免責宣告:本文旨在傳遞更多市場資訊,不構成任何投資建議。文章僅代表作者觀點,不代表火星財經官方立場。
小編:記得關注哦
來源:CertiK
區塊鏈是一片鼓勵創新的熱土,在某種角度上因其安全風險也成為了滋生犯罪的溫床。當年眾籌超過1.5億美金的The DAO被駭客盜幣後,進行了硬分叉操作,由此產生了如今的以太坊。
自區塊鏈創世以後,各種針對交易所、錢包以及Dapp的駭客盜幣事件頻發。那麼,2021年區塊鏈安全領域又經歷了何種波瀾,後續的處理工作又是如何的呢?
2021年區塊鏈駭客盜幣事件整理由於2021年市場情緒熱烈,駭客盜幣的金額打破了往年的歷史記錄。
截至三季度,統計一共有32起駭客入侵事件導致了15億美金的資產被盜,而去年全年這個數字是1.8億美金。
■ DeFi協議
①Uranium Finance——邏輯漏洞
2021年4月份流動性挖礦協議Uranium受到了攻擊,被攻擊的智慧合約是MasterChief的修改版本(MasterChief是用於建立質押池並向用戶返還質押獎勵的智慧合約)。
其中,用於執行“質押獎勵”的程式碼出現了邏輯漏洞,使得駭客可以獲得比別人多的挖礦獎勵。駭客抽乾了RAD/sRADS的池子,並將它換成了價值130萬美元的BUSD以及BNB。
②Cream Finance——預言機操縱1
0月27日,Cream Finance預言機受到操縱。
攻擊者從MakerDAO借用DAI來建立大量yUSD代幣,同時透過操縱多資產流動性池(包含yDAI、yUSDC、yUSDT和YTUUSD)來操縱預言機對yUSD的報價。
在提高了yUSD的價格後,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走Cream Finance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance於8月30日也曾遭到閃電貸攻擊。
③Badger DAO——前端惡意程式碼注入
攻擊者獲取了專案方在Cloudflare後臺的API Key,以此在網站的前端程式碼裡面注入一系列的惡意程式碼。當用戶訪問前端網站時,觸發惡意程式碼後會發起交易讓使用者去確認。
假如使用者確認了那筆惡意交易,就會將通證使用權給到攻擊者。攻擊者就可以透過託管使用權將錢全部轉走。
④Anyswap——後臺簽名出事是因為後臺簽名時採用了不恰當的值,攻擊者透過兩筆交易來推匯出了它簽名的私鑰。
■ 錢包——釣魚資訊
舉個比特幣錢包Electrum的例子,當用戶舊版本並連線到攻擊者的節點時,攻擊者透過節點向這個錢包傳送釣魚資訊。
當用戶看見釣魚資訊並下載帶有後門的錢包時,駭客便輕鬆掌握了使用者的私鑰。
■ 交易所
不同於專案方一旦出事,人們可以透過鏈上公開的交易記錄進行分析,交易所出事只有內部人員知道發生了什麼,那些資訊也不會被公開。
一般交易所出事來自於這幾個方面:交易所的伺服器被黑了,攻擊者訪問到了伺服器裡面存在熱錢包的私鑰。
交易所的工作人員被釣魚攻擊,然後攻擊者透過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。
資產被盜後的處理方式關於資產被盜後的處理方式,可以從三個角度——專案方、交易所以及第三方安全機構來分析。
專案方一般會採取這幾個解決方式:
1)及時暫停智慧合約中的通證轉移和交易服務,對於不能暫停的合約,檢視合約裡可以使用的特權函式並遮蔽掉一部分合約的服務,避免合約被再次攻擊。
2)同時向社群發出警告,避免新的投資者把財產放到有漏洞的合約裡面。
3)聯絡第三方安全機構,請求幫助分析漏洞產生的原因,併合作共同修復漏洞。
4)對於被盜資金的去向——假如合約裡面存在黑名單功能,第一時間遮蔽駭客地址,防止駭客進行資金轉移。
5)和安全機構和執法部門合作追回被盜的財產,同時提出合理的補償方案以減少使用者的損失。
從交易所的角度來說,有兩種情況:
1)假如交易所本身被盜,需第一時間暫停所有的提現充值功能,把損失降到最少。交易所保留系統裡面的所有資訊(比如說日誌)以便日後做分析使用,聯絡安全機構或者執法部門,協助進行財產追蹤。2)假如某個專案被黑的話,交易所可以監控駭客相關鏈上地址,如果監測到最新充值的關聯地址,則立即凍結該賬戶。安全機構則需要做到以下幾點:
1)在事件發生之後分析漏洞產生的原因,並修復漏洞。
2)在專案重新上線之前提供安全審計服務,以減少專案重新上線之後的安全風險。
3)釋出社群警告,同時檢視有沒有別的專案存在相同的漏洞。如果有專案存在相同漏洞,可以透過保密渠道發出警告。
4)透過鏈上技術手段來追蹤資金流向以及分析鏈下資訊(比如說駭客的IP地址以及裝置),協助執法部門抓到駭客。那麼,為何安全機構對漏洞已進行層層篩查,還會被駭客有機可趁?
事實是,對於某個專案的審計工作只能持續數個星期,而駭客的時間和精力是無限的。他們一旦瞄準某類專案,便會有比審計公司多得多的時間進行研究並展開行動。
今年出現的跨鏈橋專案屢次受到攻擊便是因為此類專案中鎖著大量的使用者資產。
其次,跨鏈橋和其他DeFi專案的不同的點是:普通DeFi專案幾乎100%的邏輯是在智慧合約上實現的,而跨鏈橋是web2和web3的結合,是智慧合約和傳統後臺的結合。
非去中心化且存有鉅額鎖倉資金的賽道給到了駭客攻擊的機會。簡而言之,DeFi協議除了自身的程式碼需固若金湯,因其需與其他協議互動的可組合型,業務邏輯也要嚴絲合縫。
最重要的是,DeFi協議需藉助第三方服務(如外部預言機、中心化的雲平臺等),而這些第三方服務很有可能面臨外部操縱的風險,這也是產品受到駭客攻擊的主要原因。
未來區塊鏈安全展望未來隨著技術的發展,區塊鏈行業會變得日益安全嗎?理論上是的。
先說底層技術,首先編寫智慧合約的Solidity語言慢慢變成熟。在最近的Solidity版本8.0之後,之前比較常見的一種漏洞叫做integer overflow(整數溢位)便銷聲匿跡了。
其次,區塊鏈業內對於安全的重視度正在大幅增加。最後,安全的開原始碼庫也會提高安全係數。OpenZeppelin程式碼庫是由專業人員寫的一個開源的程式碼庫,它的程式碼質量會相對比較高、比較安全。
專案方只需要在程式碼庫的基礎上新增想實現的一些功能,便能實現從零開始寫程式碼。(https://github.com/OpenZeppelin/openzeppelin-contracts)
另外,現在有很多安全工具會對程式碼進行檢查——它可以幫助專案方在沒有聯絡安全公司的情況下,找到一些潛在的漏洞,從而提高程式碼的安全性。
例如CertiK Skynet天網掃描系統,它作為一個24*7全天候執行的安全情報引擎,可為智慧合約的鏈上部署提供多維度和實時的透明安全監控並24小時執行監控和危險警報提示。
除此之外,例如公開透明展示安全資料的安全排行榜以及專案預警系統也可為除專案方外的投資人提供安全見解。所有投資者都可以透過這個這個不受限制的安全洞察資料庫查詢所需要的安全資料資訊。
隨著越來越多的技術人員加入到這個領域來,區塊鏈行業的安全壁壘會不斷被加固。
總而言之,DeFi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。DeFi行業在安全性上達到無懈可擊,是這一賽道專案必須實現的目標——尤其對中心化嚴重的跨鏈賽道而言。
