比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > SAND > Info

USD:2021年迄今DeFi已發生82起安全問題 初始被盜資金超18億美元_DEFLCT價格

Author:

Time:1900/1/1 0:00:00

區塊鏈作為過去十年最偉大的技術發展之一,除了為傳統金融、跨境支付與結算、供應鏈、征信與反欺詐、用戶隱私等應用領域帶來革新性進展外,受區塊鏈原生思想、文化而孕育出的去中心化金融(DeFi)以顛覆者的形象崛起,旨在構建一個無需第三方、公平自主、對所有人開放的金融體系。DeFi被認為具有無限活力和可能,有望重構金融交易和服務模式,在經歷了2年多的蟄伏期后,DeFi于2020年6月底爆發,迅速發展壯大,成了當前區塊鏈世界備受矚目、金融領域落地最大,也是采用率最高的應用之一。但隨著DeFi短時間內吸引了成百上千萬資金,也讓它們成為了大量黑客攻擊的目標,鏈上安全事故頻發。

據公開資料顯示,2020年DeFi攻擊事件達到了60起,損失逾2.5億美元,其中至少10起為閃電貸攻擊,包括bZx、Balancer、Harvest、Akropolis、Cheese Bank、Value DeFi和Origin Protocol等多個DeFi項?遭到攻擊。

盡管仍有近2個月的時間2021年才宣告結束,但據OKLink不完全統計,截至11月7日,2021年年初至今已經發生了82起鏈上安全問題,初始被盜資金約18.16億美元,但其中約有7億美元已經歸還,被盜資金的總額達到了11.16億美元。

與2020年對比明顯的除了攻擊事件顯著增多外,單個項目被盜金額在量級上也有了顯著提升。據Rekt排行榜顯示,前十大DeFi黑客攻擊事件中,僅有1起發生在2020年。排名前三的分別是Poly Network(6.11億美元)、Compound(1.47億美元)以及Cream Finance(1.3億美元)。

其中僅Poly Network被盜資金就超過了2020年全年,不過好在攻擊該項目的黑客事后已歸還全部被盜資金。最近一次大規模的攻擊,當屬于10月28日Cream Finance遭受到的閃電貸攻擊,損失超過1.3億美元,被盜的資金主要是Cream LP代幣和其他ERC-20代幣。據了解,這并非是Cream Finance遭受的初次攻擊,去掉本次,僅2021年,Cream Finance就因閃電貸、合約漏洞亦或是被其他DeFi項目連帶影響,就已經遭受了3次攻擊,損失共計5,740萬美元。

Voyager CEO在2021年股價高點時出售超過3000萬美元的股票:金色財經報道,VoyagerDigital的首席執行官StephenEhrlich從2021年2月9日到2021年3月31日,Ehrlich和他的特拉華州有限責任公司在11次單獨的銷售中出售了近190萬股公司股票,總計3100萬美元。在Ehrlich于2021年4月5日進行最終出售后,Voyager的股價將達到29.86美元的峰值。同期,比特幣上漲455%,以太坊上漲688%。三周后,VOYG的股價下跌了41%。到2021年11月,隨著加密貨幣市場整體達到頂峰,Voyager已從峰值下降了69%。

該公司今年早些時候在加密貨幣價格暴跌后遇到了麻煩,并在7月宣布破產之前凍結了客戶資產。根據破產申請,Voyager托管了13億美元的客戶加密資產,分布在350萬活躍用戶中。(CNBC)[2022/8/3 2:57:02]

從2021年年初至今的82起安全事件中,我們發現閃電貸是黑客最常用的手段,占到了33起,其次是合約漏洞,共27起。此外,因激勵機制變更、私鑰或助記詞泄露(保管不當)等因素也會導致黑客攻擊。接下來,我們將結合具體案例,為大家展現。

Cream Finance再遭閃電貸攻擊,損失1.3億美元

10月27日,DeFi借貸協議Cream Finance遭到閃電貸攻擊,攻擊者從C.R.E.A.M. Ethereum v1市場取走約1.3億美元代幣。

閃電貸是指不需要抵押資產,在同一個區塊內完成借款、還款的一種貸款方式。需要說明的是,閃電貸本身只是一種工具,沒有好壞之分,但因為閃電貸不時出現在與DeFi暴雷相關的新聞中,因此在很多不明就里的人眼中,閃電貸似乎成為了惡意攻擊者的幫兇,這其實是對閃電貸的誤解。

事實上,閃電貸甚至可以稱得上是智能合約上的一個偉大創新。由于DeFi存在結構性缺陷,所以在大多數抵押借貸協議里都要求用戶超額質押資產,這就意味著資金利用率會變得十分低下。閃電貸的出現,大大降低了資金成本,用戶可以在不需要任何抵押借款的情況下,只需付出極小的手續費(如AAVE上的閃電貸手續費僅為 0.09%),就能獲得巨額的資金,用戶在借到款后,可以利用借到的資金進行其他操作,在交易結束時,只需將借款及手續費及時歸還,否則該筆交易就會回滾,猶如什么都沒有發生過,因此它可以用于套利、交換抵押品和自我清算等。

火幣DeFi Labs運營負責人高潮:2025年10%的GDP是數字資產表達:8月28日,在2020新區勢·區塊鏈科技金融峰會上,火幣DeFi實驗室運營負責人高潮以“從DeFi到開放金融”為主題進行了演講。

高潮表示,隨著未來CBDC、Libra的推出,法幣的新金融范式將帶領我們進入開放金融。在開放式金融中,復雜的金融會變得更簡單,且會進一步減少甚至消除操作風險和不確定性風險,目前DeFi領域的發展正在進一步加快這一進程。高潮同時預測,在2025年將有10%的GDP會用數字資產表達。[2020/8/28]

針對此次Cream Finance攻擊,攻擊者從MakerDAO閃電貸借出5億枚DAI,接著質押兌換成4.51億枚yDAI,再將yDAI在Curve ySwap中添加流動性獲得4.47億枚yDAI+yUSDC+yUSDT+yTUSD。

然后攻擊者將4.47億枚yDAI+yUSDC+yUSDT+yTUSD質押并獲取近4.47億枚yUSD,通過在crYUSD中調用鑄幣函數,鑄造了近223.38億枚crYUSD。

隨后攻擊合約0x961D創建了攻擊合約2 0xf701,并調用攻擊合約2的flashLoanAAVE() 函數,先從AAVE借入52.41萬WETH,其中6,000 WETH發給攻擊合約 0x961D,剩余的WETH存入Cream獲得crETH。使用攻擊合約2借出近4.47億枚yUSD,重復兩次,并以此鑄造crYUSD,鑄幣完成后將crYUSD轉給攻擊合約0x961D。攻擊合約2 0xf701第三次又借出近4.47億枚yUSD,此次直接轉給攻擊合約0x961D。

Arca數字資產基金在2020年增長76.74%:金色財經報道,盡管一些以加密貨幣為中心的對沖基金陷入困境,有一些甚至由于需求低迷而倒閉,Arca資本管理公司的旗艦對沖基金Arca數字資產基金在2020年增長了76.74%。其76.74%的收益超過了標準普爾500指數(+1.12%),彭博的加密指數BCGI(+38.01%)和比特幣(+30.39%)今年的表現。[2020/7/24]

攻擊者使用1,873枚WETH在Uniswap V3中獲得745.30萬枚USDC,再通過Curve.fi將372.65萬枚USDC換成338.33萬枚DUSD,然后將DUSD換成4.50億枚yDAI+yUSDC+yUSDT+yTUSD。

隨后將843.15萬枚yDAI+yUSDC+yUSDT+yTUSD直接發送回yUSD抵押池,導致Cream協議對抵押資產yUSD 的價值計算劇增,最終借出大量CRETH2、xSUSHI、PERP等共15種資產,并歸還攻擊合約2借出的WETH閃電貸。

最后贖回各資產成DAI,歸還攻擊合約0x961D的閃電貸。

本次攻擊是典型的閃電貸價格操控,通過閃電貸獲取大量資金后,利用合約設計缺陷,大幅改變價格導致獲利,此次是Cream Finance今年遭受的第四次黑客攻擊。發生閃電貸攻擊,實質是發起閃電貸的攻擊者只是利用了閃電貸的特點,在短時間內借出資金、交易、然后存入并再次借出大量的資金,這樣他們就可以人為地在某一個DEX里操縱特定加密資產的價格,進而從中獲利。也就是說,單單就攻擊者在閃電貸流程里的操作來看,其本身是合規的,但是從結果來看,這一行為損害了智能合約的公平性和其他用戶的利益。

阿里巴巴發布2020財年公益財報 多個公益場景已應用區塊鏈:金色財經報道,今天,阿里巴巴發布了阿里巴巴對外發布2020財年公益“財報,今年“區塊鏈”硬核串起了所有財報數據,一份科技感滿滿的財報。數據顯示,過去的2020財年,阿里經濟體公益平臺上累計產生公益捐贈超100億筆,累計為公益機構籌款超22億元。更為特別的是,自2016年發布首個區塊鏈公益項目以來,區塊鏈已在阿里巴巴經濟體公益多個場景中廣泛應用,本財年總捐贈金額中,超6成愛心捐贈已被記錄在鏈,數字技術支撐下的全球新公益樣板正在形成。[2020/7/13]

2.?史上最大的DeFi被盜案Poly Network

2021年8月10日,異構鏈跨鏈互操作協議Poly Network遭到攻擊,使用該協議的O3 Swap損失慘重,據OKLink鏈上瀏覽器顯示,30多分鐘的時間里,黑客帶走了共計6.1億美元的加密資產,分批轉出至3個地址。轉至0x0d6e的BSC地址的資金超2.5億美元,轉至0xc8a6的以太坊地址有超2.7億美元,而轉至0x5dc3地址的也有超8,500萬美元。

本次攻擊主要是黑客利用了EthCrossChainManager合約中存在的漏洞,EthCrossChainData合約的Keeper權限可由EthCrossChainManager合約進行修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以被任何用戶調用進行交易執行,并且在其內部進行call調用時,惡意用戶又可以通過_executeCrossChainTx函數傳入自行構造的數據,這樣黑客通過精心構造的數據就能把EthCrossChainData的Keeper更改為自己指定地址,從而取出LockProxy合約中的代幣。

以下是歐科云鏈鏈上天眼團隊繪制的被攻擊過程。

報告:2020年第一季度女性加密用戶數激增:CoinMarketCap發布的一項新報告顯示,2020年第一季度,女性加密用戶增長43.24%。相比之下,2019年第四季度女性加密用戶僅增長15.5%。此外,18-24歲的年輕加密用戶增長65%,美洲和歐洲大陸的增長率超過50%。該研究強調,在拉丁美洲、歐洲和亞洲的一些國家/地區,平均增長率超過80%。阿根廷在整個拉丁美洲處于領先地位,增長率超過98.23%,其次是哥倫比亞(82.03%)、委內瑞拉(80.23%)。希臘以163.67%的增長率位居歐洲之首,緊隨其后的是羅馬尼亞(145.09%)、葡萄牙(89.95%)、烏克蘭(86.68%)和捷克(85.6%)。在亞洲,只有印度尼西亞的增長超過88.92%。歐洲似乎是女性用戶中增長率最高的國家,在2020年第一季度增長58.55%,其次是美洲,為50.59%。非洲的增長率仍然很低,僅為17.99%。(Cointelegraph)[2020/5/2]

由于此次事件涉及的6.1億美元太過引人注目,事件發生后各大平臺都在積極響應,試圖阻止黑客利用平臺特性將贓款轉移,天眼團隊也在合規的前提下,與安全團隊同步相關攻擊者信息,為追蹤攻擊者爭取了寶貴時間。

據Dune Analytics數據顯示,當前跨鏈橋的TVL超過了388億美元,而跨鏈橋作為一個新興領域,它的誕生雖然打破了鏈與鏈之間的孤島現象,但由于其發展速度和龐大的資金體量,再加上鏈上項目水平參差,自然是成了黑客眼中的“香餑餑”。

7月11日,跨鏈項目ChainSwap遭到黑客攻擊,在該橋部署的超20個項目的代幣都遭到黑客盜取,損失約合440萬美元。本次安全事故發生的主要原因是每個代幣在跨鏈轉移時有代理合約,黑客調用合約時需在_chargeFee中支付0.005 ETH作為費用,但這個過程沒有真正的身份驗證審查,只需一個簽名,問題可能是_decreaseAuthQuota函數,如果當天簽名人的配額已完成,該函數就會恢復。但是每個人似乎都從默認配額開始。所以攻擊者每次只需用不同的地址簽名來規避這一點。然后在_receive函數中將“volume”參數傳輸到“to”攻擊者地址。

而就在一天后,另一知名跨鏈項目AnySwap也遭到攻擊,其新推出的V3跨鏈流動性池損失239萬USDC和550萬MIM,總損失超過了790萬美元。根據AnySwap公告解釋,在BSC上的V3路由器MPC賬戶下檢測到兩個V3路由器交易,這兩個交易具有相同的R值簽名,而黑客反推到這個MPC賬戶的私鑰,團隊已經修復代碼以避免使用相同的 R 簽名。

Poly NetWork不是跨鏈橋安全事件的第一起,也不會是最后一起,由于TVL的迅速壯大,跨鏈橋必然會繼續成為安全事件的高發地,Poly Network的結尾雖然以黑客歸還全部資產告終,但本次事件也是一次警示,即跨鏈橋作為更為復雜的業務場景,對合約撰寫和審計的要求應更為嚴格,而管理員權限、私鑰授權等安全問題也需更加重視。

3. BXH或因私鑰泄露被盜

10月30日,多鏈部署的去中心化交易協議BXH被盜,1.39億美元的加密資產被洗劫一空。據了解,此次安全事故發生在BSC鏈上的BXH協議,出于謹慎考量,BXH官方也暫停了Heco、OEC相關存取款服務。

事故發生后的第一時間,天眼團隊便第一時間監控了黑客在BSC、以太坊和比特幣鏈上的地址,并預警交易所和錢包注意加強地址監控,避免相關惡意資金流入平臺。經過復盤,天眼團隊分析,黑客在10月27日部署了0x8877這一攻擊合約,接著10月29日BXH管理員地址0x5614通過grantRole賦予了黑客攻擊合約0x8877管理權限。10月30日,黑客通過攻擊合約的管理權限將BXH資金庫中的資產轉出。

簡單理解就是,有人拿到了BXH管理員的私鑰,再將另一個地址設置為管理員,然后通過這另一個地址把錢都提走了,此番調查結果一出,引起嘩然,畢竟這樣的盜幣手段頗為原始,黑客都不需要攻克復雜的智能合約,僅靠私鑰就提取了1.39億美元的資金。

BXH鏈上資產被盜,也產生了一系列的連鎖反應,依賴于BXH流動性的相關機槍池也受到了牽連,CoinWind和Earn DeFi接連關閉了充提。10月31日晚,BXH在官方媒體上公示了其在BSC鏈上的資金池剩余資產,包括USDT、USDC、BTC、ETH、BUSD、MDX在內,總計約1.84億美元。

截至11月9日,BXH的最新動態是,項目方表示,在持續測試、消除潛在風險,并完成私鑰驗證的多簽升級后,項目在OEC上的活動已經恢復正常。

4. Rug Pull攻擊

作為DeFi圈中常被提及的術語,Rug Pull指的是項目方撤出支持、DEX流動性池或突然放棄一個項目,毫無征兆地卷走投資者的資金,Rug Pull多發生于DEX,是DeFi領域較為典型的騙局。騙子們會在流動性池中投入大量的資金,并在社交媒體上發布誘人的廣告吸引投資者入局,一旦投資者將代幣存入這些流動性池中,騙子就會“抽地毯般”地把池子里的代幣全部提走,通常是惡意團隊攻擊的最后一步,也是一種常見的退出騙局。由于Rug Pull在技術上實施起來頗為簡單,通常會是一些土狗項目(低投入、無審計、Copy Cat)在打造出所謂“一夜暴富”的假象騙散戶上車后慣常的技倆。

7月15日,數字收藏品平臺Bondly Finance遭受攻擊,在以太坊網絡鑄造了3.73億枚BONDLY,導致代幣價格下跌,損失590萬美元,此舉被質疑為Rug Pull。據項目方自身披露,攻擊者通過精心策劃的策略獲得了Bondly Finance CEO Brandon Smith密碼賬戶的訪問權限,密碼帳戶包含他的硬件錢包的助記詞恢復短語,復制后允許攻擊者訪問BONDLY智能合約,以及也被泄露的公司錢包。Brandon保持對Bondly大部分企業錢包的獨家訪問權。這些錢包包括所有去中心化交易所流動性池代幣、投資賬戶代幣、抵押儲備代幣、生態基金代幣、工資單、公司儲備金、所有NFT錢包和Opensea儲備金。

結語

隨著區塊鏈在全球范圍內的迅速發展,相應的鏈上安全事件也在不斷滋生。與去年相比,DeFi領域的安全形勢依舊嚴峻,鏈上問題不容小覷,相較于新型漏洞,我們發現大多數黑客攻擊都屬于已經出現過的漏洞,EVM兼容鏈的崛起,使得黑客攻擊目標從以太坊轉移至其他鏈,但攻擊手法相差無幾,一方面項目需對自身提高要求,在開放,包括第三方安全公司在審計時需多做考慮,另一方面也顯示出了DeFi現存的雷同項目問題,眾多項目或直接fork,或在fork的基礎上進行創新,而這樣的結果很容易帶來隱匿風險或潛藏漏洞,例如此前BSC鏈上的AutoShark Finance和Merlin接連遭到閃電貸攻擊,分別損失75萬美元和680萬美元,原因是fork的Pancake Bunny,導致存在相同風險而被套利。

希望每一次安全事件都能給行業帶來警示,盡管我們無法規避所有問題,但對于頻繁發生的漏洞,是否應當引起重視,加強對合約審計、風控、應急等方面的落實。鏈上安全問題應當獲得最高的重視,而不是為了盲目追求熱點急于上線產品,沒有做好項目安全性審查,這既是對用戶資產的不負責任,也是對區塊鏈鏈上生態的消耗,而用戶也需增強自身的安全意識,做好DYOR,如匿名團隊、無審計、明顯的Copy Cat類的項目,就可以納入自己的避坑點,將初級風險規避在外。

Tags:USDEFIDEFDEFIEUSDValuedefi vSWAPDEFLCT價格GDEFI價格

SAND
數字人:易綱:數字人民幣主要滿足國內零售支付需求_BDCC Gold Chain

11月9日,中國人民銀行行長易綱在芬蘭央行新興經濟體研究院成立30周年紀念活動上發表了視頻演講,分享了關于數字人民幣研發的進展情況以及隱私安全、金融穩定方面的問題.

1900/1/1 0:00:00
馬斯克:特斯拉新財報印證掌門人「鉆石手」_DRYDOGE價格

10月21日,BTC在經歷了近半年的低谷期后再創歷史新高,最高觸及66999美元;ETH也沖到了最高4375美元.

1900/1/1 0:00:00
FWB:神秘FWB DAO:思考世界的下個版本_FWB幣

Friends With Benefits,直譯為“有好處的朋友們”。但如果美劇看的多,你一定會知道,這個詞其實主要指“炮友”。而它現在可能會被一個DAO賦予新的含義.

1900/1/1 0:00:00
ENG:前波士頓聯儲主席Eric Rosengren:區塊鏈不適合央行數字貨幣_jubileegreenway

波士頓聯邦儲備銀行前行長埃里克-羅森格倫(Eric Rosengren)根據波士頓聯儲和麻省理工學院的研究,就中央銀行數字貨幣(CBDC)未來形態提供了一些關鍵見解.

1900/1/1 0:00:00
DAO:DAO:可能取代一切人類組織形式的治理模式_COIN

原文標題:先是 DeFi,然后是 NFT,現在是 DAO。如果您正在閱讀本文,那么您非常非常早的了解新事物.

1900/1/1 0:00:00
NFT:Real Vision創始人對話Vitalik:以太坊沒有殺手級應用 只有殺手級生態系統_usdc幣是什么幣

在11月8日舉辦的新加坡金融科技節中,Real Vision 首席執行官、高盛前高管 Raoul Pal 與以太坊創始人 Vitalik Buterin 進行了一次深度對話.

1900/1/1 0:00:00
ads