BSP:黑客事件频发 请收下这篇Crypto防盗指南

黑暗森林中的攻击手法和防范措施。

本文来自 Medium，原文作者：Kofi Kufuor，由 Odaily 星球日报译者 Katie 辜编译。

黑客今年从加密应用程序中窃取了 20 多亿美元。国庆期间，行业又经历了 TokenPocket 闪兑服务商被盗（损失超 2100 万美元）和 BNB  Chain 跨链 桥 BSC Token Hub 遭攻击（损失约 5.66 亿美元）的加密盗窃事件。

随着加密生态系统的发展，安全攻防战只会越演越烈。因此，本文将：

提出加密安全事件的分类法；

列举出迄今为止让黑客最赚钱的攻击手段；

回顾当前用于防止黑客攻击的工具的优缺点；

讨论加密安全的未来。

加密应用生态系统由互操作协议组成，由智能合约支持，依赖于链和互联网的底层基础设施。此堆栈的每一层都有其独有的漏洞。我们可以根据利用的堆栈层和使用的方法对加密黑客进行分类。

对基础设施层的攻击利用了加密应用程序的底层系统中的弱点：依赖用于达成共识的区块链、用于前端的互联网服务和用于私钥管理的工具。

Axie Infinity：此次黑客事件是去年12月的社会工程攻击和人为错误所致:金色财经消息，NFT游戏Axie Infinity联合创始人兼COOPsycheout发推表示，内部网络目前正在进行深入的取证审查，此次黑客事件是2021年12月的社会工程攻击和人为错误所致。SkyMavis的技术是可靠的，将在Ronin网络添加几个新的验证者节点，以进一步去中心化网络。Axie Infinity致力于确保收回或偿还所有耗尽的资金，正在继续与利益相关者进行对话，以确定最佳行动方案。[2022/3/30 14:27:22]

这一层的黑客利用了智能合约语言（如 Solidity）的弱点和漏洞，例如可重入性（reentrancy）和实现委托调用（delegatecall）的危险，这些可以通过遵循安全规范来规避。

这类攻击利用单个应用程序业务逻辑中的错误。如果黑客发现了一个错误，他们可以利用这个错误触发应用程序开发者没有预料到的行为。

例如，如果一个新的 DEX 在决定用户从交易中获得多少钱的数学方程中出现了错误，那么这个错误就可以被利用，使用户从交易中获得比本应可能获得的更多的钱。

协议逻辑级攻击还可以利用用于控制应用程序参数的治理系统。

许多知名的加密黑客利用了多个应用程序之间的交互。最常见的是黑客利用一个协议中的逻辑错误，利用从另一个协议借来的资金来扩大攻击规模。

通常，用于生态系统攻击的资金是通过闪电贷（flashloan）借来的。在执行闪电贷时，你可以从 Aave  和 dYdX  等协议的流动性池中借到你想要的金额。

DAO Maker为受黑客事件影响的用户分两个阶段提供全额补偿:8月18日消息，DAOMaker为最近受黑客事件影响的用户推出补偿计划。所有受黑客攻击影响的用户都将得到全额补偿，补偿计划将分2个阶段进行。第一阶段为下次SHO之前的8月19日，所有受到影响用户的钱包中将会收到500美元空投，这笔钱能够用来参与SHO或提现。第二阶段，DAOMaker会在8月19日的一年后以DAO代币的形式补偿给用户，并且会有10%的附加收益。2021年9月8日，DAOMaker会空投USDR代币，代表1年后的赎回权，每个USDR代币相当于1.1个DAO的价值。2022年9月8日，所有的USDR代币将会部署在一个智能合约里，以供用户换取DAO代币，所有的USDR将在那时被销毁。个DAO的价值。2022年9月8日，所有的USDR代币将会部署在一个智能合约里，以供用户换取DAO代币，所有的USDR将在那时被销毁。[2021/8/18 22:21:43]

我收集了 2020 年以来 100 起规模最大的加密货币黑客攻击的数据集，被盗资金总计 50 亿美元。

生态系统受到的攻击最为频繁。他们占 41%。

协议逻辑漏洞导致了最多的金钱损失。

金额最大的三个攻击：Ronin 跨链桥攻击（6.24 亿美元），Poly Network 攻击（6.11 亿美元）和 BSC 跨链桥攻击（5.7 亿美元）。

美国政府要求EtherDelta黑客事件受害者提供信息:金色财经报道，美国总检察长和特勤局已经要求2017年EtherDelta黑客事件的受害者提供信息。据悉，美国加利福尼亚州北区检察官办公室在2019年8月就黑客攻击事件起诉了Elliot Gunton和Anthony Tyler Nashatka。两人涉嫌修改了EtherDelta交易所的域名系统，以将用户重定向到类似于真实平台的假网站。[2021/5/22 22:30:55]

如果排除前三大攻击，则针对基础设施的被盗案件是损失资金最多的类别。

在 61% 的基础设施漏洞中，私钥是通过未知的方式泄露的。黑客可能通过网络钓鱼邮件和虚假招聘广告等社会攻击获得这些私钥。

可重入性攻击是智能合约语言级别上最热门的攻击类型。

在可重入攻击中，易受攻击的智能合约中的函数调用恶意合约上的一个函数。或者，当易受攻击的合约向恶意的合约发送代币时，可以触发恶意合约中的函数。然后，在合约更新其余额之前，恶意函数在递归循环中回调易受攻击的函数。

法官驳回Bithumb用户的两项索赔请求，涉及2017年黑客事件:首尔中央地方法院一名法官驳回用户针对交易所Bithumb的两项索赔请求。这些人分别要求12.6万美元和3.8万美元的损失赔偿，涉及2017年发生的一次数据泄露事件。

据Fn News报道，原告Hong和Seo（均以姓氏命名）表示，他们因网络钓鱼攻击（该攻击使用在Bithumb黑客攻击中提取的私人数据）而蒙受损失。第三名索赔人Jang获得5000美元，以弥补全部损失。这一数额比他最初索赔的27200美元低得多。在这三起案件中，法院都表示，交易所存在过失，因为它们本可以在安全方面分配更多资源，以防止大规模数据泄露事件。

然而，法官认为Bithumb和Jang都负有部分责任，并指出受害者提供的细节并未包含在最初从交易所流出的数据中。为了实施攻击，网络罪犯冒充Bithumb客户中心的代理人，向Jang提供了他认为只有Bithumb员工才能有的信息。黑客随后告诉Jang，其账户上有一次可疑的登录尝试，需要向其电话号码发送一个验证码，以帮助阻止可疑的访问。一旦获得许可，这位黑客就着手将Jang持有的XRP和ETH转化为法币。（Cointelegraph）[2020/9/4]

例如，在 Siren Protocol 黑客攻击中，提取质押品代币的函数很容易被重入，并被反复调用（每次恶意合约接收代币时），直到所有质押品耗尽。

协议层上的大多数漏洞都是特定应用程序独有的，因为每个应用程序都有唯一的逻辑（除非它是纯分叉 ）。

Coincheck黑客事件已经约有半数被洗:Coincheck黑客事件之后，被盗总数约580亿日元的NEM目前已约有半数以上被交换成为其他加密货币。2月7日，监视盗窃嫌疑人账户的白色黑客Cheena注意到，有少量NEM被汇向其他的不特定账户，同时发现嫌疑人在暗网（dark web）开设了自己的交易所，并以低于市场价15%的价格来吸引顾客购买。但是结算时用的加密货币不仅仅是NEM，也包括了比特币以及其他加密货币，清晰显示了这是“”行为。白色黑客表示尽管追踪很困难，但还是会坚持下去。[2018/3/19]

访问控制错误是样本组中最常见的重复出现的问题。例如，在 Poly Network 黑客事件中，“EthCrossChainManager” 合约有一个任何人都可以调用的功能来执行跨链交易。

注意：有很多情况下，多个协议使用相同的技术会被黑客攻击，因为团队分叉了一个有漏洞的代码库。

例如，许多 Compound  分叉，如 CREAM、Hundred Finance 和 Voltage Finance 都成为了重入性攻击的受害者，因为 Compound 的代码在允许交互之前无需检查交互的效果。这对 Compound 来说很有效，因为他们审查了他们支持的每个新代币的漏洞，但制作分叉的团队并没有这么做。

98% 的生态系统攻击中都使用了闪电贷。

闪电贷攻击通常遵循以下公式：使用贷款进行大规模交易，推高贷款协议用作喂价（ price feed）的 AMM 上的代币价格。然后，在同一笔交易中，使用膨胀的代币作为质押品，获得远高于其真实价值的贷款。

根据失窃的合约或钱包所在的链对数据集进行分析。以太坊的黑客数量最多，占样本组的 45%。币安 智能链（BSC）以 20% 的份额位居第二。

造成这种情况的因素有很多：

以太坊和 BSC 拥有最高的 TVL（在应用程序中存入的资金），所以对这些链上的黑客来说，奖励的规模更大。

大多数加密货币开发人员都知道 Solidity，这是以太坊和 BSC 上的智能合约语言，而且有更复杂的工具支持该语言。

以太坊的被盗资金最多（20 亿美元）。BSC 位居第二（8.78 亿美元）。

涉及跨链桥或多链应用程序（例如多链交易或多链借贷）对数据集产生了巨大的影响。尽管这些黑客事件只占总数的 10%，但却窃取了 25.2 亿美元的资金。

对于威胁堆栈的每一层，我们都可以使用一些工具来早期识别潜在的攻击载体并防止攻击的发生。

大多数大型基础设施黑客攻击都涉及黑客获取诸如私钥等敏感信息。遵循良好的操作安全（OPSEC）步骤并进行经常性的威胁建模可以降低这种情况发生的可能性。拥有良好 OPSEC 流程的开发团队可以：

识别敏感数据（私钥、员工信息、API 密钥等）；

识别潜在的威胁（社会攻击、技术利用、内部威胁等）；

找出现有安全防御的漏洞和弱点；

确定每个漏洞的威胁级别；

制定并实施减轻威胁的计划。

1. 模糊测试工具

模糊测试工具，如 Echidna，测试智能合约如何对大量随机生成的交易做出反应。这是检测特定输入产生意外结果的边缘情况的好方法。

2. 静态分析

静态分析工具，如 Slither 和 Mythril，自动检测智能合约中的漏洞。这些工具非常适合快速找出常见的漏洞，但它们只能捕获一组预定义的问题。如果智能合约存在工具规范中没有的问题，也不会被发现。

3. 形式化验证

形式化验证工具，如 Certora，将比较智能合约与开发人员编写的规范。该规范详细说明了代码应该做什么以及所需的属性。例如，开发人员在构建一个贷款应用程序时，会指定每笔贷款都必须有足够的质押品支持。如果智能合约的任何可能行为不符合规范，则形式化验证者将识别该违规行为。

形式化验证的缺点是测试只和规范保持一样的标准。如果所提供的规范没有说明某些行为或过于宽松，那么验证过程将无法捕获所有的错误。

4. 审计和同行评审

在审计或同行评审期间，一组受信任的开发人员将测试和评审项目代码。审计员将撰写一份报告，详细说明他们发现的漏洞，以及如何修复这些问题的建议。

让专业的第三方评审合约是发现原始团队遗漏的漏洞的好方法。然而，审核员也是人，他们永远不会捕抓到所有漏洞。此外要信任审计员，如果审计员发现了问题，他们会告诉您，而不是自己利用它。

5. 生态系统攻击

尽管生态系统攻击是最常见和最具破坏性的类型，现有工具中没有很多工具适合防止这类攻击。自动安全工具专注于每次在一个合约中查找错误。审计通常无法解决如何利用生态系统中多个协议之间的交互。

像 Forta 和 tenerly Alerts 这样的监视工具可以在发生组合性攻击时提供早期警告，以便团队采取行动。但在闪电贷攻击中，资金通常在单笔交易中被盗，因此任何预警都太晚了，无法防止巨大损失。

威胁检测模型可以用来发现内存池中的恶意交易，在节点处理它们之前，交易就存在于内存池中，但黑客可以通过使用 flashbot 等服务直接将交易发送给矿工，从而绕过这些检查。

我对加密安全的未来有两个预测：

1. 我相信最好的团队将从把安全视为基于事件的实践（测试->同行评审->审核）转变为将其视为一个连续的过程。他们将：

对主代码库中的每一个新增代码执行静态分析和模糊处理；

对每一次重大升级都进行正式验证；

建立具有响应动作的监视和警报系统（暂停整个应用程序或受影响的特定模块）；

让一些团队成员制定和维护安全自动化和攻击响应计划。

安全工作不应在审计后结束。在许多情况下，例如 Nomad 跨链桥黑客攻击，其漏洞是基于审计后升级中引入的错误。

2. 加密安全社区应对黑客攻击的过程将变得更有组织和精简。每当黑客攻击发生时，贡献者就会涌入加密安全群组聊天，渴望提供帮助，但缺乏组织意味着重要细节可能会在混乱中丢失。我认为在未来，这些群聊将转变成更有条理的组织形式：

使用链上监控和社交媒体监控工具，快速检测主动攻击；

使用安全信息和事件管理工具协调工作；

采取独立的工作流程，使用不同的渠道沟通黑白客的工作、数据分析、根本原因和其他任务。

Odaily星球日报

媒体专栏

阅读更多

金色财经Maxwell

金色荐读

FastDaily

中国金融杂志

巴比特资讯

元宇宙之道

吴说Real

标签：BSPNBSDAOITHBSPTnbs币发行量ASTRADAO价格Bithumb

DOGE热门资讯