比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

黑客事件頻發 請收下這篇Crypto防盜指南_BSC

Author:

Time:1900/1/1 0:00:00

黑暗森林中的攻擊手法和防范措施。

本文來自?Medium,原文作者:KofiKufuor,由Odaily星球日報譯者Katie辜編譯。

黑客今年從加密應用程序中竊取了20多億美元。國慶期間,行業又經歷了?TokenPocket閃兌服務商被盜和?BNB??Chain?跨鏈?橋BSCTokenHub遭攻擊的加密盜竊事件。

隨著加密生態系統的發展,安全攻防戰只會越演越烈。因此,本文將:

提出加密安全事件的分類法;

列舉出迄今為止讓黑客最賺錢的攻擊手段;

回顧當前用于防止黑客攻擊的工具的優缺點;

討論加密安全的未來。

黑客類型

加密應用生態系統由互操作協議組成,由智能合約支持,依賴于鏈和互聯網的底層基礎設施。此堆棧的每一層都有其獨有的漏洞。我們可以根據利用的堆棧層和使用的方法對加密黑客進行分類。

攻擊基礎設施

對基礎設施層的攻擊利用了加密應用程序的底層系統中的弱點:依賴用于達成共識的區塊鏈、用于前端的互聯網服務和用于私鑰管理的工具。

Euler Finance黑客事件的幕后黑手:自己現在被關在巴黎監獄里:金色財經報道,一名自稱是2億美元Euler Finance黑客事件幕后黑手的男子表示,他現在被關在巴黎監獄里。這名自稱名叫Federico Jaime的男子表示,他在一名西班牙學生的幫助下攻擊了Euler,但后來爆發了內訌。[2023/7/13 10:53:08]

攻擊智能合約語言

這一層的黑客利用了智能合約語言的弱點和漏洞,例如可重入性和實現委托調用的危險,這些可以通過遵循安全規范來規避。

攻擊協議邏輯

這類攻擊利用單個應用程序業務邏輯中的錯誤。如果黑客發現了一個錯誤,他們可以利用這個錯誤觸發應用程序開發者沒有預料到的行為。

例如,如果一個新的?DEX?在決定用戶從交易中獲得多少錢的數學方程中出現了錯誤,那么這個錯誤就可以被利用,使用戶從交易中獲得比本應可能獲得的更多的錢。

協議邏輯級攻擊還可以利用用于控制應用程序參數的治理系統。

攻擊生態系統

許多知名的加密黑客利用了多個應用程序之間的交互。最常見的是黑客利用一個協議中的邏輯錯誤,利用從另一個協議借來的資金來擴大攻擊規模。

通常,用于生態系統攻擊的資金是通過閃電貸借來的。在執行閃電貸時,你可以從?Aave??和?dYdX??等協議的流動性池中借到你想要的金額。

數據分析

Raydium發起提案,將補償黑客事件中受損投資者:金色財經報道,Raydium發起提案,將補償黑客事件中受損投資者。補償資金來源于兩部分:

1.使用多簽部署withdrawPNL,這些PNL所賺取的費用將被用于回購RAY。

2.運用金庫資產,以補償流動性提供者。

目前,這一提案已開始投票,將于2天后終止投票。

此前報道,12月16日,Raydium的8個流動性池遭到攻擊,黑客盜取了總計約440萬美元。[2022/12/28 22:11:15]

我收集了2020年以來100起規模最大的加密貨幣黑客攻擊的數據集,被盜資金總計50億美元。

生態系統受到的攻擊最為頻繁。他們占41%。

協議邏輯漏洞導致了最多的金錢損失。

金額最大的三個攻擊:Ronin跨鏈橋攻擊,PolyNetwork攻擊和BSC跨鏈橋攻擊。

如果排除前三大攻擊,則針對基礎設施的被盜案件是損失資金最多的類別。

安全團隊:針對Wintermute損失1.6億美元黑客事件,建議項目方移除相關地址管理權限:金色財經報道,2022年9月20日,據Beosin EagleEye監測顯示,Wintermute在DeFi黑客攻擊中損失1.6億美元,Beosin 安全團隊發現,攻擊者頻繁的利用0x0000000fe6a...地址調用0x00000000ae34...合約的0x178979ae函數向0x0248地址(攻擊者合約)轉賬,通過反編譯合約,發現調用0x178979ae函數需要權限校驗,通過函數查詢,確認0x0000000fe6a地址擁有setCommonAdmin權限,并且該地址在攻擊之前和該合約有正常的交互,那么可以確認0x0000000fe6a的私鑰被泄露。結合地址特征(0x0000000),疑似項目方使用Profanity工具生成地址。該工具在之前發的文章中,已有安全研究者確認其隨機性存在安全缺陷(有暴力破解私鑰的風險),導致私鑰可能泄漏。

Beosin 安全團隊建議:1.項目方移除0x0000000fe6a地址以及其他靚號地址的setCommonAdmin/owner等管理權限,并使用安全的錢包地址替換。2.其他使用Profanity工具生成錢包地址的項目方或者用戶,請盡快轉移資產。Beosin Trace正在對被盜資金進行分析追蹤。[2022/9/20 7:08:40]

黑客是如何下手的?

基礎設施

在61%的基礎設施漏洞中,私鑰是通過未知的方式泄露的。黑客可能通過網絡釣魚郵件和虛假招聘廣告等社會攻擊獲得這些私鑰。

推特黑客事件策劃者Graham Clark此前曾進行過游戲道具交易詐騙:推特黑客事件策劃者Graham Clark的朋友向媒體表示,在黑客事件發生前,Clark曾多次進行過游戲道具交易詐騙,即聲稱向其他玩家“出售”Minecraft中的道具,但在收錢后拒不交貨。

注:美國司法部上周五宣布,三名涉嫌參與著名社交網站推特(Twitter)賬戶大規模被盜事件的黑客Mason Sheppard、Nima Fazeli、Graham Clark已被起訴。(Techspot)[2020/8/4]

智能合約語言

可重入性攻擊是智能合約語言級別上最熱門的攻擊類型。

在可重入攻擊中,易受攻擊的智能合約中的函數調用惡意合約上的一個函數。或者,當易受攻擊的合約向惡意的合約發送代幣時,可以觸發惡意合約中的函數。然后,在合約更新其余額之前,惡意函數在遞歸循環中回調易受攻擊的函數。

例如,在Siren?Protocol黑客攻擊中,提取質押品代幣的函數很容易被重入,并被反復調用,直到所有質押品耗盡。

協議邏輯

動態 | 韓國多部門提交加密貨幣交易所黑客事件數據,Upbit否認遭黑客入侵:由于沒有采取足夠措施防止加密貨幣交易所遭受黑客攻擊,韓國政府飽受批評。據bitcoin.com援引當地媒體周一的報道,韓國科技部,信息通信部,韓國通信委員會(KCC)和國家警察局已向國民議會提交了加密貨幣交易所黑客事件的數據。國民議會科學和技術信息及通信委員會成員Min Kyung-wook透露,數據顯示,共發生了七起黑客攻擊事件,導致了1288億韓元(約合1.15億美元)的損失。監管機構建議交易所立即采取行動,改善例如缺乏防火墻的信息安全系統,缺乏系統訪問控制,以及防范惡意代碼的不足。在總計1288億韓元的損失中,價值1100億韓元(約合9850萬美元)的加密貨幣從三個加密交易所中被盜,分別為Youbit、Coinrail及Bithumb。這三家交易所即使在收到政府安全檢查要求后還是遭到了攻擊。同時,加密貨幣交易所Upbit7月8日發表聲明否認其遭到黑客入侵的傳聞。[2018/7/11]

協議層上的大多數漏洞都是特定應用程序獨有的,因為每個應用程序都有唯一的邏輯。

訪問控制錯誤是樣本組中最常見的重復出現的問題。例如,在PolyNetwork黑客事件中,“EthCrossChainManager”合約有一個任何人都可以調用的功能來執行跨鏈交易。

注意:有很多情況下,多個協議使用相同的技術會被黑客攻擊,因為團隊分叉了一個有漏洞的代碼庫。

例如,許多?Compound??分叉,如CREAM、HundredFinance和VoltageFinance都成為了重入性攻擊的受害者,因為Compound的代碼在允許交互之前無需檢查交互的效果。這對Compound來說很有效,因為他們審查了他們支持的每個新代幣的漏洞,但制作分叉的團隊并沒有這么做。

生態系統

98%的生態系統攻擊中都使用了閃電貸。

閃電貸攻擊通常遵循以下公式:使用貸款進行大規模交易,推高貸款協議用作喂價的AMM上的代幣價格。然后,在同一筆交易中,使用膨脹的代幣作為質押品,獲得遠高于其真實價值的貸款。

黑客在哪里下手?

根據失竊的合約或錢包所在的鏈對數據集進行分析。以太坊的黑客數量最多,占樣本組的45%。幣安?智能鏈以20%的份額位居第二。

造成這種情況的因素有很多:

以太坊和BSC擁有最高的TVL,所以對這些鏈上的黑客來說,獎勵的規模更大。

大多數加密貨幣開發人員都知道Solidity,這是以太坊和BSC上的智能合約語言,而且有更復雜的工具支持該語言。

以太坊的被盜資金最多。BSC位居第二。

涉及跨鏈橋或多鏈應用程序對數據集產生了巨大的影響。盡管這些黑客事件只占總數的10%,但卻竊取了25.2億美元的資金。

如何防止黑客攻擊?

對于威脅堆棧的每一層,我們都可以使用一些工具來早期識別潛在的攻擊載體并防止攻擊的發生。

基礎設施

大多數大型基礎設施黑客攻擊都涉及黑客獲取諸如私鑰等敏感信息。遵循良好的操作安全步驟并進行經常性的威脅建模可以降低這種情況發生的可能性。擁有良好OPSEC流程的開發團隊可以:

識別敏感數據;

識別潛在的威脅;

找出現有安全防御的漏洞和弱點;

確定每個漏洞的威脅級別;

制定并實施減輕威脅的計劃。

智能合約語言和協議邏輯

1.模糊測試工具

模糊測試工具,如Echidna,測試智能合約如何對大量隨機生成的交易做出反應。這是檢測特定輸入產生意外結果的邊緣情況的好方法。

2.靜態分析

靜態分析工具,如Slither和Mythril,自動檢測智能合約中的漏洞。這些工具非常適合快速找出常見的漏洞,但它們只能捕獲一組預定義的問題。如果智能合約存在工具規范中沒有的問題,也不會被發現。

3.形式化驗證

形式化驗證工具,如Certora,將比較智能合約與開發人員編寫的規范。該規范詳細說明了代碼應該做什么以及所需的屬性。例如,開發人員在構建一個貸款應用程序時,會指定每筆貸款都必須有足夠的質押品支持。如果智能合約的任何可能行為不符合規范,則形式化驗證者將識別該違規行為。

形式化驗證的缺點是測試只和規范保持一樣的標準。如果所提供的規范沒有說明某些行為或過于寬松,那么驗證過程將無法捕獲所有的錯誤。

4.審計和同行評審

在審計或同行評審期間,一組受信任的開發人員將測試和評審項目代碼。審計員將撰寫一份報告,詳細說明他們發現的漏洞,以及如何修復這些問題的建議。

讓專業的第三方評審合約是發現原始團隊遺漏的漏洞的好方法。然而,審核員也是人,他們永遠不會捕抓到所有漏洞。此外要信任審計員,如果審計員發現了問題,他們會告訴您,而不是自己利用它。

5.生態系統攻擊

盡管生態系統攻擊是最常見和最具破壞性的類型,現有工具中沒有很多工具適合防止這類攻擊。自動安全工具專注于每次在一個合約中查找錯誤。審計通常無法解決如何利用生態系統中多個協議之間的交互。

像Forta和tenerlyAlerts這樣的監視工具可以在發生組合性攻擊時提供早期警告,以便團隊采取行動。但在閃電貸攻擊中,資金通常在單筆交易中被盜,因此任何預警都太晚了,無法防止巨大損失。

威脅檢測模型可以用來發現內存池中的惡意交易,在節點處理它們之前,交易就存在于內存池中,但黑客可以通過使用flashbot等服務直接將交易發送給礦工,從而繞過這些檢查。

加密安全的未來

我對加密安全的未來有兩個預測:

1.我相信最好的團隊將從把安全視為基于事件的實踐轉變為將其視為一個連續的過程。他們將:

對主代碼庫中的每一個新增代碼執行靜態分析和模糊處理;

對每一次重大升級都進行正式驗證;

建立具有響應動作的監視和警報系統;

讓一些團隊成員制定和維護安全自動化和攻擊響應計劃。

安全工作不應在審計后結束。在許多情況下,例如Nomad跨鏈橋黑客攻擊,其漏洞是基于審計后升級中引入的錯誤。

2.?加密安全社區應對黑客攻擊的過程將變得更有組織和精簡。每當黑客攻擊發生時,貢獻者就會涌入加密安全群組聊天,渴望提供幫助,但缺乏組織意味著重要細節可能會在混亂中丟失。我認為在未來,這些群聊將轉變成更有條理的組織形式:

使用鏈上監控和社交媒體監控工具,快速檢測主動攻擊;

使用安全信息和事件管理工具協調工作;

采取獨立的工作流程,使用不同的渠道溝通黑白客的工作、數據分析、根本原因和其他任務。

Tags:0X0加密貨幣COMBSC0x0.ai: AI Smart Contract騙子讓我買加密貨幣CCOMDOGBSC

歐易交易所app官網下載
掃描60個頭部DEX 我們發現了這5個趨勢_DEX

作者:小牛 DEX賽道整體處于供大于求的狀態,DEX提供的交易和流動性挖礦功能已能基本滿足用戶的需求.

1900/1/1 0:00:00
一個時代落幕 新的crypto大航海時代剛剛開啟_比特幣

10月8日早上,火幣創始人李林在朋友圈發布消息稱HuobiGlobal控股股東完成股份出售,百域資本旗下基金成HuobiGlobal第一大股東和實控人,其不再是HuobiGlobal的股東.

1900/1/1 0:00:00
Web3經濟中的所有權真實存在嗎?_NFT

目前許多主流敘事認為,以區塊鏈技術為基礎構建的Web3產品,能夠通過發行代幣賦予用戶以真正的資產所有權.

1900/1/1 0:00:00
總結:Web3用戶體驗的四個層_WEB3

本文試圖為Web3UX創建一個更大的框架。Web3和Web2之間有太多的新元素,比如gas費、代幣、錢包和智能合約,我們需要考慮的不僅僅是UI。現在已經有更多的層要去考慮.

1900/1/1 0:00:00
淺談如何讓鏈上游戲更有競爭力:程序生成_LIBRE

原文作者:MatchboxDAO 介紹 雖然鏈上游戲與傳統游戲世界有其不同之處,但我們有義務考慮需要移植哪些功能才能使區塊鏈游戲更受歡迎.

1900/1/1 0:00:00
一文讀懂新的千億平臺賽道-Web3.0加密錢包_NFT

引言 如果說互聯網的普及和發展造就了移動支付,那么Web3的到來則書寫了加密支付的新篇章,并將加密錢包的發展推向新高潮。傳統電子錢包的功能是儲存資產與移動支付.

1900/1/1 0:00:00
ads