黑客獲取敏感信息,例如私鑰。遵循良好的運營安全 (OPSEC) 實踐并進行經常性威脅建模可降低發生這種情況的可能性。擁有良好 OPSEC 流程的開發人員團隊將:

識別敏感數據(私鑰、員工信息、API 密鑰等)

識別可能的威脅(社交攻擊、技術漏洞、內部威脅等)

識別現有安全防御中的漏洞和弱點

確定每個漏洞的威脅級別

創建并實施計劃以減輕威脅

智能合約語言和協議邏輯

模糊測試

像 Echidna 這樣的模糊測試工具可以測試智能合約如何對大量隨機生成的交易做出反應。這是檢測特定輸入產生意外結果的邊緣情況的好方法。

靜態分析

靜態分析工具,如Slither和Mythril,自動檢測智能合約中的漏洞。這些工具對于快速挑出常見的漏洞是很好的,但它們只能抓住一組預定義的問題。如果智能合約有一個不在工具規范中的問題,它將不會被看到。

形式驗證

形式驗證工具,如 Certora,會將智能合約與開發人員編寫的規范進行比較。該規范詳細說明了代碼應該做什么及其所需的屬性。例如,開發貸款應用程序的開發人員會指定每筆貸款都必須有足夠的抵押品支持。

如果智能合約的任何可能行為不符合規范,正式驗證者將識別該違規行為。

形式化驗證的弱點是,測試只和規范一樣好。如果所提供的規范沒有考慮到某些行為,或者過于寬松,那么驗證過程將無法捕獲所有的錯誤。

審計和同行評審

在審計或同行評審中,一個受信任的開發者小組將測試和評審項目的代碼。審計員會寫一份報告,詳細說明他們發現的漏洞以及如何修復這些問題的建議。

讓第三方專家審查合約是識別原團隊所遺漏的漏洞的一個好方法。然而,審計師也是人類動物,不可能發現所有的東西。另外,還必須對此信任,如果審計師發現了問題,他們會告訴你,而不是自己去利用它。

令人沮喪的是,盡管生態系統攻擊是最常見和最具破壞性的變體,但工具箱中并沒有多少工具適合防止這些類型的攻擊。

自動化安全工具專注于一次發現一個聯系人中的錯誤。審計通常無法解決如何利用生態系統中多個協議之間的交互。

Forta 和 Tenderly Alerts 等監控工具可以在發生可組合性攻擊時發出預警,以便團隊采取行動。但在閃電貸攻擊期間,資金通常在單筆交易中被盜,因此任何警報都來得太晚,無法防止巨額損失。

威脅檢測模型可用于在內存池中查找惡意交易,其中交易位于節點處理之前,但黑客可以通過使用 flashbots 等服務將交易直接發送給礦工來繞過這些檢查。

7、加密安全未來預測

1)我相信最好的團隊將從將安全視為基于事件的實踐(測試 -> 同行評審 -> 審計)轉變為一個持續的實踐過程。他們將:

對主代碼庫的每個添加運行靜態分析和模糊測試。

在每次重大升級時運行形式驗證。

使用響應操作(暫停整個應用程序或受影響的特定模塊)設置監控和警報系統。

讓一些團隊成員專門負責制定和維護安全自動化和攻擊響應計劃。

安全性不是一組要填寫和擱置的復選框。安全工作不應在審計后結束。在許多情況下,例如 Nomad bridge hack,漏洞利用是基于審計后升級中引入的錯誤。

2)加密安全社區應對黑客攻擊的流程將變得更有條理和精簡。每當發生黑客攻擊時,貢獻者就會涌入渴望提供幫助的加密安全群組聊天,但缺乏組織意味著重要的細節可能會在混亂中丟失。我看到未來其中一些群聊會轉變為更結構化的組織:

使用鏈上監控和社交媒體監控工具快速檢測主動攻擊。

使用安全信息和事件管理工具來協調工作。

獨立的工作流,有不同的渠道來溝通白黑客工作、數據分析、根本原因理論和其他任務。

DoraFactory

個人專欄

閱讀更多

寧哥的web3筆記

金色財經 龐鄴

金色財經Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

Tags:以太坊FINETHHER波場幣在以太坊發布Cudl Financeeth錢包地址大全Dether

SHIB最新價格
金色觀察 | 不制裁Tornado 如何打擊Tornado上的洗錢_ORN

文/JP Koning,Moneyness美國當局不應該制裁代碼,而應針對人這一中間角色。 美國政府是否有比其最終采用的方式更好的辦法,打擊Tornado Cash上的犯罪活.

1900/1/1 0:00:00
解讀Sui經濟機制:Sui如何解決昂貴的區塊鏈存儲問題?_BDC

原文:@SuiNetwork編譯:@SuiWorldHQ像在普通數據庫一樣,用戶可以在區塊鏈中寫入數據,再讀取,但這是有一定的經濟成本,在比特幣、以太坊區塊鏈上存儲數據是非常昂貴的.

1900/1/1 0:00:00
區塊鏈存儲四大優勢不可不知_Graph

存儲并不是個新詞,隨著互聯網技術的快速發展,企業級存儲、云存儲等已成為人們工作生活的標配。與此同時,伴隨區塊鏈技術的發展與成熟,區塊鏈存儲的優勢和特點開始受到多方關注.

1900/1/1 0:00:00
Gala 打算建立 Play、Listen、Watch2Earn 的Web3娛樂帝國_GALA

來源:老雅痞 導讀 小孩子才做選擇,成年人都要!Gala 似乎也是這樣做的,play、listen、watch2earn 一網打盡!野心勃勃的Web3娛樂生態系統初見端倪.

1900/1/1 0:00:00
關于ETH暫時進入通縮階段的4點觀察_ETH

距離以太坊合并完成已經過去了大約25天時間,根據 ultrasound.money 統計的數據顯示,在完全轉向 PoS 之后,以太幣的新增供應量大約為 8665 ETH.

1900/1/1 0:00:00
你喜歡的明星和他身價不菲的猴子們_無聊猿

Justin Bieber 2022年1月30日,OpenSea 認證為 JustinBieberNFT 的地址以 500 ETH(約 130 萬美元)買入無聊猿 BAYC #3001.

1900/1/1 0:00:00
ads