链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Gateio > 正文

BSC:黑客攻同源漏洞 「团灭」Fork协议_My DeFi Pet

作者:

时间:

2021年5月,加密资产市场颇为动荡,BTC从5万美元上方最低跌至29000美元,几近腰斩,大多数加密资产最大跌幅超过50%。

二级市场巨震之下,链上生态也不太平。5月份,DeFi市场发生至少13起黑客攻击事件,多集中在币安智能链上,折损资金达到2.7亿美元,超过了2020年所有DeFi安全事件的资产损失。BSC官方认为,一个有组织的黑客团队盯上了BSC。

为何BSC链上项目集中失窃?黑客又如何做到快速捕捉项目漏洞?区块链安全公司PeckShield发现,很多被攻击的项目都存在同源漏洞。

比如,在BSC收益聚合器PancakeBunny被攻击后,Fork自PancakeBunny的AutoShark和MerlinLabs在接下来的一周内接连失窃;而被攻击的BurgerSwap和JulSwap,代码都是Fork自Uniswap,但它们似乎在进行改动时产生了漏洞。

PeckShield相关安全负责人告诉蜂巢财经,这些Fork出的协议被攻击主要是在没有完全理解原协议背后的逻辑下,进行微创新,导致一个小的更新或小的组合就可能产生漏洞。

人民网:区块链技术应用需要循循善诱:4月29日,人民网转载福建日报文章《区块链技术应用需要循循善诱》称,区块链最初依托比特币出现,从而令不少人错误地将其视为数字货币,从而产生区块链炒币乱象。而区块链乱象除炒币外,另外一种是伪区块链应用。区块链的目的是建立互信,子们却将区块链概念和金融、货币知识混淆在一起,把区块链包装成圈钱工具,导致不少对区块链不甚了解的民众盲目跟风,损失惨重。这也是让公众对区块链产生误解的原因之一。在此背景下,区块链技术一度遭遇污名化,与郁金香泡沫等局画等号。实际上,区块链并不等同于数字货币,后者只是前者早期开发的相对成熟的一项应用。作为一项前沿技术,区块链若朝正向发力,在金融、信用、贸易等领域拓展应用场景,必然会发挥出其独特的价值和效用。[2020/4/29]

屡次发生的安全事件再度给协议开发者提了个醒,在进行DeFi的模式创新时,不应忽视底层代码的安全性。

12个项目被攻击?折损2.7亿美元

屋漏偏逢连夜雨。在加密资产市场跌势不止时,链上协议的安全事故频发。

声音 | 人民网:通过区块链等技术可实现农业保险精确承保和精准理赔服务:人民网今日发文称,针对小农户分散经营的特点,可通过遥感、物联网、区块链、大数据等科技要素的融入,实现农业保险精确承保和精准理赔服务,提高小农户农业保险服务的获得感。[2019/4/22]

5月30日,BSC上的稳定币兑换协议BeltFinance遭遇闪电贷攻击,损失620万美元。根据区块链安全公司PeckShield的追踪,此次攻击源于攻击者在PancakaSwap完成8笔闪电贷后,通过重复买入卖出BUSD,利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。

被攻击后,BeltFinance就闪电贷攻击事件发推致歉并发表报告,其表示将进行进一步审计,并将在48小时内发布用户补偿计划。

受此影响,BeltFinance治理代币BELT大幅下跌,从28日的58美元高点跌至27美元,短期跌幅达到53.44%。

这已是5月份第12个被攻击的BSC链上项目。蜂巢财经统计,自5月2日以来,SpartanProtocol、ValueDeFi、BearnFi、Venus、PancakeBunny等项目接连失窃,共计损失2.7亿美元资金,ValueDeFi更是两次遭攻击。

动态 | 人民网刊文:区块链发展渐趋理性:人民网近日刊文《2018中国互联网发展十大动向》。文章提到,从3月份央行整顿清理各类虚拟货币到8月26日银保监会等五部委联合发布《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》,倡导公众理性看待区块链;8月全国首张区块链电子发票在深圳落地、9月区块链被最高人民法院认证为电子数据认证的有效手段、10月北京市局开始利用区块链对临时车辆号牌进行管理;10月19日,国家互联网信息办公室制定了《区块链信息服务管理规定(征求意见稿)》,详细规定了区块链信息服务的使用范围、提供者与使用者的行为准则,以及有关部门的监管规定与处罚措施。区块链发展走上更加理性、正向的轨道。[2018/12/29]

BSC被攻击项目一览

2.7亿美元的资产损失已经超过了2020年所有DeFi安全事件的损失。根据此前PeckShield发布的数据,2020年DeFi安全事件达到60起,损失逾2.5亿美元。

人民网:抢占区块链技术发展窗口成为中国地方政府重要任务:人民网报道称,抢占区块链技术发展的窗口机遇期,加快推动技术及相关应用产业的发展,已成为很多中国地方政府的重要任务。区块链技术在构建新一代金融基础设施、电子政务及公共服务协作、促进新一轮产业升级等方面所表现出的潜力已基本达成共识。而且,加速发展区块链技术与国家政策的大方向保持一致,第一波入场者往往能最先抓住行业红利,打造“城市名片”。报道指出,各省市的区块链政策和具体措施结果大同小异:建立产业园、创新基地等平台吸引企业和人才,设立奖励措施对区块链企业给予资金补贴或税收减免,成立区块链研究中心促进产学研相结合。但一旦落到区块链实地的应用场景,相关引导政策仍处于空白状态。[2018/5/6]

短短一个月时间,BSC链上连续不断遭到黑客光顾,显得颇为蹊跷。压力之下,BSC官方不久前在社交平台发文称,最近已经接连发生超过8起针对BSC链上项目的闪电贷攻击,「我们认为现在有一个有组织的黑客团队盯上了BSC。」

BSC官方呼吁所有DApp防范风险,建议链上项目与审计公司合作进行健康检查,如果是分叉项目,需反复检查相对原始版本进行的更改;采取必要的风险控制措施,实时主动监控异常情况,一旦出现异常及时暂停协议;制定应急计划,以防出现最坏的情况;如果条件允许可设定漏洞赏金计划。

声音 | CoinGecko联合创始人:2019年有超过10家交易所遭黑客攻击:加密分析网站CoinGecko联合创始人Bobby Ong表示,仅在2019年,就有超过10家交易所遭到黑客攻击,总共损失了价值1.7亿美元的加密货币。(Ambcrypto)[2019/12/15]

的确,复盘12起安全事件,闪电贷攻击是黑客最常用的手段。SpartanProtocol、PancakeBunny、BoggedFinance、BurgerSwap、JulSwap等项目都是闪电贷攻击的受害者。

需要明确的是,闪电贷本身并非是一种攻击手段,它只是一种高效的借贷模式,能够放大任何人的本金。正如ChainlinkCMOAdelynZhou所言,「闪电贷不会在DeFi内部产生漏洞——它只是揭示了已经存在的漏洞。」

在DeFi经过了高速发展后,BSC上仍有如此多项目在短时间内暴露出漏洞,令链上用户感到心惊。不禁要问,为什么这些安全事件集中爆发在BSC链上?又为何黑客能够快速找到这么多项目的漏洞并实施攻击?

Fork隐患爆发事发项目多遭同源攻击

今年以来,BSC异军突起,作为以太坊的侧链,它凭借更高效的交易处理效率和低廉的手续费,吸引了大量的项目和链上玩家入驻,巅峰时期,其链上总锁仓价值超过344亿美元,是仅次于以太坊的第二大DeFi集结地。

BSC生态的快速崛起,抢占链上先发红利,大量项目扎堆部署。由于此前,以太坊上大多项目已经开源,不少开发者采用了Uniswap、Curve等成熟项目的开源代码,经过简单修改后便在BSC上快速上架。而这种匆忙地Fork成了BSC链上项目成批量被黑客攻击的隐患。

据PeckShield披露,近期被攻击的BurgerSwap和JulSwap,代码都是Fork自Uniswap。PeckShield指出,「但它们似乎并没有完全理解Uniswap背后的逻辑。」

根据事发后BurgerSwap的报告,攻击者自发「假币」,随后与协议的原生代币BURGER形成交易对,改变了后者的价格。很显然,分叉自Uniswap的BurgerSwap在某些方面不够成熟,被黑客钻了空子。

Fork协议的来源不仅是以太坊,BSC链上一些早期协议应用也被后来者Fork上链。AutoShark和MerlinLabs两个聚合器协议,皆因Fork了PancakeBunny被黑客洗劫。从时间线来看,5月20日,PancakeBunny遭到闪电贷攻击,此次攻击源于攻击者利用该协议操纵了LPTokenBNB-BUNNY和BNB-BUSDT的价格。

看到PancakeBunny被攻击后,AutoShark发文强调自己的安全性,表示其做了4次代码审计,其中2次正在进行中。但打脸接踵而至,仅仅4天后,AutoShark遭遇闪电贷攻击,其代币SHARK瞬间下跌99%。根据PeckShield的分析,此次攻击手法与PancakeBunny被攻击的手段相似。

被打脸的还有MerlinLabs,在被攻击前,它也曾发文表示已经反复执行代码的审核,为潜在的可能性采取了额外的预防措施。但5月26日,黑客就「乘胜追击」,洗劫了MerlinLabs。

PeckShield认为,这是攻击PancakeBunny后的模仿案,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在Fork出的协议上重复试验,就能捞上可观的一笔。「Fork的DeFi协议可能尚未成为Bunny挑战者,就因同源漏洞损失惨重,被嘲笑为『顽固的韭菜地』。」

此外,在BeltFinance被攻击的案例中,黑客利用了bEllipsisBUSD策略余额计算中的漏洞,操纵了beltBUSD的价格,而Ellipsis则Fork自以太坊知名协议Curve。

PeckShield相关安全负责人告诉蜂巢财经,这些Fork的协议被攻击主要是在没有完全理解原协议背后的逻辑,进行微创新,导致一个小的更新或小的组合就可能产生漏洞。

该负责人表示,从已知的漏洞下手是攻击者对尚处发展阶段的DeFi领域常用的「觅食」方法。对于项目方来说,对DeFi协议安全的重视,不是嘴上说说而已,而是要做到「吾日三省代码」:协议上线前有没有做静态审计?其他协议遭到攻击后,有没有自查代码,检查是否出现类似漏洞?交互的协议有没有安全风险?

从上述案例来看,BSC链上一批项目集中失窃,主要是黑客找到了多个协议的同源漏洞,只需模仿攻击手段,就能「举一反三」,在短时间内完成对多个项目的剽窃。

屡次发生的安全事件也给协议开发者提了个醒,在进行DeFi的模式创新时,不应忽视底层代码的安全性。

对此,PeckShield建议,新合约上线前要进行审计,也需要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞。同时要设计?定的风控熔断机制,引?第三?安全公司的威胁感知情报和数据态势情报服务,完善防御系统。「所有DeFi协议都存在变数,即使?个协议进行了多次审计,?个小的更新也会使审计变得无用,因此即使?个小的更新都要重新进行审计。」

标签:BSCEFIDEFIDEFBabyBSCefi币暴跌DeFiAIMy DeFi Pet

Gateio热门资讯
比特币:巴比特观察丨监管政策下的海外挖矿大潮:头部矿企“出海”不易,中小矿工集体观望_ANT

进入5月,风头正盛的挖矿热潮迎来了重磅打击。国务院金融稳定发展委员会发文打击比特币挖矿和交易行为,四川、新疆部分地区“暂停向矿场供电”,内蒙古设立虚拟货币“挖矿”企业举报平台……挖矿行业开始进入.

比特币:10天连发6文 新华社为何紧盯“币圈”_ANT

10天之内连发6篇调查报道,新华社记者从挖矿到交易再到融资,涉及虚拟货币产业链上的多个重要环节,将“币圈”产业链现状呈现在公众面前,引发广泛关注.

区块链:人民网 | “四问比特币”之四:区块链如何健康发展?_TON

来源:人民网-强国论坛 编者按:5月,“币圈”吸引无数关注。5月18日,中国互联网金融协会等三大协会发布公告指出,开展法定货币与虚拟货币兑换及虚拟货币之间的兑换业务,违反有关法律法规并涉嫌犯罪.

BSC:技术周刊|Kusama已上线第1条公益平行链Statemine_BSCswap

本周技术周刊包含以太坊、Kusama、Filecoin、zkSync、Swarm五个网络的技术类新闻.

BSC:不同Layer 2路径的比较研究及Raydius介绍_EFI

随着使用需求的不断扩大,以太坊的性能瓶颈逐渐凸显,底层扩展性不足的问题极大的限制了应用程序并同时影响了用户体验.

NFT:5月,NFT平台上被拍出价格最高的是一件慈善NFT_ETH

在经历过一个“腰斩”的四月后,NFT在五月呈现出健康的增长势头。人群还在继续涌入NFT市场,传统艺术家、拍卖行、影视音乐制作人……都在纷纷涌入.