区块链作为过去十年最伟大的技术发展之一,除了为传统金融、跨境支付与结算、供应链、征信与反欺诈、用户隐私等应用领域带来革新性进展外,受区块链原生思想、文化而孕育出的去中心化金融以颠覆者的形象崛起,旨在构建一个无需第三方、公平自主、对所有人开放的金融体系。DeFi被认为具有无限活力和可能,有望重构金融交易和服务模式,在经历了2年多的蛰伏期后,DeFi于2020年6月底爆发,迅速发展壮大,成了当前区块链世界备受瞩目、金融领域落地最大,也是采用率最高的应用之一。但随着DeFi短时间内吸引了成百上千万资金,也让它们成为了大量黑客攻击的目标,链上安全事故频发。
据公开资料显示,2020年DeFi攻击事件达到了60起,损失逾2.5亿美元,其中至少10起为闪电贷攻击,包括bZx、Balancer、Harvest、Akropolis、CheeseBank、ValueDeFi和OriginProtocol等多个DeFi项?遭到攻击。
尽管仍有近2个月的时间2021年才宣告结束,但据OKLink不完全统计,截至11月7日,2021年年初至今已经发生了82起链上安全问题,初始被盗资金约18.16亿美元,但其中约有7亿美元已经归还,被盗资金的总额达到了11.16亿美元。
与2020年对比明显的除了攻击事件显著增多外,单个项目被盗金额在量级上也有了显著提升。据Rekt排行榜显示,前十大DeFi黑客攻击事件中,仅有1起发生在2020年。排名前三的分别是PolyNetwork、Compound以及CreamFinance。
数据来源:rekt.news
其中仅PolyNetwork被盗资金就超过了2020年全年,不过好在攻击该项目的黑客事后已归还全部被盗资金。最近一次大规模的攻击,当属于10月28日CreamFinance遭受到的闪电贷攻击,损失超过1.3亿美元,被盗的资金主要是CreamLP代币和其他ERC-20代币。据了解,这并非是CreamFinance遭受的初次攻击,去掉本次,仅2021年,CreamFinance就因闪电贷、合约漏洞亦或是被其他DeFi项目连带影响,就已经遭受了3次攻击,损失共计5,740万美元。
报告:以太坊和Cardano的2022年开发者活动最活跃:金色财经报道,根据DappRadar的最新报告,以太坊的活跃开发者下降幅度最小,为9.37%。Cardano的开发者人数比前一年下降了26.47%。
Polkadot和Kusama的开发者活动分别增加了16,06%和12,80%,平均每天吸引了129名活跃的开发者。另一方面,Cosmos记录了117名日均开发者。
同时,Solana和ICP在2022年的活跃开发者增长最为显著。自上一年以来,这两个区块链网络分别激增了1320%和1050%。区块链上的平均每日活跃开发者数量在过去30天内注意到下降了31.4%,并继续吸引平均每日活跃开发者69人。[2023/1/23 11:26:36]
从2021年年初至今的82起安全事件中,我们发现闪电贷是黑客最常用的手段,占到了33起,其次是合约漏洞,共27起。此外,因激励机制变更、私钥或助记词泄露等因素也会导致黑客攻击。接下来,我们将结合具体案例,为大家展现。
CreamFinance再遭闪电贷攻击,损失1.3亿美元
10月27日,DeFi借贷协议CreamFinance遭到闪电贷攻击,攻击者从C.R.E.A.M.Ethereumv1市场取走约1.3亿美元代币。
闪电贷是指不需要抵押资产,在同一个区块内完成借款、还款的一种贷款方式。需要说明的是,闪电贷本身只是一种工具,没有好坏之分,但因为闪电贷不时出现在与DeFi暴雷相关的新闻中,因此在很多不明就里的人眼中,闪电贷似乎成为了恶意攻击者的帮凶,这其实是对闪电贷的误解。
事实上,闪电贷甚至可以称得上是智能合约上的一个伟大创新。由于DeFi存在结构性缺陷,所以在大多数抵押借贷协议里都要求用户超额质押资产,这就意味着资金利用率会变得十分低下。闪电贷的出现,大大降低了资金成本,用户可以在不需要任何抵押借款的情况下,只需付出极小的手续费,就能获得巨额的资金,用户在借到款后,可以利用借到的资金进行其他操作,在交易结束时,只需将借款及手续费及时归还,否则该笔交易就会回滚,犹如什么都没有发生过,因此它可以用于套利、交换抵押品和自我清算等。
2022年服贸会新设环境服务专题增加元宇宙元素:8月6日消息,2022年中国国际服务贸易交易会将于8月31日至9月5日在国家会议中心和首钢园区举办,今年主题为“服务合作促发展 绿色创新迎未来”。本届服贸会新设环境服务专题,将重点展示生态环保、绿色节能新技术、新应用,助力实现“双碳”目标;还突出数字科技新元素,增加元宇宙元素,展示元宇宙、新一代互联网等技术和应用,采用元宇宙技术打造成果发布厅,促进元宇宙从概念走向应用。[2022/8/6 12:06:44]
针对此次CreamFinance攻击,攻击者从MakerDAO闪电贷借出5亿枚DAI,接着质押兑换成4.51亿枚yDAI,再将yDAI在CurveySwap中添加流动性获得4.47亿枚yDAI+yUSDC+yUSDT+yTUSD。
图片来源:
OKLink
然后攻击者将4.47亿枚yDAI+yUSDC+yUSDT+yTUSD质押并获取近4.47亿枚yUSD,通过在crYUSD中调用铸币函数,铸造了近223.38亿枚crYUSD。
图片来源:OKLink
随后攻击合约0x961D创建了攻击合约20xf701,并调用攻击合约2的flashLoanAAVE()函数,先从AAVE借入52.41万WETH,其中6,000WETH发给攻击合约0x961D,剩余的WETH存入Cream获得crETH。使用攻击合约2借出近4.47亿枚yUSD,重复两次,并以此铸造crYUSD,铸币完成后将crYUSD转给攻击合约0x961D。攻击合约20xf701第三次又借出近4.47亿枚yUSD,此次直接转给攻击合约0x961D。
Titan Protocol 主网币TIT将于2020年12月1日发起节点公投:据官方消息,Titan Protocol 主网币TIT将于2020年12月1日发起节点公投,根据底层规则节点矿工投票通过超过半数以上将销毁1亿枚矿池TOKEN。
Titan Protocol 是一个商用级的去中心化应用程序平台。Titan Protocol 将采用一种主节点(Masternode)方案来解决目前 Bitcoin、Ethereum 等传统主流公链所面临的处理交易慢、数据庞大、被少数几个矿池控制的问题。[2020/10/28]
图片来源:OKLink
攻击者使用1,873枚WETH在UniswapV3中获得745.30万枚USDC,再通过Curve.fi将372.65万枚USDC换成338.33万枚DUSD,然后将DUSD换成4.50亿枚yDAI+yUSDC+yUSDT+yTUSD。
图片来源:OKLink
随后将843.15万枚yDAI+yUSDC+yUSDT+yTUSD直接发送回yUSD抵押池,导致Cream协议对抵押资产yUSD的价值计算剧增,最终借出大量CRETH2、xSUSHI、PERP等共15种资产,并归还攻击合约2借出的WETH闪电贷。
数据:2020年第三季度比特币网络交易额超2250亿美元:Block Research的结果显示,2020年第三季度,比特币网络上的交易金额较第二季度有所增长。在此期间,用户交易超过2250亿美元,平均每天交易24亿美元。与今年第二季度的1800亿美元相比,网络交易总额增长了25%。此外,比特币的交易费用也在增长。与上一季度相比,矿工收入增长了88%。上个季度,用户平均每天支付98.7万美元的交易费用。[2020/10/11]
图片来源:OKLink
最后赎回各资产成DAI,归还攻击合约0x961D的闪电贷。
图片来源:OKLink
本次攻击是典型的闪电贷价格操控,通过闪电贷获取大量资金后,利用合约设计缺陷,大幅改变价格导致获利,此次是CreamFinance今年遭受的第四次黑客攻击。发生闪电贷攻击,实质是发起闪电贷的攻击者只是利用了闪电贷的特点,在短时间内借出资金、交易、然后存入并再次借出大量的资金,这样他们就可以人为地在某一个DEX里操纵特定加密资产的价格,进而从中获利。也就是说,单单就攻击者在闪电贷流程里的操作来看,其本身是合规的,但是从结果来看,这一行为损害了智能合约的公平性和其他用户的利益。
2.?史上最大的DeFi被盗案PolyNetwork
2021年8月10日,异构链跨链互操作协议PolyNetwork遭到攻击,使用该协议的O3Swap损失惨重,据OKLink链上浏览器显示,30多分钟的时间里,黑客带走了共计6.1亿美元的加密资产,分批转出至3个地址。转至0x0d6e的BSC地址的资金超2.5亿美元,转至0xc8a6的以太坊地址有超2.7亿美元,而转至0x5dc3地址的也有超8,500万美元。
本次攻击主要是黑客利用了EthCrossChainManager合约中存在的漏洞,EthCrossChainData合约的Keeper权限可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以被任何用户调用进行交易执行,并且在其内部进行call调用时,恶意用户又可以通过_executeCrossChainTx函数传入自行构造的数据,这样黑客通过精心构造的数据就能把EthCrossChainData的Keeper更改为自己指定地址,从而取出LockProxy合约中的代币。
动态 | 特朗普2021年预算提案寻求优化加密货币政策:金色财经报道,美国总统唐纳德·特朗普周一发布了4.8万亿美元的2021财年预算提案。该提案通过将美国特勤局重新纳入财政部的管辖范围,旨在扩大美国财政部的加密货币监管范围。执行报告称,改组将在特勤局对涉及加密货币和金融市场的犯罪行为的调查中“创造新的效率”。[2020/2/11]
以下是欧科云链链上天眼团队绘制的被攻击过程。
由于此次事件涉及的6.1亿美元太过引人注目,事件发生后各大平台都在积极响应,试图阻止黑客利用平台特性将赃款转移,天眼团队也在合规的前提下,与安全团队同步相关攻击者信息,为追踪攻击者争取了宝贵时间。
据DuneAnalytics数据显示,当前跨链桥的TVL超过了388亿美元,而跨链桥作为一个新兴领域,它的诞生虽然打破了链与链之间的孤岛现象,但由于其发展速度和庞大的资金体量,再加上链上项目水平参差,自然是成了黑客眼中的“香饽饽”。
7月11日,跨链项目ChainSwap遭到黑客攻击,在该桥部署的超20个项目的代币都遭到黑客盗取,损失约合440万美元。本次安全事故发生的主要原因是每个代币在跨链转移时有代理合约,黑客调用合约时需在_chargeFee中支付0.005ETH作为费用,但这个过程没有真正的身份验证审查,只需一个签名,问题可能是_decreaseAuthQuota函数,如果当天签名人的配额已完成,该函数就会恢复。但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在_receive函数中将“volume”参数传输到“to”攻击者地址。
而就在一天后,另一知名跨链项目AnySwap也遭到攻击,其新推出的V3跨链流动性池损失239万USDC和550万MIM,总损失超过了790万美元。根据AnySwap公告解释,在BSC上的V3路由器MPC账户下检测到两个V3路由器交易,这两个交易具有相同的R值签名,而黑客反推到这个MPC账户的私钥,团队已经修复代码以避免使用相同的R签名。
PolyNetWork不是跨链桥安全事件的第一起,也不会是最后一起,由于TVL的迅速壮大,跨链桥必然会继续成为安全事件的高发地,PolyNetwork的结尾虽然以黑客归还全部资产告终,但本次事件也是一次警示,即跨链桥作为更为复杂的业务场景,对合约撰写和审计的要求应更为严格,而管理员权限、私钥授权等安全问题也需更加重视。
3.BXH或因私钥泄露被盗
10月30日,多链部署的去中心化交易协议BXH被盗,1.39亿美元的加密资产被洗劫一空。据了解,此次安全事故发生在BSC链上的BXH协议,出于谨慎考量,BXH官方也暂停了Heco、OEC相关存取款服务。
事故发生后的第一时间,天眼团队便第一时间监控了黑客在BSC、以太坊和比特币链上的地址,并预警交易所和钱包注意加强地址监控,避免相关恶意资金流入平台。经过复盘,天眼团队分析,黑客在10月27日部署了0x8877这一攻击合约,接着10月29日BXH管理员地址0x5614通过grantRole赋予了黑客攻击合约0x8877管理权限。10月30日,黑客通过攻击合约的管理权限将BXH资金库中的资产转出。
简单理解就是,有人拿到了BXH管理员的私钥,再将另一个地址设置为管理员,然后通过这另一个地址把钱都提走了,此番调查结果一出,引起哗然,毕竟这样的盗币手段颇为原始,黑客都不需要攻克复杂的智能合约,仅靠私钥就提取了1.39亿美元的资金。
BXH链上资产被盗,也产生了一系列的连锁反应,依赖于BXH流动性的相关机池也受到了牵连,CoinWind和EarnDeFi接连关闭了充提。10月31日晚,BXH在官方媒体上公示了其在BSC链上的资金池剩余资产,包括USDT、USDC、BTC、ETH、BUSD、MDX在内,总计约1.84亿美元。
截至11月9日,BXH的最新动态是,项目方表示,在持续测试、消除潜在风险,并完成私钥验证的多签升级后,项目在OEC上的活动已经恢复正常。
4.RugPull攻击
作为DeFi圈中常被提及的术语,RugPull指的是项目方撤出支持、DEX流动性池或突然放弃一个项目,毫无征兆地卷走投资者的资金,RugPull多发生于DEX,是DeFi领域较为典型的局。子们会在流动性池中投入大量的资金,并在社交媒体上发布诱人的广告吸引投资者入局,一旦投资者将代币存入这些流动性池中,子就会“抽地毯般”地把池子里的代币全部提走,通常是恶意团队攻击的最后一步,也是一种常见的退出局。由于RugPull在技术上实施起来颇为简单,通常会是一些土狗项目在打造出所谓“一夜暴富”的假象散户上车后惯常的技俩。
7月15日,数字收藏品平台BondlyFinance遭受攻击,在以太坊网络铸造了3.73亿枚BONDLY,导致代币价格下跌,损失590万美元,此举被质疑为RugPull。据项目方自身披露,攻击者通过精心策划的策略获得了BondlyFinanceCEOBrandonSmith密码账户的访问权限,密码帐户包含他的硬件钱包的助记词恢复短语,复制后允许攻击者访问BONDLY智能合约,以及也被泄露的公司钱包。Brandon保持对Bondly大部分企业钱包的独家访问权。这些钱包包括所有去中心化交易所流动性池代币、投资账户代币、抵押储备代币、生态基金代币、工资单、公司储备金、所有NFT钱包和Opensea储备金。
结语
随着区块链在全球范围内的迅速发展,相应的链上安全事件也在不断滋生。与去年相比,DeFi领域的安全形势依旧严峻,链上问题不容小觑,相较于新型漏洞,我们发现大多数黑客攻击都属于已经出现过的漏洞,EVM兼容链的崛起,使得黑客攻击目标从以太坊转移至其他链,但攻击手法相差无几,一方面项目需对自身提高要求,在开放,包括第三方安全公司在审计时需多做考虑,另一方面也显示出了DeFi现存的雷同项目问题,众多项目或直接fork,或在fork的基础上进行创新,而这样的结果很容易带来隐匿风险或潜藏漏洞,例如此前BSC链上的AutoSharkFinance和Merlin接连遭到闪电贷攻击,分别损失75万美元和680万美元,原因是fork的PancakeBunny,导致存在相同风险而被套利。
希望每一次安全事件都能给行业带来警示,尽管我们无法规避所有问题,但对于频繁发生的漏洞,是否应当引起重视,加强对合约审计、风控、应急等方面的落实。链上安全问题应当获得最高的重视,而不是为了盲目追求热点急于上线产品,没有做好项目安全性审查,这既是对用户资产的不负责任,也是对区块链链上生态的消耗,而用户也需增强自身的安全意识,做好DYOR,如匿名团队、无审计、明显的CopyCat类的项目,就可以纳入自己的避坑点,将初级风险规避在外。
标签:OINBASECOINDEFIRichieRich CoinMBBASEDiPS CoinPi Network DeFi
宇宙前面加个“元”,世界就在你眼前。要说最近两个月最火的一大概念,那“元宇宙”必定排在最前面。首先是Facebook改名刷爆社交媒体,再到二级市场相关概念股前仆后继上涨,这个平行于现实世界的虚拟.
2019年,第一版Aave协议智能合约被部署到以太坊主网上。Aave协议的V1为用户提供了一种自主提供和获取流动性的方式,并从提供给协议的任何流动性中赚取收益.
自今年4月成功IPO之后,“数字货币交易所第一股”Coinbase的发展一直备受市场关注。在持续盈利之下,Coinbase的投资也在加大.
美国总统拜登周一签署了《基础设施投资和就业法案》,将对加密经纪人的定义交由美国财政部处理。至此,美国围绕争议不断的加密“经纪人”定义的探讨进入新一轮流程,经纪人的定义将面临财政部内部制定规则的过.
随着昨天特斯拉股票再度暴涨,已经是世界首富的elonmusk的身家达到了惊人的3351亿美元,不但把贝佐斯远远甩在了身后,更是等于中国前八大富豪的财富之和.
近年来,借助数字技术,文创业正在经历新一轮产业变革。作为数字文创的主要类型之一,以区块链技术进行唯一标识的数字藏品受到了年轻人的喜欢.