区块链是一片鼓励创新的热土,在某种角度上因其安全风险也成为了滋生犯罪的温床。
当年众筹超过1.5亿美金的TheDAO被黑客盗币后,进行了硬分叉操作,由此产生了如今的以太坊。
自区块链创世以后,各种针对交易所、钱包以及Dapp的黑客盗币事件频发。
那么,2021年区块链安全领域又经历了何种波澜,后续的处理工作又是如何的呢?
2021年区块链黑客盗币事件整理
由于2021年市场情绪热烈,黑客盗币的金额打破了往年的历史记录。
截至三季度,统计一共有32起黑客入侵事件导致了15亿美金的资产被盗,而去年全年这个数字是1.8亿美金。
DeFi协议
UraniumFinance——逻辑漏洞
2021年4月份流动性挖矿协议Uranium受到了攻击,被攻击的智能合约是MasterChief的修改版本。
Optimism发文全面概述治理机制及未来规划:7月20日消息,Optimism发文《Optimism治理的未来》(The Future of Optimism Governance),包含全面概述Optimism治理、现在如何运作以及如何通过其两院制度来支持集体未来多年的发展。
其中关于分配协议收入的投票初始流程或将引入一个财政委员会,负责就如何分配资源向治理提出高级别建议,任何关于协议收入分配的提案都将提交给代币之家批准,并提交给公民之家否决。[2023/7/20 11:06:05]
其中,用于执行“质押奖励”的代码出现了逻辑漏洞,使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子,并将它换成了价值130万美元的BUSD以及BNB。
CreamFinance——预言机操纵
10月27日,CreamFinance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币,同时通过操纵多资产流动性池来操纵预言机对yUSD的报价。
美国纽约市公立学校取消了ChatGPT禁令:金色财经报道,美国纽约市公立学校取消了ChatGPT禁令。 (彭博)[2023/5/19 15:12:16]
在提高了yUSD的价格后,攻击者的yUSD价格被人为提高,从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。
BadgerDAO——前端恶意代码注入
攻击者获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。
当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易,就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。
Anyswap——后台签名
出事是因为后台签名时采用了不恰当的值,攻击者通过两笔交易来推导出了它签名的私钥。
高盛:由于银行系统的压力,预计美联储本周不会加息:金色财经报道,高盛经济学家周一在一份报告中写道,鉴于银行系统的压力,我们预计联邦公开市场委员会将在本周 3 月的会议上暂停加息。尽管政策制定者积极应对本次危机,以支持金融体系,但市场似乎并不完全相信,支持中小银行的措施是足以应对危机的。虽然暂不加息意味着暂停和通胀的斗争,但事实上,通胀问题现在看起来没有去年夏天那么紧迫,因为近期通胀预期大幅下降,长期通胀预期已保持稳定。[2023/3/20 13:14:55]
钱包——钓鱼信息
举个比特币钱包Electrum的例子,当用户旧版本并连接到攻击者的节点时,攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时,黑客便轻松掌握了用户的私钥。
交易所
不同于项目方一旦出事,人们可以通过链上公开的交易记录进行分析,交易所出事只有内部人员知道发生了什么,那些信息也不会被公开。
Marathon Digital财报:2022年净亏损6.867亿美元:金色财经报道,比特币矿企Marathon Digital发布2022年第四季度和全年财报,截至2022年12月31日,2022年全年净亏损6.867亿美元,对比之下,2021年全年净亏损为3710万美元。其中,与2021年相比,2022年,Marathon Digital与挖矿设备的账面价值和供应商预付款相关的第四季度减值费用为3.329亿美元;数字资产的账面价值(包括减值以及已实现和未实现的损失)下降了3.176亿美元。Marathon Digital在2022年第四季度产出1,562比特币,全年比特币产量从2021年的3,197BTC增加到2022年的4,144BTC。
2022年12月,Marathon Digital全额偿还了循环信贷额度下的未偿余额,2023年2月终止了与Silvergate Bank的信贷安排,这导致释放了之前作为抵押品持有的3,132个比特币。鉴于最近Signature Bank发展,Marathon Digital也在寻求替代银行关系。[2023/3/17 13:09:41]
一般交易所出事来自于这几个方面:交易所的服务器被黑了,攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击,然后攻击者通过工作人员的账号访问到内部系统,接触到了热钱包的私钥等等。
推特已在其应用程序内显示比特币和以太坊的价格:金色财经报道,据CO NEWS发推特表示,推特已开始显示比特币和以太坊等加密货币的最新价格,此功能目前仅对部分加密货币启用。
据悉,在推特搜索框中搜索Bitcoin或BTC、Ethereum或ETH时,会出现对应的价格图表,数据源于Robinhood。[2022/12/22 22:00:11]
资产被盗后的处理方式
关于资产被盗后的处理方式,可以从三个角度——项目方、交易所以及第三方安全机构来分析。
项目方一般会采取这几个解决方式
及时暂停智能合约中的通证转移和交易服务,对于不能暂停的合约,查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务,避免合约被再次攻击。
同时向社区发出警告,避免新的投资者把财产放到有漏洞的合约里面。
联系第三方安全机构,请求帮助分析漏洞产生的原因,并合作共同修复漏洞。
对于被盗资金的去向——假如合约里面存在黑名单功能,第一时间屏蔽黑客地址,防止黑客进行资金转移。
和安全机构和执法部门合作追回被盗的财产,同时提出合理的补偿方案以减少用户的损失。
从交易所的角度来说,有两种情况
假如交易所本身被盗,需第一时间暂停所有的提现充值功能,把损失降到最少。交易所保留系统里面的所有信息以便日后做分析使用,联系安全机构或者执法部门,协助进行财产追踪。
假如某个项目被黑的话,交易所可以监控黑客相关链上地址,如果监测到最新充值的关联地址,则立即冻结该账户。
安全机构则需要做到以下几点
在事件发生之后分析漏洞产生的原因,并修复漏洞。
在项目重新上线之前提供安全审计服务,以减少项目重新上线之后的安全风险。
发布社区警告,同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞,可以通过保密渠道发出警告。
通过链上技术手段来追踪资金流向以及分析链下信息,协助执法部门抓到黑客。
那么,为何安全机构对漏洞已进行层层筛查,还会被黑客有机可趁?
事实是,对于某个项目的审计工作只能持续数个星期,而黑客的时间和精力是无限的。他们一旦瞄准某类项目,便会有比审计公司多得多的时间进行研究并展开行动。
今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。
其次,跨链桥和其他DeFi项目的不同的点是:普通DeFi项目几乎100%的逻辑是在智能合约上实现的,而跨链桥是web2和web3的结合,是智能合约和传统后台的结合。
非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。
简而言之,DeFi协议除了自身的代码需固若金汤,因其需与其他协议交互的可组合型,业务逻辑也要严丝合缝。
最重要的是,DeFi协议需借助第三方服务,而这些第三方服务很有可能面临外部操纵的风险,这也是产品受到黑客攻击的主要原因。
未来区块链安全展望
未来随着技术的发展,区块链行业会变得日益安全吗?
理论上是的。
先说底层技术,首先编写智能合约的Solidity语言慢慢变成熟。
在最近的Solidity版本8.0之后,之前比较常见的一种漏洞叫做integeroverflow便销声匿迹了。
其次,区块链业内对于安全的重视度正在大幅增加。
最后,安全的开源代码库也会提高安全系数。
OpenZeppelin代码库是由专业人员写的一个开源的代码库,它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能,便能实现从零开始写代码。
另外,现在有很多安全工具会对代码进行检查——它可以帮助项目方在没有联系安全公司的情况下,找到一些潜在的漏洞,从而提高代码的安全性。
例如CertiKSkynet天网扫描系统,它作为一个24*7全天候运行的安全情报引擎,可为智能合约的链上部署提供多维度和实时的透明安全监控并24小时运行监控和危险警报提示。
除此之外,例如公开透明展示安全数据的安全排行榜以及项目预警系统也可为除项目方外的投资人提供安全见解。所有投资者都可以通过这个这个不受限制的安全洞察数据库查询所需要的安全数据信息。
随着越来越多的技术人员加入到这个领域来,区块链行业的安全壁垒会不断被加固。
总而言之,DeFi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。DeFi行业在安全性上达到无懈可击,是这一赛道项目必须实现的目标——尤其对中心化严重的跨链赛道而言。
标签:区块链DEFI比特币EFI区块链存证证件具有更高的信任等级pinetworkdefi币最新消息买比特币会被局抓吗Efinity
12月23日晚,普通冬夜,闹市喧嚷,夜色寂静。《元宇宙基石》一书线上研讨会于昨晚七点开始,八点三十七分结束,历时1个小时37分53秒。原定60分钟的议程悄然延长了近乎三刻钟.
1900/1/1 0:00:0012月14日谷歌趋势数据显示,过去3个月,全球“web3”一词搜索量大幅上涨。实际上,与之相对的是,过去一段时间以来,有关web3.0的讨论逐渐升温.
1900/1/1 0:00:00ArtTacio的报告显示,2021年前9个月,NFT市场波动剧烈,创造了35亿美元的NFT加密艺术品和收藏品的销售额,其中只有16%的NFT艺术家是女性.
1900/1/1 0:00:00今年以来“元宇宙”概念吸引了国内外众多科技巨头如谷歌、腾讯、Facebook、字节跳动等扎堆布局,成为近期资本市场一大热点.
1900/1/1 0:00:00如何在GameFi过热的当下冷静地判断后续发展,并为下波浪潮做准备,投资布局?当前的GameFi处于过热的阶段,整个市场由不理性的资金与新用户支撑项目价值与币价.
1900/1/1 0:00:00故宫历经六百年岁月变迁中沉淀出的传统文化魅力,闪耀却也内敛,浮华不失质朴。古人智慧下的传统手工艺术可以说在这里展现的淋漓尽致.
1900/1/1 0:00:00