SHI:CertiK安全分析：8月数字货币相关攻击事件分析总结_USH

「币圈一天，人间一年」，「DeFi一天，币圈一年」。近期的链圈币圈，热度已几乎都被DeFi掠夺。伴随着项目的层出不穷，大量用户的涌入，DeFi协议总锁仓量已高达103.8亿美元。极高的投资收益吸引了大量币民加入，而8月，更是流动性挖矿项目如火如荼的一个月。从实验性流动性挖矿项目Yam到目前仍旧具有极高话题度的SushiSwap，整个区块链社区都在持续讨论着其中的巨额利润以及隐藏其下的安全隐患。在这一个月中，大量新的挖矿项目出现，其中绝大多数项目都直接复制其他类似项目的代码，在未进行安全审计的情况下匆忙上线。因此导致了发现的智能合约安全漏洞数量众多而且性质类似。如今，确定一个项目是否可以投资的首要条件应该是检查项目及其合约是否由著名安全团队进行过专业审计并取得较高安全评价。据CertiK安全技术团队统计，8月份发生与区块链相关的安全事件盘点如下：8月11日，基于以太坊的代币项目NUGS出现安全问题，其智能合约中存在安全漏洞，致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复，因此最终NUGS项目官方发布公告决定放弃该项目，存入其中的代币也无法被取出。8月12日，流动性挖矿项目Yam爆出智能合约漏洞，该漏洞将预留巨大数目的代币，导致对项目进行治理所需要的代币数目随之增长，最终由于社区没有足够的代币，任何治理行为都无法进行。8月14日，流动性挖矿项目Based存在智能合约安全漏洞并遭到攻击者攻击，该项目中一号池智能合约中函数被错误设置为可以被外部任意调用，造成其被外部攻击者抢先初始化，导致一号池中任何质押行为都无法完成。8月28日，Sushiswap智能合约中被发现存在多个安全漏洞，该漏洞允许智能合约拥有者在无任何社区授权情况下，任意进行取款。同时，该合约还存在重入攻击漏洞，会导致潜在恶意代码被执行多次。8月31日，用户由于使用存在漏洞的旧版本electrum钱包应用，导致1400枚比特币被盗。8月31日和9月1日，Sushiswap仿盘Yuno和Kimchi两个项目智能合约均被发现存在安全漏洞，该漏洞允许智能合约拥有者无限增发项目对应代币，可能导致项目中代币产生巨大通胀。列表如下：

CertiK：自上周五以来记录了26起事件，共造成约1.05亿美元的损失:金色财经报道，自上周五以来，CertiK记录了26起事件，总共造成了约1.05亿美元的损失。其中7起 Discord黑客攻击事件、16起网络钓鱼攻击事件和 0 起Twitter黑客攻击事件，请用户保持警惕并DYOR。[2023/7/29 16:05:21]

事件详情

以下是8月安全典型事件的具体分析：1号事件是一个非常典型的，由于逻辑实现上失误而造成的漏洞。NUGS项目的商业实现模型是一个彩票抽奖的系统，彩票抽奖以轮为单位，在每一轮抽奖中，投资者可以向该轮奖池中存入资金。经过一段时间后，NUGS智能合约中的开奖函数可以被外部调用，从而确定本轮彩票抽奖的赢家。赢家获得奖池奖金，而来自外部调用开奖函数的调用者也会获得一小部分奖励。该轮抽奖结束，奖池中数额清零，因此每一轮抽奖开始时，奖池内的初始数额应当为“零”。然而NUGS智能合约中存在一个关于奖池奖金初始数额的逻辑实现漏洞：当一轮抽奖结束后，奖池中数额未被清零，导致了下一轮抽奖开启后，奖池中的初始数额为上一轮的总奖金。因此奖池中的奖金会越来越多，最终导致通胀、币值飞快贬值。2号事件发生在Yam流动性挖矿项目上，也是一个由于逻辑实现上的失误导致的安全漏洞。在Yam智能合约中存在一个rebase函数，其目的是在确保代币的价格稳定，而由于在代码层面的疏忽，对每一次rebase执行时，代币总共供给量totalSupply的数值被错误的进行计算，导致totalSupply的数目只能持续增加，因此最终同样导致了通胀发生。以上两个事件中的漏洞都是属于逻辑实现层面出现的漏洞。逻辑实现上的漏洞虽然非常直观，但依靠任何现有的自动检测工具均无法检查，需要依靠专业的安全审计和/或严谨的数学证明才能够避免该类漏洞。3号事件发生于流动性挖矿项目Based。其智能合约在进行部署时，Based官方仅通过调用智能合约中的renounceOwnership函数声明了所有者，而并没有对智能合约初始化。而一名外部攻击者在Based官方之前，抢先调用initialize函数对智能合约进行了初始化。这使得智能合约的所有者和初始化的操作者不一致，最终任何质押行为都无法完成。该安全漏洞是由“智能合约自身调用安全风险”和“部署智能合约风险”两者同时影响产生的。对该种智能合约的部署应该确保发送部署智能合约的交易和对智能合约的初始化等操作交易的原子性，即该两者交易应该相互关联，确保没有第三方利用时间差进行恶意攻击操作。4号和6号事件相同：存在多个智能合约漏洞，其上线前均未进行安全审计，对于项目拥有者过大权利的问题，均缺乏相应社区监管机制。这两个事件的主角项目分别是SushiSwap以及其仿盘Yuno和Kimchi。SushiSwap项目智能合约中，智能合约拥有者有权利在无监管的情况下，使用setMigrator函数任意修改migrator的值，然后通过调用migrator.migrate来调用任意智能合约外部代码。该外部代码对于智能合约本身是未知的，因此智能合约拥有者可以通过该操作执行恶意代码。Yuno和Kimchi项目中也存在着类似的漏洞：智能合约拥有者有权利通过mint函数来进行无限制数量的铸币操作。最初，该类漏洞的解决方法是将任何来自智能合约拥有者的操作使用timelock智能合约加入延迟锁，SushiSwap、Yuno和Kimchi都通过该种方法为自身加入了48小时的操作延迟。其初衷是给予投资者48小时的窗口，对任何来自智能合约拥有者的疑似恶意交易，都有足够的时间进行撤资等操作。虽然SushiSwap项目中的ChefNomi成功转走的大笔代币后来返还了，但最终SushiSwap项目还是采用了多签名钱包来确保项目的去中心化。可以说，延迟锁并没有办法根本解决智能合约本身的漏洞。5号事件是由于受害者使用了旧版本的Electrum钱包，攻击者利用存在于旧版本中的软件漏洞进行钓鱼攻击。此软件漏洞会对Electrum节点服务器返回的交易错误信息进行HTML渲染。攻击者可以搭建一个恶意的节点，当该节点接收到来自用户发起的交易请求时，让用户钱包弹出一个包含钓鱼信息的窗口，让用户去下载一个所谓的“钱包更新”。而这个”新版钱包“实际上是一个包含恶意代码的假的钱包。一旦用户将自己钱包导入，该假钱包会将其中所有代币转移至攻击者的钱包中。安全建议

Balancer部署至Avalanche以及在Gnosis Chain上启用中继器的提案已投票通过:3月8日消息，Balancer社区已经投票通过两项提案。其中BIP-205提案建议在Gnosis Chain上启用中继器并添加其他缺少的权限。BIP-206提案建议将Balancer部署到Avalanche。投票通过后Balancer DAO的贡献者将在未来2-3个月内在Avalanche上进行部署。[2023/3/8 12:49:22]

综上所述，8月安全事件频发，CertiK安全团队提出以下建议：对于区块链项目的安全风险不仅需要从代码漏洞层面观察，同时也应该仔细了解项目的逻辑实现与其逻辑设计是否一致。区块链项目需要为其整个部署流程规划详细的设计与实施流程，确保部署操作的原子性。面对区块链项目智能合约拥有者权利过大的问题，不应仅仅依靠外部强制机制来限制，更是应该从智能合约代码实现以及社区治理等多角度综合，从而确保项目不会被任意一方滥用。DeFi热度持续上升，区块链作为时代颠覆性的核心技术，也已在各个领域得到了广泛的应用，隐藏在收益和利好之下的安全隐患也不应被忽视。CertiK致力于构建区块链健康安全生态，利用业内领先的技术解决区块链与智能合约的安全痛点。

Tracer DAO推出创新型衍生品:去中心化衍生品协议Tracer DAO已经从Framework Ventures、Maven 11和Apollo Capital等机构筹集了450万美元。目前，Tracer DAO正致力于为“任何有预言机喂价的市场”推出创新型衍生品，并计划允许普通消费者使用代币化衍生品对冲通勤和其它家庭开销的成本。（Cointelegraph）[2021/7/1 0:19:54]

狗狗登月通过审计公司CertiK的安全审计:据官方消息，DogMoon今日通过CertiK的安全审计，提供了安全审计报告，审计报告中证明了LP私钥被销毁，转入黑洞，资金池安全。

狗狗登月上线15天，持币地址突破83300，资金池突破21000HT。

如需查询审计情况，请登录官方网站进行搜索查询。[2021/5/25 22:42:48]

NBA球员Spencer Dinwiddie将创建Calaxy平台，帮助艺人创建加密货币:据Decrypt报道，NBA布鲁克林篮网队球星斯宾塞·丁威迪（Spencer Dinwiddie）将创建Calaxy平台，帮助运动员和艺人创建自己的加密货币，以使其从纪念品销售、演出等各种活动中受益。Calaxy平台预计于今年启动。[2021/2/10 19:24:10]

标签：SHISWAPUSHHISWAPLAZYSHIBA币KKSwapsushi币论坛Hiswap Token

Uniswap热门资讯