談到區塊鏈技術,安全性以及可擴展性都是目前避不開的嚴峻挑戰。
一方面,公鏈領域存在著“不可能三角”,即去中心化、安全性和可擴展性三者不可兼得。以太坊作為智能合約公鏈的領導者,高昂的Gas費和網絡擁堵大大降低了其性能,可擴展性也成了許多新興公鏈鉆研的目標,而這給了競爭對手Solana一個機會。Solana給自己的定位是世界上最快的高性能公鏈,其結合了權益證明共識算法(PoS)和創新的歷史證明系統(PoH),每秒可處理6.5萬筆交易,被稱為“以太坊殺手”之一。
慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。
2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。
3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。
4.最后將LP發送至DEX中移除流動性獲利。
本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]
另一方面,加密貨幣領域正在經歷前所未有的機遇與挑戰,其中一個挑戰便是日益增長的黑客攻擊事件。根據慢霧近期升級上線的區塊鏈被黑事件檔案庫(hacked.slowmist.io)統計,截至目前,2021年公開的區塊鏈安全事件達133起,損失總金額遠超80億美元!而在133起事件中,絕大多數是因為合約漏洞導致。憑借著對智能合約安全、閃電貸攻擊等豐富的安全研究經驗,慢霧安全團隊已累計審計1200多份知名智能合約,涵蓋以太坊(Ethereum)、EOS、波場(TRON)、火幣生態鏈(Heco)、幣安智能鏈(BSC)、Fabric、唯鏈(VeChain)、本體(ONT)等公鏈平臺,累計發現了數百個高危、中危安全問題。
慢霧:DOD合約中的BUSD代幣被非預期取出,主要是DOD低價情況下與合約鎖定的BUSD將產生套利空間:據慢霧區情報,2022 年 3 月 10 日, BSC 鏈上的 DOD 項目中鎖定的 BUSD 代幣被非預期的取出。慢霧安全團隊進行分析原因如下:
1. DOD 項目使用了一種特定的鎖倉機制,當 DOD 合約中 BUSD 數量大于 99,999,000 或 DOD 銷毀數量超過 99,999,000,000,000 或 DOD 總供應量低于 1,000,000,000 時將觸發 DOD 合約解鎖,若不滿足以上條件,DOD 合約也將在五年后自動解鎖。DOD 合約解鎖后的情況下,用戶向 DOD 合約中轉入指定數量的 DOD 代幣后將獲取該數量 1/10 的 BUSD 代幣,即轉入的 DOD 代幣數量越多獲得的 BUSD 也越多。
2. 但由于 DOD 代幣價格較低,惡意用戶使用了 2.8 個 BNB 即兌換出 99,990,000 個 DOD。
3. 隨后從各個池子中閃電貸借出大量的 BUSD 轉入 DOD 合約中,以滿足合約中 BUSD 數量大于 99,999,000 的解鎖條件。
4. 之后只需要調用 DOD 合約中的 swap 函數,將持有的 DOD 代幣轉入 DOD 合約中,既可取出 1/10 轉入數量的 BUSD 代幣。
5. 因此 DOD 合約中的 BUSD 代幣被非預期的取出。
本次 DOD 合約中的 BUSD 代幣被非預期取出的主要原因在于項目方并未考慮到 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。[2022/3/10 13:48:45]
基于此沉淀,慢霧針對智能合約安全審計服務全面增加Solana安全審計項。主要審計類如下:
慢霧余弦:解決數據安全問題最優解是構建零信任安全架構:金色財經現場報道,7月5日,由巴比特×算力智庫聯合主辦的《隱私計算:讓數據安全有序流動起來》主題會議上,慢霧科技創始人余弦做了主題為《區塊鏈安全建設之道》的演講。余弦表示,保障數據安全的目標是要實現資產0損失和隱私0泄露,但是人最終會成為所有安全的最大薄弱點,在數據收集、存儲、加工、使用、提供、交易、公開等環節都需要加強保障。區塊鏈僅是解決信任問題的一種復雜技術方案,面對安全問題,區塊鏈也自身難保。所以解決數據安全問題,最優的解決方案是構建零信任安全架構,明白各條鏈路的安全策略。[2020/7/5]
重入漏洞重放漏洞重排漏洞拒絕服務漏洞條件競爭漏洞權限控制漏洞整數上溢/下溢漏洞算術精度誤差漏洞不安全的外部調用審計業務邏輯缺陷審計變量聲明及作用域審計偽造賬號攻擊目前,慢霧已審計過多個Solana生態項目,如收益聚合平臺Solyard.Finance、借貸平臺Larix等。
各項目一定程度決定著生態的市場規模以及發展趨勢,而智能合約作為項目的基礎規則,從某種角度來說,對智能合約進行安全審計能有效地規避風險。慢霧建議各大項目在上線前先做好安全審計,一方面能讓投資者更放心,另一方面能更好地避免不必要的損失,為生態蓬勃發展添一份力。
來源鏈接:mp.weixin.qq.com
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
慢霧
慢霧
慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括:安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品,已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多
一項新研究聚焦了歐洲央行在設計上面臨的關鍵抉擇,并建議其開發適應未來創新的數字歐元。如果貨幣完全實現可編程性,那么數字歐元將會是什么樣的呢?InternetEconomyFoundation、L.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線OPS,并開啟OPS/USDT交易對。具體上線時間如下:充值:已開啟;交易:2021年9月8日17:00?; OPS 項目簡介:Octopus是一種用于創建、.
1900/1/1 0:00:00鏈聞消息,歐洲證券和市場管理局發布關于金融趨勢和風險的報告,稱加密資產和分布式賬本技術在ESMA的2021年金融創新記分牌中位居前列.
1900/1/1 0:00:00一、項目簡介? Saber是一個去中心化交易所,為穩定幣提供流動性基礎,穩定幣是一種加密貨幣,其價值與另一種資產掛鉤,如美元或比特幣.
1900/1/1 0:00:00尊敬的用戶: HuobiGlobal“創新區”定于2021年9月8日17:00(GMT8)開放XPRT(Persistence)的幣幣交易.
1900/1/1 0:00:00在聽取社區意見后,Calamari將最高硬頂從300,000KSM調整至200,000KSM。隨著第6槽拍賣接近尾聲,CalamariNetwork已開啟新一輪硬頂.
1900/1/1 0:00:00