比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > FTX > Info

OLE:近4億美元損失,Solana的黑客攻擊都有什么共同點?_NCE

Author:

Time:1900/1/1 0:00:00

原文作者:sec3

原文編譯:ChinaDeFi

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。

重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:

Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;

CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;

ENS開發公司True Names發布提案,希望ENSDAO批準近420萬美元的撥款:7月7日消息,ENS開發公司True NamesLtd(TNL)發表提案稱,希望ENSDAO批準從2022年1月1日算起每日1.15萬枚USDC的撥款,全年撥款總額為419.75萬美元。該撥款將支持TNL繼續發展和改進ENS協議。(tally.xyz)[2022/7/7 1:57:00]

CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;

Nirvana:通過閃貸操縱價格,350萬美元被盜;

Slope錢包:由于助記詞被泄露,400萬美元被盜。

CROSS第一期盲盒游戲已開獎,中獎盲盒獲拍價為近400HT:據CROSS官方消息稱,今日20:05,內置0.5BTC大獎的NFT“Poloniex - Wealthy Ox”盲盒被成功打開,中獎地址為0xA2c4E350BB0315b70b86160b14AA52Ef04aAbb15,獲拍價高達374.8HT。該NFT由知名NFT藝術家池磊結合Poloniex交易所品牌元素設計的CROSS聯名款牛年&幣圈牛市NFT,以綠色和牛為主要特征,預示著牛市能放大投資效果,撬動最大收益。

?數據顯示,本次CROSS盲盒活動新增地址數2K+,總訪問地址數超6K,總出價金額達2157HT,累計出價遠高于0.5BTC大獎。另外,CROSS第二期盲盒游戲也在積極籌備中,下期將使用CVT作為支付介質,同時也會對游戲界面、交互體驗和功能規則進行一定的優化。[2021/2/26 17:57:01]

在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。

動態 | 穩定幣TUSD近7日增發近4000萬枚:據Searchain.io數據顯示:昨日總供給量最高的穩定幣是TUSD,總供應量為 158,479,569枚;最低的穩定幣是GUSD,總供應量為1,409,166枚。昨日四家穩定幣無增發,TUSD有銷毀,銷毀了162,543枚。近7日四家穩定幣總供給均在增長,增長最高的是TUSD,增發了39,832,457枚;增長最低的是GUSD,增發了883,150枚。[2018/10/17]

Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。

CashioApp:黑客創建了8個假賬戶來通過有效性檢查。

CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。

近400萬個比特幣永久丟失 占比最高23%:根據數字取證公司Chainalysis對比特幣區塊鏈進行的研究,大約有278萬至379萬個比特幣已經永遠消失。對應現有比特幣的總數約為17%至23%。現在每個比特幣對應的價值約為8500美元。[2017/11/27]

Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。

SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。

2.所有黑客攻擊都涉及多次交易

Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。

CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。

CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10筆閃貸交易,從不同的代幣池中進行竊取。

Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。

SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。

3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)

Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。

CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。

CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。

Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。

Slope錢包:廣泛的攻擊持續至少8個小時。

4.最大的損失是由于缺少帳戶驗證

前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。

無論是否是巧合,這些攻擊都造成了很大的經濟損失。

5.閃貸牽涉到兩次黑客攻擊

CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。

在CremaFinance,閃貸被用來引導存款流動性。

在Nirvana中,其內部價格預言機被閃貸操縱。

安全措施:

賬戶所有權

賬戶簽名者

帳戶之間的關系(或邏輯約束)

根據協議邏輯,還應該檢查:

如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。

如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。

監控SOL或SPL代幣的大規模轉移;

監控針對你的智能合約的閃貸交易;

通過升級依賴程序來監控潛在的漏洞;

監控異常狀態(例如,計算費用);

監控往返交易事件例如deposit-claim-withdraw在單個tx中);

監控來自同一簽名者的重復交易;

任何針對協議特定屬性的自定義監控。

如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。

Tags:OLENANANCNCEWHOLE幣Charm FinanceMoonday FinanceChow Chow Finance

FTX
WEB:Web3數據提供商Spice AI完成1350萬美元種子輪融資_WEB3.0幣

9月7日消息,Web3數據倉庫基礎設施提供商SpiceAI宣布完成1350萬美元種子輪融資,Madrona領投.

1900/1/1 0:00:00
GAT:Gate.io 動態聊天室團圓九月,中秋相聚有禮_gate.io提現地址怎么填

但愿人長久,千里共嬋娟。2022年中秋節即將到來,Gate.io動態圈聯合聊天室特推出“Gate.io團圓九月,中秋相聚有禮”特別活動,邀請你參與發布動態,與Gate.io分享你的幣圈故事,就有.

1900/1/1 0:00:00
以太坊:幣圈老呂:以太坊無懼反彈還有新低,比特幣19500下繼續極弱_MAX

大家好,我是幣圈老呂。接上篇,上一篇主題十分明確,繼續看以太坊刷新低,雖然預期的開空位置沒有到達,但起碼總體方向是沒變的,其實在大熊市中談到最多的就是做空,方向可能一目了然,因為畢竟大環境在那里.

1900/1/1 0:00:00
OBI:Huobi Global to Support 1.2% Tax Burn Proposal of Terra Classic (LUNC) Network_BAL

DearHuobiGlobalUsers,Wehavelearnedaboutthe1.2%TaxBurnProposalontheTerraClassic(LUNC)community.Toe.

1900/1/1 0:00:00
比特幣:衍生品交易所的比特幣儲備激增!未來幾天比特幣的更多下行空間_OMP

根據最近的報道,隨著比特幣跌破20,000美元的門檻,進入市場流通的古代比特幣數量大幅增加。在CryptoQuant今天發布的Quicktake中,市場分析師AbramChart提到,本月期貨交.

1900/1/1 0:00:00
SHI:幣安“質押借幣”平臺新增可質押資產LOKA_Paris Inu-ton

親愛的用戶: 幣安“ 質押借幣”平臺新增可質押資產LOKA。查看幣安質押借幣的可質押資產!注意:幣安會根據市場實際運行情況和風險程度動態調整可借幣種/質押幣種/利率/最大可借額度等參數.

1900/1/1 0:00:00
ads