WEB3:慢霧：區塊鏈安全 永無止境的戰爭_ETH

10 月 29 日，Web3 大會在上海外灘茂悅隆重舉行！本次大會持續兩天，至 30 日結束。除了數十位來自全球學術界、互聯網、開源社區、風險投資、數字藝術和媒體社區的嘉賓，大會還集結了數百名開發者、研究人員和創業者，齊聚上海外灘茂悅，分享新思潮，為大家帶來一場數字資產行業的"饕鬄盛宴”。

這是一場真正的 Web3.0 盛會

這是 Web3 大會首次來到中國上海舉辦，旨在為去中心化項目團隊搭建協作與交流的橋梁。Web3 大會圍繞著一句號召組織而成：促進運轉良好的、用戶友好的 Web3.0 網絡。這也是 Web3.0 的愿景 —— 創造新一代互聯網，讓每個用戶掌握自己的數據、身份和命運。

慢霧：針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息，慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認，火幣本著負責任披露信息的策略，對本次事件做以下說明：本次事件是小范圍內（4000人）的用戶聯絡信息泄露，信息種類不涉及敏感信息，不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致，相關用戶信息于2022年10月8日已經完全隔離，日本站與火幣全球站無關。本次事件由白帽團隊發現后，火幣安全團隊2023年6月21日（10天前）已第一時間進行處理，立即關閉相關文件訪問權限，當前漏洞已修復，所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待，切勿傳謠。[2023/7/1 22:12:01]

Web3 大會由 Web3 基金會主辦，Web3 基金會旨在促進加密和去中心化軟件、協議、創新技術和應用，開發第三代互聯網 Web3.0。核心是研究、開發、部署、資助和維護 Web3 技術。

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

本次大會嘉賓的邀請沿襲了“Web3 大會”價值觀：歡迎所有協議項目、所有開發者、所有來自不同背景和持有各色觀點的人參與其中。本次大會主題講座主要圍繞區塊鏈技術與 Web3 相關倡導計劃。

余弦：區塊鏈安全，永無止境的戰爭

作為區塊鏈安全技術領域的資深專家，中國計算機學會計算機安全專委會委員，知名黑客，網絡空間搜索引擎 “ZoomEye(鐘馗之眼)” 創建者，Joinsec 創始人、前知道創宇技術副總裁、404 團隊 Leader，慢霧科技創始人余弦受邀于 10 月 30 日進行《區塊鏈安全，永無止境的戰爭》的主題演講，與現場的各位業界先鋒共同圍繞『區塊鏈安全』這一話題，開展了一場深度的探討。

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

慢霧：攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息，慢霧發推稱，攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道，Ronin橋被攻擊，17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

余弦指出，DeFi 安全不僅僅是指智能合約安全，還包括區塊鏈基礎安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合規安全。他還表示，在區塊鏈的世界里，作惡成本低到令人發指。目前已披露的被盜數字資產價值已超 135.67 億美元，未披露的數量可能比已披露的多一倍。

具體可參考慢霧 Hacked 檔案庫：https://hacked.slowmist.io/

值得一提的是，余弦認為 “代碼即法律” 是一句不切實際且不負責任的話。他認為區塊鏈安全遠不止發生在區塊鏈上，礦池、交易所、錢包等都存在被攻擊的風險。他最后強調，信息邊界在哪，戰爭就在哪。

慢霧：跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件，慢霧安全團隊分析指出：本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

以下為余弦關于《區塊鏈安全，永無止境的戰爭》演講內容：

參考來源：

https://forum.web3.foundation/

https://mp.weixin.qq.com/s/wMHpocjXaV1DPME329nwyw

Tags：WEB3WEBETHUSDweb3域名值錢嗎web3域名注冊官網Tether EUR泰達幣USDT官網

Gateio