在刚刚发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。
今天,我们就2022上半年Web3黑客常用的攻击方式展开分析,看看在所有被利用的漏洞中,哪些频率最高,以及如何防范。
一、上半年因漏洞造成的总损失有多少?
据成都链安鹰眼区块链态势感知平台监控显示,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,约53%的攻击方式为合约漏洞利用。
通过统计,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,总损失达到了6亿4404万美元。
NFT巨鲸dingaling:仍相信Azuki团队,看好Azuki将在几个月内价格修复:7月3日消息,NFT 巨鲸 dingaling 在其社交平台表示,其过去几天与 Azuki 团队进行了很多交流,尽管在 Elementals 事件上表现不佳,但团队正在尽力让事情变得正确。
dingaling 相信团队在加强沟通并发布新事物后,社区情绪会得到好转,认为 Azuki 在接下来的几个月里价格修复的机会很大。[2023/7/3 22:14:28]
在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。
Solana跨链桥项目Wormhole遭到攻击,累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞,这个漏洞允许黑客伪造sysvar帐户来铸造wETH。
Blackhawk将整合比特币的闪电网络:金色财经报道,据Bitcoin Magazine发文表示,Blackhawk是世界上最大的支付提供商之一,将整合比特币的闪电网络。[2023/1/2 22:20:04]
2022年4月30日,FeiProtocol官方的RariFusePool遭受闪电贷加重入攻击,总共造成了8034万美元的损失。本次攻击对项目方造成了无法挽回的损失,8月20号,官方表示项目正式关闭了。
FeiProtocol事件回顾:
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例。
比特币的哈希率攀升至接近6月历史新高,预计挖矿难度大幅提升:金色财经报道,数据显示,比特币的哈希率以每秒282.21 exahash?(EH/s) 的速度运行,仅比2022 年6月8日在区块高度 739928 处记录的网络历史最高点 (ATH)低 3.35%。尽管价格在14天内下跌了9%,但算力却大幅增加,挖矿难度自2022年8月4日以来已经翻了两倍。
加密社区已经注意到随着块间隔率的增加,节奏的增加。周四,Blocksbridge Consulting 在推特上发布了关于区块间隔的消息,并表示该公司预计下一次的难度会大幅增加。[2022/8/28 12:53:29]
攻击交易
数据:狗狗币挖矿收入过去12个月下降76.2%:6月12日消息,根据加密市场数据聚合和分析平台CryptoRank的数据,狗狗币(DOGE)挖矿收入在过去的12个月中下降了76.2%。同时,狗狗币在过去30天的波动率为88.28%。(NewsBTC)[2022/6/12 4:20:34]
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
攻击者地址
0x6162759edad730152f0df8115c698a42e666157f
攻击合约
0x32075bad9050d4767018084f0cb87b3182d36c45
被攻击合约
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
Balancer:Vault中进行闪电贷。
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
3.归还闪电贷,将攻击所得发送到0xe39f合约中
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞,被盗资金超过28380?ETH。
扩展阅读:“重入漏洞”如何破?损失约8034万美元,FeiProtocol被攻击事件分析
1.ERC721/ERC1155重入攻击
在通过链必验形式化验证平台检测合约时不乏存在ERC721/ERC1155标准相关的业务合约,在ERC721中,ERC1155中存在分别存在一个onERC721Received()/onERC1155Received函数用于转账通知,类似于以太坊转账的fallback()函数,在相关的业务合约中使用ERC721/ERC1155标准中的_safeMint(),_safeTransfer(),safeTransferFrom()进行铸币或者转账时都会触发转账通知函数。如果在转账的目标合约中的onERC721Received()/onERC1155Received中包含了恶意代码,就可能形成重入攻击。除此之外在相关业务函数未严格按照检查-生效-交互模式设计,上述两点共同导致了漏洞的产生。
3.鉴权缺失
铸币、设置合约特殊角色、设置合约参数的相关函数没有鉴权,导致三方地址也可以调用。
四、实际被利用的漏洞有哪些?哪些漏洞能在审计阶段发现?
根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。
通过成都链安链必验-智能合约形式化验证平台检测和安全专家人工检测审计,以上漏洞均能在审计阶段被发现,并且可由安全专家在做出安全评估后提出相关安全修补建议供客户作为修复参考。
通过链必验工具扫描出某合约存在重入漏洞
?8月27日消息,Solana网络上的首个可编程现金流协议Zebec,以10亿美元的完全稀释估值筹集了850万美元。投资者包括CircleVentures、Shima和Resolute.
1900/1/1 0:00:00尊敬的XT.COM用戶:為了提升服務質量,進一步優化合約交易體驗,XT.COM將於2022年08月29日00:00對系統進行維護,預計約1-2小時,屆時??U本位永續合約.
1900/1/1 0:00:00Layer2赛道的四大天王是Arbitrum、Optimism、zkSync以及StarkNet.
1900/1/1 0:00:00金秋九月,全球领先的元宇宙生态数字资产交易平台8V.com,致力于与用户共同成长的道路从未止步.
1900/1/1 0:00:00如何激励采矿去中心化自比特币wk大迁移开始以来已经过去了一年多,当时由于比特币w矿的攻击,该网络的哈希率下降了60%以上。中国的采矿禁令的后果等同于美国吸收了过去位于的大部分s力.
1900/1/1 0:00:00在最近的低迷时期,Chiliz(CHZ)成为最大的100种数字资产中涨幅最大的加密货币。CHZ在指标上处于高位,因为其价格在过去30天内飙升了130%以上.
1900/1/1 0:00:00