原文标题:《半月连发5起攻击,安全机构:跨链协议需排查与其他DeFi产品组合的业务逻辑漏洞丨巴比特观察》
除了避免出现跨合约的逻辑兼容性漏洞,安全机构还建议在安全事件发生时及时排查封堵安全攻击,避免造成更多的损失。
近日,两个跨链桥项目接连遭遇黑客,总计损失约1600万,引发了行业震动。
其中ChainSwap攻击事件导致超过20个项目代币陆续被黑客「光顾」,波及范围之广,放眼整个DeFi领域实属罕见。
在此之前,跨链攻击事件寥寥无几。但在短短半个月内,已出现5起安全事件,损失超过1700万美元。跨链攻击明显增多,这是否意味着黑客正在瞄准跨链协议生态?
跨链协议接连发生攻击事件
7月11日凌晨,跨链资产桥项目ChainSwap因其智能合约的一个关键漏洞遭遇黑客攻击,损失约800万美元。
ChainSwap是一个用于智能链的跨链资产桥和应用程序中心,允许项目在以太坊、币安智能链和火币生态链之间实现无缝桥接。
因此,许多与其合作在以太坊和币安智能链之间连接代币的项目都受到了波及。据了解,超过20个项目陆续被黑客「光顾」,包括OptionRoom、RAIFinance、UmbrellaNetwork、DAOventures、DAFIProtocol、FMGallery、Feiprotocol、FairGame、Antimatter、Unido、Unifarm、WilderWorlds、NordFinance、Razor、DafiFinance、Oropocket、Rocks、PeriFinance等。
DeFi交易平台Aurox以7500万美元估值寻求100万美元融资:金色财经报道,据Aurox在代币化证券场所tZERO上的筹款仪表板,DeFi交易平台Aurox以7500万美元寻求100万美元融资,面向散户投资者的最低投资仅为252美元,结束这一轮融资的目标日期是3月15日。根据提交给美国证券交易委员会并经CoinDesk审查的文件,Aurox的每股价格定为6美元,并发售169,000股。
该公司在其筹款网站上表示,Aurox于2020年推出了一个名为AuroxTerminal的一体化交易平台,该平台整合了50多家交易所,目前拥有70,000名用户和10亿美元的交易量。它还拥有一个加密钱包产品,并制作了自己的DeFi智能合约协议和原生生态系统令牌URUS。[2023/3/1 12:35:44]
根据部分项目已披露的损失数据,链上激励协议DAFIProtocol被出售了20万美元的DAFI,波卡生态预言机和预测协议OptionRoom被黑客窃取1230万枚ROOM代币,DeFi预言机Umbrella损失了超300万枚UMB代币,以及DeFi资产管理平台DAOventures被盗取30万枚DVG代币等。
严格来说,此次攻击的资金损失放在所有DeFi安全事件中并不算多,但其波及项目的范围之广,却实属罕见。
英格兰银行政策委员会成员:DeFi不是去中心化的:金色财经报道,英格兰银行政策委员会成员Carolyn Wilkins周三在伦敦大学学院区块链研究中心的演讲中表示,DeFi并不是去中心化的。
Wilkins引用了NBER在2022年4月的一项研究报告,该研究表明,在按市值计算的前50大权益证明平台的样本中,前十名验证者持有47%到100%的股权。他说:“工作量证明]和[权益证明系统中的权力集中,以及加密和DeFi治理中的其他缺陷,已经导致了大家熟悉的问题;最重要的是商业失败、非法活动和投资者的财务损失,如果不加以控制,这种情况将削弱投资者对加密货币的信任,基于金融服务及其客户,并可能导致更广泛的金融压力。”[2022/10/20 16:30:58]
那么,ChainSwap到底存在什么漏洞,让黑客有机可乘?
「ChainSwap在代币跨链配额代码中存在漏洞。原本跨链桥配额由签名节点自动增加,旨在无需人工控制的情况下实现去中心化。然而,由于代码中存在一个逻辑缺陷,即跨链资产只需要一个签名,而非多签,使得未被列入白名单的地址可自动增加额度。」PeckShield「派盾」告诉巴比特。
简而言之,Chainswap被攻击是因为发放的签名数量和提取时的需要的签名数量不一致,用户在申请跨链操作时得到的签名数量为多个,而提取时只需要一个签名便可通过验证。
成都链安指出,Chainswap攻击事件中,攻击者首先在一条链上申请跨链操作,然后在获得多个签名后,多次利用单个签名调用另一条链上的receive函数进行提取,从而获得多倍的代币。
三大DeFi抵押借贷平台最近24小时清算量均为零:在过去24小时内,按照借款总量排名前三的DeFi抵押借贷平台Compound、Maker和Aave清算量均为零,目前尚不清楚出现这种情况的具体原因。本文撰写时,Compound借款总量约为16.2亿美元、Maker借款总量约为10.1亿美元,Aave借款总量约为2.9亿美元。[2020/11/17 21:03:04]
「实际上,这种攻击手法很简单,攻击者只是简单地进行跨链申请和提取操作。」成都链安告诉巴比特。
而Chainswap上20多个项目都被攻击,正是因为它们都使用了Chainswap存在漏洞的factory合约的配置。
事件发生之后,ChainSwap表示,已经冻结BSC映射代币地址以过滤掉黑客地址,将对攻击前的ASAP持有者和LPs空投1:1的新ASAP代币,并将对受影响的代币实施补偿计划。
正当我们以为此事暂时告一段落时,风波再起,另一起攻击事件的发生将跨链生态推向了风口浪尖。
7月12日凌晨1点,去中心化跨链交易协议Anyswap官方发推声称,Anyswap多链路由v3版本遭到攻击。
据了解,Anyswap是一个基于FusionDCRM技术的去中心化的跨链交换协议,也是目前DeFi用户最常用的跨链工具之一。
现场 | 观点:很多DeFi还是披着DeFi羊皮的fomo:金色财经现场报道,10月28日,第六届区块链全球峰会的数字金融主题论坛于上海开幕,在论坛的圆桌讨论环节,
HashQuark首席执行官李晨分享表示,为什么Uniswap会火,因为很多DEX虽然用去中心化技术,但还是挂单模式,Uniswap使用了去中心化的模式和去中心化的技术实现的。此外,很多DeFi的超额抵押,
NEAR Protocol联合创始人一龙分享表示,对于AMM来说,不能用户和流量的思维去看。此外,目前加密货币在扩展性方面还远远不够,所以要很多的资源带动用户参与进来。
Acala理事会成员姜富耀分享表示,很多DeFi还是披着DeFi羊皮的fomo,只是对于资产的再分配,对于收益非常大的产品,是不可能持续的,需要一些持续的产品出现。[2020/10/28]
不同于ChainSwap,Anyswap只是单个项目受到攻击,但是在资金损失方面,却是不遑多让。据称,V3跨链资金池受影响,损失约240万USDC和551万MIM,总计约800万美元。
成都链安表示,Anyswap被攻击的最主要原因是签名使用了重复的R值。如果该同一账户签名的交易拥有相同的rsv签名的R值,则黑客可以反向推导出该账户的私钥。
在攻击过程中,攻击者正是利用了这一点,通过同一账户签名的两笔拥有相同的rsv签名的R值的交易,反向推导出该账户的私钥,进而盗取该账户的资金。由于该账户在BSC、ETH和FTM上可以复用,故该账户多条链上资产被盗。
ConsenSys DeFi产品负责人为了讽刺meme项目启动The Degenerator:ConsenSys去中心化金融产品负责人Jordan Lyall发布推文启动虚构DeFi项目“The Degenerator”,以嘲笑那些5分钟就启动的DeFi meme项目。该条推文产生热度,获得1200个喜欢和数百条评论,并且有人基于该玩笑铸造了代币MEME。不到24小时,该代币的日交易量达到100万美元,代币价格一度高达40美元,目前已回落,跌至7美元。Jordan Lyall是主张反meme,他认为,meme代币虽然有趣,但不是无害的。“有人可能会亏钱,这是一种非常冒险的投资类型,总是不停波动,全是拉盘的巨鲸。”(Decrypt)[2020/8/17]
「事实上,这种攻击手法需要一定的技术手段才能完成,相比Chainswap攻击事件更为高级。」成都链安说。
黑客开始瞄准跨链生态?
接连两起跨链领域攻击事件的发生,或许并非偶然。
因为在此之前,发生在跨链协议领域的安全事件并不多见。
2021年的5-6月,在跨链协议上总共出现了2起安全事件。5月16日,跨链智能收益与流动性聚合器bEarnFi遭到黑客攻击,损失近1100万美元。6月29日,去中心化跨链交易协议THORChain发推称发现一个针对THORChain的恶意攻击,该次攻击造成的资金损失为14万美元。
TheBlock研究分析师IgorIgamberdiev曾表示,DeFi协议之间的互操作性变得越来越复杂,因此开辟了新的攻击媒介,并且将来会变得更加频繁。
而到了7月,与跨链相关的攻击事件数量突然上升。7月2日,跨链去中心化交易所DDEX上的XDXSwap遭攻击,攻击者获利85.17ETH,并已将获利全部跨链到以太坊上。
同日,ChainSwap也发推称其合约遭到攻击,这是ChainSwap于7月首次遭到攻击,据悉,攻击者也是利用其代码中的另一个漏洞,使该平台遭受了80万美元的损失。
从6月底到现在,短短半个月的时间,发生在跨链领域的安全事件已有5起,这个数字说明针对跨链平台或项目的攻击正在明显增多,不免让人猜想是否黑客盯上了跨链协议生态。
「任何新出现的技术都会存在一定的风险,出现安全事件也是必然趋势。」成都链安表示。
该安全公司认为,近期跨链协议攻击事件多发的原因有多个。一方面是跨链生态目前还不是特别成熟,有许多方面需要改进。另一方面,随着近期跨链相关项目累计资产规模不断扩大,势必会引来黑客的目光。
对此,PeckShield「派盾」也持有类似的观点。
正如我们所知,目前市面上涌现出了多条公链,且它们的资金量已经颇具规模,但不同的链间如同孤岛,不同链上的资产无法自由交换。另外,很多新兴公链仍缺失基础设施。因此,公链需要将其它链上的资产通过跨链的方式引入自身的公链。
「在当前常用的跨链方式中,除了中心化机构如交易所钱包中跨链提币之外,最常见的就是各种去中心化跨链资产桥,跨链桥有效地打破了链与链之间的信息孤岛。」PeckShield「派盾」对巴比特说,「随着目前跨链桥的生态愈发多样化的同时,黑客对于跨链协议也会备受关注,它们是黑客资产出逃的重要环节,因此,也会成为黑客攻击的目标。」
PeckShield「派盾」还发现,攻击者成功得手后也会通过跨链桥将资产快速转移,再结合混币服务将资产洗白。而这种新兴的?式,也对反工作增加了新的压力。
跨链攻击如何防范?
在跨链协议领域,常见的攻击手段包括盗取用户私钥和签名等信息、利用合约中权限校验等方面存在的业务逻辑上的缺陷以及链下其他部分存在的安全隐患。
从近期Chainswap和Anyswap两起跨链协议遭攻击来看,一是协议本身存在漏洞,二是跨链的私钥管理不到位。Anyswap本质上是在私钥管理上出了问题。而上文提及的THORChain系统曾出现的「假充值」漏洞则属于链下部分的业务逻辑问题。
「要防范黑客攻击很难,因为项目任意部分存在漏洞都可能造成巨大的损失。」成都链安认为。
这不得不提到「防范黑客攻击」这个区块链行业老生常谈的难题,从整个行业到DeFi领域,再到跨链协议,攻击的对象不断转换,但采取的防范方式其实大致相同。
首先,跨链协议本身需要查漏补缺。有效、专业的审计能有效地排查出已知的漏洞。
「但与常规的DeFi项目不同,由于跨链项目的特殊性,安全的考量不能局限于智能合约层面,需要足够重视链上部分和链下部分,尤其是注意排查与其他DeFi产品进行组合时的业务逻辑漏洞,以避免出现跨合约的逻辑兼容性漏洞。」PeckShield「派盾」表示。
其次,项目需要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失。
此外,派盾还认为,可以联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。
而对于投资者而言,能够甄别可靠的项目或许是头等大事。
一方面,投资者不能轻易将自己的资产投入没有审计过的项目,包括正在进行审计但尚未完成的项目。
「即便是经过审计的项目,如跨合约的协议,投资者也不要过度授权。项目方对待跨链协议亦是如此,此次ChainSwap的损失较大,波及范围广也是源于这个原因。」派盾说。
另一方面,投资者也应该关注参与项目的最新消息,一旦遭遇攻击事件,能够及时将自己的资金撤出,或许可以避免损失的扩大。
成都链安指出,本次事件中,多个代币项目方在受到攻击影响后,及时从兑换池中移除流动性,其实是一种较为成功的补救措施。
随着行业发展,黑客攻击事件一次次的发生,不断打击着DeFi从业者和投资者的热情和信心。但如上文所言,新技术的产生和发展都必然会伴随着狂风暴雨的考验,仍然也有许多从业者对DeFi和跨链的未来充满希望。
「其实跨链协议之前就有一些问题,现在发生两起攻击事件,反而让一些漏洞浮出了水面。换个角度看,或许也是一件好事。」DeFi投资者陈耀告诉巴比特。
PeckShield「派盾」观察发现,BTC跨链桥的资金规模在短时间内发生了激增。该安全公司认为,此前跨链协议较少,随着跨链协议生态的发展,需求逐步增长,提供的解决方案逐步丰富,自然而然也会出现发展中的阵痛,而这种短时阵痛能够倒逼生态中的各个环节加强安全意识。
成都链安同样也提出了相似的看法。「无论是之前的THORChain跨链系统「假充值」漏洞,或者ChainSwap合约配置不当漏洞,还是Anyswap中签名中R值的复用。其实每一次安全事件的发生,都在为后续的项目敲响警钟,以鞭策它们建立牢固的安全城池,也将促进生态和技术更加成熟和完善。」
撰文:Glendon
由于比特币在5月份价格大幅下跌后在30,000美元至32,000美元的范围内挣扎,另一个重大的看跌事件笼罩着比特币,并可能成为使其跌破3万美元支撑位的重要催化剂.
1.金色观察|如何理解“链下”和layer2?炒火某个技术和概念,是资本的需求。但在市场里概念火热的时候,这个概念大多还处于非常早期,不是很成熟,市场炒起来的是关注度,和项目进展无关.
7月11日,以“构建数字社会基础设施”为主题的分布式数字身份高峰论坛暨DIDA联盟2021年度会议在苏州高铁新城召开.
区块链和DeFi部门应该更多地了解真实世界的资助机构是如何运作的。最近关于UniSwap和其新的2000万美元DeFi教育基金的辩论最能说明这一点。在现实世界中,资助很像风险投资.
12:00-21:00关键词:数字人民币、万事达、ARK、韩国央行、Kusama1.韩国央行宣布GroundX将成为数字货币开发试点项目合作伙伴的首选竞标者;2.
网络拥堵和以太坊的高昂手续费已经为兼容EVM的Layer2项目和L1竞争对手创造出了一个成熟的市场.