原标题:《一文揭秘2021年区块链黑客攻击频发的原因》
区块链以无审查著称,是一片鼓励创新的热土,也是滋生犯罪的温床。当年众筹超过1.5亿美金的TheDao被黑客盗币后,进行了硬分叉操作,由此产生了如今的以太坊。自区块链创世以后,各种针对交易所、钱包以及dapp的黑客盗币事件频发。那么,2021年区块链安全领域又经历了何种波澜,后续的处理工作又是如何的呢?
2021年区块链黑客盗币事件整理
由于2021年市场情绪热烈,黑客盗币的金额打破了往年的历史记录。截至三季度,统计一共有32起黑客入侵事件导致了15亿美金的资产被盗,而去年全年这个数字是1.8亿美金。
以太坊基金会2022 Q4分配437万美元奖励给55个项目和社区:金色财经报道,以太坊基金会公布2022年第四季度受赠项目及分配信息,第四季度分配的总奖励资金约为437万美元,受赠类别分为社区与教育、共识层、密码学和零知识证明、开发人员经验和工具、一般研究、执行层、间接资助、Layer2、用户体验等。获赠项目包括DendrETH、EthereumPools、Lighthouse、Secure-Signer、P2PZK-Chat、Uncloak等。[2023/2/23 12:24:22]
1)defi协议
Uranium?Finance——逻辑漏洞
2021年4月份流动性挖矿协议Uranium受到了攻击,被攻击的智能合约是MasterChief的修改版本。其中,用于执行“质押奖励”的代码出现了逻辑漏洞,使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子,并将它换成了价值130万美元的BUSD以及BNB。
数据:2020年DeFi中BTC锁定数量增加10000%,ETH数量增加194%:据EWN消息,加密资产数据公司CryptoRank数据显示,锁定在DeFi中的以太坊(ETH)和比特币(BTC)的价值已经达到47.8亿美元,占锁定在DeFi中的代币总价值的43%。此外,自年初以来,锁定在DeFi中的ETH数量增加了194%,而同期锁定在DeFi中的BTC增长了10,000%以上。[2020/10/18]
CreamFinance——预言机操纵
10月27日,CreamFinance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币,同时通过操纵多资产流动性池来操纵预言机对yUSD的报价。在提高了yUSD的价格后,攻击者的yUSD价格被人为提高,从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。
动态 | KuCoin交易所成为niTROn SUMMIT 2020特别赞助商:据官方最新信息,加密货币交易所KuCoin成为niTROn SUMMIT 2020特别赞助商。由波场TRON官方举办的世界区块链行业年度综合性峰会niTROn SUMMIT 2020将在2020年2月29日至3月1日两日于韩国首尔举行,峰会汇聚全球开发者、交易所、项目方、矿池、投资方,共同交流区块链未来发展方向。详情可查看原文链接。[2020/1/13]
BadgerDAO——前端恶意代码注入
攻击者获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易,就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。
Anyswap——后台签名
声音 | 闪电网络钱包Zap创始人:机构将在2020年使用闪电网络:最近,在接受播客节目What Bitcoin Did主持人Peter McCormack的采访时,闪电网络钱包Zap创始人Jack Mallers谈到闪电网络的实际价值、可以实现的目标以及其机构用例。他认为闪电网络是“物理上的结算和清算真正价值的轨道”,而在另一个完全不同的用例中,闪电网络可以用来在互联网上进行真正的私人商务。“你应该能够打造自己的通道,使其变得私密,这就像是互联网商业的黑匣子黑洞。价格稳定得如此之快、如此之便宜,而且你是如此的私密。”Mallers还表示,保管钱包将开始需要KYC,并称闪电网络将成熟一点。根据他们对用户的研究,它提供了“真正的价值,在很多方面都比我们用来支付的现有工具更好。”他表示,“我认为参与闪电网络的机构将是2020年的一件大事。”未来一年,机构闪电网络的使用将是一笔巨大的交易,自营交易公司将是其首批大用户。(AMBCrypto)[2020/1/1]
出事是因为后台签名时采用了不恰当的值,攻击者通过两笔交易来推导出了它签名的私钥。
动态 | 区块链执法平台LOCARD获得欧盟Horizon2020资助计划支持:旨在将执法证据数字化的全欧洲平台LOCARD得到19个成员组成的财团支持。在欧盟Horizon2020资助计划的支持下,合法证据收集和连续性平台开发(LOCARD)项目旨在为执法部门自动收集和记录数字证据。 这一过程将需要大约36个月才能完成。(ITPro)[2019/8/1]
简而言之,defi协议除了自身的代码需固若金汤,因其需与其他协议交互的可组合型,业务逻辑也要严丝合缝。最重要的是,Defi协议需借助第三方服务,而这些第三方服务很有可能面临外部操纵的风险,这也是产品受到黑客攻击的主要原因。
2)钱包——钓鱼信息
举个比特币钱包Electrum的例子,当用户旧版本并连接到攻击者的节点是,攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时,黑客便轻松掌握了用户的私钥。
3)交易所
不同于项目方一旦出事,人们可以通过链上公开的交易记录进行分析;交易所出事只有内部人员知道发生了什么,那些信息也不会被公开。一般交易所出事来自于这几个方面:交易所的服务器被黑了,攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击,然后攻击者通过工作人员的账号访问到内部系统,接触到了热钱包的私钥等等。
资产被盗后的处理方式
关于资产被盗后的处理方式,可以从三个角度来分析。
项目方一般会采取这几个解决方式:
1)即时暂停智能合约中的通证转移和交易服务;对于不能暂停的合约,查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务,避免合约被再次攻击。
2)同时向社区发出警告,避免新的投资者把财产放到有漏洞的合约里面。
3)联系第三方安全公司,请求帮助分析漏洞产生的原因,并合作共同修复漏洞。
4)对于被盗资金的去向,假如合约里面存在黑名单功能;第一时间屏蔽黑客地址,防止黑客进行资金转移。
5)和安全公司和执法部门合作追回被盗的财产,同时想出合理的补偿方案来减少用户的损失。
从交易所的角度来说,有两种情况:
1)假如交易所本身被盗,需第一时间暂停所有的提现充值功能,把损失降到最少。交易所保留系统里面的所有信息以便日后做分析使用,联系安全公司或者执法部门,帮忙做财产追踪。
2)假如某个项目被黑的话,交易所可以监控黑客相关链上地址,如果监测到最新充值的关联地址,冻结该账户。
安全公司需要做到以下几点:
1)在事件发生之后分析漏洞产生的原因,并修复漏洞。
2)在项目重新上线之前提供安全审计服务,以减少项目重新上线之后的安全风险。
3)发布社区警告,同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞,可以通过保密渠道发出警告。
4)通过链上技术手段来追踪资金流向以及分析链下信息,帮助执法部门抓到黑客。
那么,为何安全公司对于漏洞已经层层筛查,还会被黑客有机可趁?事实是,对于某个项目的审计工作只能持续数个星期,而黑客的时间和精力是无限的。他们一旦瞄准某类项目,便会有比审计公司多得多的时间进行研究并展开行动。
今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。其次,跨链桥和其他Defi项目的不同的点是:普通Defi项目几乎100%的逻辑是在智能合约上实现的,而跨链桥是web2和web3的结合,是智能合约和传统后台的结合。非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。
未来区块链安全展望
未来随着技术的发展,区块链行业会变得日益安全吗?理论上是的。先说底层技术,首先编写智能合约的solidity语言是在慢慢变得成熟的。在最近的solidity版本8.0之后,之前比较常见的一种漏洞叫做integeroverflow便销声匿迹了。
其次,安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库,它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能,便能实现从零开始写代码。https://github.com/OpenZeppelin/openzeppelin-contracts
现在有很多安全工具会对代码进行检查;它可以帮助项目方在没有联系安全公司的情况下,找到一些潜在的漏洞,从而提高代码的安全性。随着越来越多的技术人员加入到这个领域来,区块链行业的安全壁垒会不断被加固。
从人为因素出发,项目方需要考虑金融模型以及商业逻辑是否值得推敲,并进行不计其数的测试才能消弭潜在的风险。
总而言之,Defi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。环顾Defi出事的所有原因,最主要的还是Defi项目还无法完全去中心化,需要借助第三方的外部服务。Defi行业在安全性上达到无懈可击,是这一赛道项目必需实现的目标,期待行业下一周期跑出拥有全新业务逻辑的Defi产品来!
Dogecoin,一夜之间铸就百万富翁的“玩笑”货币;CryptoKitties,卡通猫数字交易卡,售价超过10万美元;Pringles“风味”仅作为NFT数字产品存在.
巴比特讯,12月23日,Twitter联合创始人JackDorsey和a16z关于Web3和VC的相关争论仍在继续.
过去半个世纪,斯坦福教给学生的技术,促成了硅谷的诞生;而为了将来的Web3时代,斯坦福也已经做好了准备.
“当前时间点,很难给出元宇宙的短期受益投资标的。”文|?常涛?赵佳然?林坚 编辑|赵佳然 审校|魏薇 来源:中新经纬 当我们谈论元宇宙时,我们在谈论什么?游戏?虚拟房地产?还是刚刚被盯上的远程会.
1929年,纽约流传着“梅隆拉响汽笛,胡佛敲起钟。华尔街发出信号,美国往地狱里冲”的歌谣,控诉着资本主义世界经济危机爆发带来的灾难.
巴比特讯,12月21日,针对JackDorsey发表的Web3言论,a16z合伙人ChrisDixon再次做出回击.