木星链 木星链
Ctrl+D收藏木星链

区块链:慢雾:2022上半年区块链安全及反分析报告概览

作者:

时间:1900/1/1 0:00:00

前言

慢雾科技发布《2022上半年区块链安全及反分析报告》,聚焦于2022年上半年区块链行业所发生的重大事件,主要介绍区块链行业各赛道的安全状况,延伸并提炼出上半年发生的典型安全事件以及常见攻击手法。同时对典型安全事件的被盗资金流向进行分析,并通过归纳总结,首次公布一种针对混币器资金追踪的高级分析方法。由于篇幅限制,这里仅罗列分析报告中的关键内容,完整内容可通过文末PDF下载。

慢雾:苹果发布可导致任意代码执行的严重漏洞提醒,请及时更新:7月11日消息,慢雾首席信息安全官23pds发推称,近日苹果发布严重漏洞提醒,官方称漏洞CVE-2023-37450可以在用户访问恶意网页时导致在你的设备上任意代码执行,据信这个已经存在被利用的情况,任意代码危害严重,请及时更新。[2023/7/11 10:47:05]

一、背景

本节分为区块链生态与监管、区块链安全态势及反态势三部分。区块链生态与监管

从政策监管来看,2022年无疑是加密监管新纪元的开端,加密货币市场正在步向合规化;从产业赋能来看,区块链产业发展机遇与挑战并存,区块链技术正在从“可用”走向“好用”;从市场发展来看,虽然加密货币在上半年经历了令人难以置信的动荡,但全球区块链市场整体上仍在蓬勃发展。区块链安全态势

慢雾:pGALA合约黑客已获利430万美元:11月4日消息,安全团队慢雾在推特上表示,pGALA合约黑客已将大部分GALA兑换成13,000枚BNB,获利超430万美元,该地址仍有450亿枚Gala,但不太可能兑现,因为资金池基本已耗尽。此外,黑客的初始资金来自几个币安账户。

今日早些时候消息,一个BNB Chain上地址在BNB Chain上地址凭空铸造了超10亿美元的pGALA代币,并通过在PancakeSwap上售出获利。pNetwork表示此为跨链桥配置错误所致,GALA跨链桥已暂停,请用户不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

根据慢雾区块链被黑事件档案库统计,截至6月30日,2022上半年安全事件共187件,损失高达19.76亿美元。

慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。

针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]

声音 | 慢雾:采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破,该攻击团伙(floatingsnow等)的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前,慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见,强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]

区块链反态势

匿名性与不可逆是加密货币交易的天然属性,正是这样的原因,在加密货币犯罪频发的情况下,区块链反处于一个至关重要的位置,也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁,不同的群体也不约而同的“组建”起反同盟,其中包括交易平台/资金管理平台/项目方、监管方和区块链安全公司。2022上半年这些群体的反动态如何?在反分析过程中,始终存在着几个核心的问题:发起攻击的手续费来自哪里?的资金去了哪里?详情见文末的PDF文件内容。二、区块链安全现状

本节分为区块链生态安全概览、攻击手法概览及典型安全事件三部分。区块链生态安全概览

根据慢雾区块链被黑事件档案库统计,截至6月30日,DeFi安全事件约100起,损失超16.3亿美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为47起、29起、8起、5起、2起、1起、7起,所造成损失分别为1.4亿美元、3.08亿美元、5491万美元、6383万美元、1310万美元、830万美元、10.43亿美元。值得注意的是上半年损失金额上亿美元的事件4起中就有3起来自跨链桥。NFT赛道安全事件约48起,损失超6281万美元。在上半年,全球共发生4起交易平台安全事件,损失超7770万美元。攻击手法概览

187起安全事件中,攻击手法主要分为四类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含RugPull、钓鱼攻击等手法的Scam;由于私钥泄露引起的资产损失;前端恶意攻击,这四种主要攻击手法占比安全事件总数量的95%。典型安全事件

此节选取了上半年部分典型安全事件,选取标准为损失较大,发生次数较多,影响范围较广及手法较新的事件。三、典型安全事件反分析

工具和方法

1、工具:MistTrackMistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。通过标记1千多个地址实体、2亿多个地址标签,10万多个威胁情报地址,以及超过9000万个与恶意活动相关的地址,MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack在反分析评估工作中起到至关重要的作用。2、方法:从区块链反资金态势中我们可以看到很多被黑事件发生后,在ETH/BSC链上的资金都不约而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成为ETH/BSC链上反的主战场。我们将提出一个针对Tornado.Cash资金转出的分析方法。而在BTC链上,通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁,ChipMixer流入资金量巨大,我们同样需要提出一个针对ChipMixer资金转出的分析方法。反分析详述

本小节使用MistTrack基础分析工具对11起典型安全事件展开了反分析,通过反分析清晰阐述“攻击手续费来源是什么”、“钱去了哪里”的问题,并创造性的提出了一种数据分析方法来分析Tornado.Cash和ChipMixer的提款。四、写在最后

本分析报告内容基于我们对区块链行业的理解、慢雾区块链被黑档案库SlowMistHacked以及反追踪系统MistTrack的数据支持。但由于区块链的“匿名”特性,我们在此并不能保证所有数据的绝对准确性,也不能对其中的错误、疏漏或使用本报告引起的损失承担责任。同时,本报告不构成任何投资建议或其他分析的根据。本报告中若有疏漏和不足之处,欢迎大家批评指正。完整报告

标签:区块链DEIACKALA区块链可以看着是什么BRIGADEIRO价格Asset-Backed ProtocolPALA价格

币安交易所app下载热门资讯
COI:与贝莱德合作后反弹,Coinbase能否迎来“第二春”?

CoinbaseCEOBrianArmstrong是区块链技术的早期爱好者,他将加密货币交易所Coinbase打造成了一家规模庞大的加密帝国,成为美国最大的加密货币交易所.

1900/1/1 0:00:00
福布斯:《福布斯》专访Tether CTO:Terra的崩溃和加密货币的未来

稳定币Tether的首席技术官PaoloArdoino接受了《福布斯》阿根廷的采访,谈到了算法稳定币UST的崩溃、市场的未来和对该行业的批评.

1900/1/1 0:00:00
EFI:IOSG Ventures:通过固定利率构建Polkadot平行链拍卖的机构级信贷市场

背景站在经历了2年长牛结束的时间点上,过去的5年DeFi从无到有经历区块链应用里最为长足的发展。我们观察到DeFi的基础叙事经历着阶段性的改变:普惠金融>>专业化的金融基础设施.

1900/1/1 0:00:00
WEB:Web3创始人和建设者必备指南:如何构建适合的社区?

介绍在过去的两年里,我们见证了去中心化社区建设的力量迅速崛起。在加密原生、所有权优先的时代,用户选择将时间花在数字化的地方,这些地方不仅提供更好的用户体验,还提供更多的自主权和影响力、更多的经济.

1900/1/1 0:00:00
OPEN:OpenSea的133亿美元估值,高了吗?

事件背景最近,NFT头部交易平台OpenSea宣布裁员20%,裁员后OpenSea的员工还有230名,具体消息见下列推特消息.

1900/1/1 0:00:00
MIS:详解Optimism治理模式:为何受到V神赞誉?

今年4月,当OptimisticEthereum宣布准备将其社区进行代币化,并创建一个去中心化的自治组织OptimismCollective之后.

1900/1/1 0:00:00