2020鏈上安全報告:DeFi攻擊60逾起損失超2.5億美元
區塊律動BlockBeats
剛剛
25
魔幻的2020年在牛市的陪伴下落下了帷幕,然而這一年中鏈上安全事件卻頻頻發生。律動BlockBeats將2020年中發生的鏈上安全事件進行了總結。《2020鏈上安全報告》主要分為四部分:2020影響幣圈行業的大事件、以太坊安全事件、合約保險以及DeFi合約外的其他攻擊。
2020影響幣圈行業的大事件?
2020年新冠疫情對于全球經濟造成了極大的影響,美股一個月內經歷了三次熔斷,與此同時加密資產市場也受到了牽連。3月12日加密資產全體暴跌無一幸免,比特幣日內跌幅達50%,加密資產市場總市值近乎腰斬。隨后各國央行選擇以最簡單粗暴的方式來應對此次重創:瘋狂QE放水。這種刺激手段雖然是貨幣政策中最行之有效的,然而其副作用也是顯而易見的。?
如果說次貸危機所引發的金融海嘯造就了比特幣,那么疫情所導致的大量印鈔讓更多人認識到比特幣是一種稀缺資產且可對沖法幣貶值的風險。合規買入、托管以及各類加密資產基建和衍生品的成熟從各個角度為加密資產需求者提供了完美的解決方案,諸多機構也就順理成章地選擇了比特幣以及其他龍頭加密資產作為資產配置的一部分。
Supremacy:權志龍發行的NFT系列存在已披露的CVE-2022-38217通用漏洞:3月22日消息,據 Web3 安全機構 Supremacy 監測,韓國歌手權志龍名下品牌 PEACEMINUSONE(PMO)NFT 系列存在之前披露的 CVE-2022-38217 通用漏洞,不能排除被黑客使用過的可能。[2023/3/22 13:19:34]
若散戶未能享受到機構牛市所帶來的紅利,那么流動性挖礦的熱潮大家一定都沒缺席。那些曾經只將幣存放在中心化交易所的用戶為了成為DeFi「農民」將資產轉入「狐貍頭」中,將非生產性資產通過去中心化交易所換成了種地的「鋤頭」。瘋狂的挖礦讓以太坊鏈上資產市值飛上云端,但同時,這也成為了黑客嘴邊的肥肉。
圖源:OKLink
以太坊的安全事件?
在流動性挖礦的帶領下,沉寂已久的DeFi在2020年下半年成為焦點。用戶將資產存入合約,為協議提供流動性,從而獲得協議的費用分成和治理代幣獎勵。
洪蜀寧:2021年機構牛將繼續,隱私幣將迎來爆發:金丘區塊鏈研究院院長洪蜀寧在微博表示,2020年是機構牛,這一點毋庸置疑,2021將會繼續。機構的入場會讓比特幣很快洗白,從而奠定其國際儲備貨幣的地位。比特幣的另一重要用途——隱私保護的需求卻不會減少,這樣的需求將會轉入隱私幣。因此2021年同時會存在另一個主流趨勢,就是以XMR、GRIN為代表的隱私幣的爆發。其它的山寨幣暫時看不到出路。[2020/12/29 15:58:02]
由于協議內存放著各類有價資產,這讓DeFi協議成為了被攻擊重災區。黑客們通過各種手段向合約發起攻擊,據PeckShield派盾統計2020年DeFi安全事件達到60起,損失逾2.5億美元,占統計的黑客攻擊造成總損失的12.5%,遠超2019年數據。
圖片來源:PeckShield派盾
發生在DeFi合約中最常見的三種攻擊分別為預言機操縱攻擊(閃電貸)、重入攻擊以及代碼漏洞。
2020減半幣種行情播報:金色財經數據顯示,11個減產幣種10漲1跌,唯一下跌幣種為XZC,當前報價為4.3109美元,24h跌幅為2.09%。漲幅前三為,ETC(7.4795美元,+12.67%)、BEAM(0.3748美元,+10.22%)、BTC(9113.56美元,+3.45%)。[2020/5/3]
?預言機操縱(閃電貸、套利)攻擊?
在現今DeFi大熱的背景下,預言機攻擊極為普遍,因為大多數DeFi協議都需要通過喂價預言機來提供價格信息。一般來說,喂價預言機分為鏈上和鏈下兩種,鏈上預言機通過抓取去中心化交易所價格來獲取信息,而鏈下預言機則從中心化交易所獲得價格。
這兩種喂價預言機方式各有優劣,從鏈上獲取價格可以通過協議完全去信任化,但存在被操縱攻擊風險。鏈下預言機雖不存在被閃電貸攻擊風險,但其價格源需依賴于中心化交易所提供,存在中心化風險,且鏈下數據在鏈上反映較慢。
在鏈上,用戶可以通過閃電貸工具瞬間完成大額借款、兌換和大額存入等一系列操作,這使得攻擊者可以自行創造套利機會,從而操控去中心化交易所價格來擾亂其他使用該價格的DeFi應用,最終完成套利攻擊,典型案例有bZx,CheeseBank,Harvest以及Valley等喂價預言機攻擊事件。
動態 | 世界經濟論壇2020年預測:公共部門將越來越多使用智能合約:世界經濟論壇日前宣布對區塊鏈領域的預測稱,2019年見證了從大肆宣傳到質量的轉變,而在2020年,“區塊鏈有機會產生社會影響。”該非政府組織表示,未來區塊鏈項目必須建立更多的合作伙伴關系才能成功,公共部門將越來越多地使用智能合約。(Fxstreet)[2020/1/7]
重入攻擊?
重入攻擊是一種危害性極高的攻擊手段,可以輕松榨干合約內所有資產。著名的theDAO被盜事件就是攻擊者運用重入攻擊導致以太坊硬分叉,損失了價值5000萬美元的以太坊。
智能合約不僅可以相互調用,也可以在內部調用。一般情況下,這不會產生任何問題,但當調用使得合約狀態不一致時,例如取款金額大于合約內金額時,或當某合約還未將余額設為零前就發起轉賬,此時攻擊者可濫用提現功能提取合約中所有余額。今年經典的重入攻擊案例有:Akropolis,dForce以及Origin。
合約漏洞?
此類攻擊通常是由于開發者在編寫智能合約時,出現邏輯漏洞或自留后門所導致的。大多合約漏洞出現在未經審計的合約上,較常見的手法是攻擊者通過合約漏洞無限鑄幣隨后榨干流動性池內資產,凍結合約內資產,或是合約開發者取走合約資產后跑路。
聲音 | 百度區塊鏈總經理:2020年百度區塊鏈有三大規劃:金色財經報道,在回答有關“百度在區塊鏈技術及場景應用落地上有哪些規劃”的問題時,百度區塊鏈總經理肖偉表示,2020年,區塊鏈有三大重點領域:第一,基礎方向聯盟鏈是最核心的,會把聯盟鏈的能力做到最好。第二,可信計算加區塊鏈,也是一個非常重點需要投入的方向,來解決數據流通的問題,解決數據的可用不可見。第三,會探索一些分布式身份的應用,還有版權、供應鏈金融等等這些垂直的應用。前兩個是大的技術方向,后面是一些場景應用。目前,百度已經發布版權保護業務、證據保全業務、全球首個基于區塊鏈+分布式身份,這也是前期布局。[2019/12/20]
合約保險?
在去中心化的世界中,由于DeFi應用迭代速度過快,為了追趕熱度許多應用的合約在沒有通過第三方審計的情況下就進行了發布。由智能合約漏洞而損失的資產也是不計其數。許多用戶可能會抱怨項目方不負責任,但有些項目并沒有公開項目信息,由于FOMO情緒,用戶為了搶先一步參與到項目中,會通過蛛絲馬跡尋找尚未公開的項目合約。
例如在9月29日凌晨,YFI創始人在其參與開發的新項目的推特上發布了兩張項目相關設計圖,隨后被黑客找到此項目合約地址并利用閃電貸攻擊盜取了1600萬枚DAI。?
合約審計對于高速迭代的DeFi產品來說耗費時間過長,保險或許會是更好選擇。DeFi要發展,需要保險這樣的基礎設施。如果只是靠DeFi協議用戶自行去購買保險,這是不現實的。一種方案可由協議的交易費用或挖礦收益中抽取一部分,存入項目的金庫中,金庫中一部分用于購買協議保險。
DeFi合約外的其他攻擊?
除了合約攻擊外,公鏈攻擊、交易所以及錢包攻擊也不占少數。大多數公鏈攻擊的方式為51%攻擊,自年初開始,多個區塊鏈項目相繼遭受51%雙花攻擊。1月到2月間,BTG網絡多次遭到雙花攻擊,損失達到5萬美元以上。7到8月之間,以太經典遭受了三次51%攻擊,損失高達上千萬美元,OKEx一度考慮從交易所中下架ETC。11月8日,GrinNetwork受到51%攻擊,由于反應及時,故并未造成損失。
發生51%攻擊的主要原因在于區塊鏈項目的共識程度不夠,礦工轉向其他項目,致使維護網絡運轉的算力下降,給了攻擊者可乘之機。例如ETC、BTG、AE,這些都是幾年前的老牌區塊鏈項目,項目熱度嚴重下降,幣價表現不佳,由于礦工收益與幣價有直接關系,礦工們也就順勢投身收益更高的公鏈中。
當然,一部分新項目也會成為被攻擊對象,雖然幣價表現一般,但因其尚未凝聚強大的社區,故而沒有足夠的共識和算力,攻擊成本也相對較低,最終也會是黑客下手的目標。從具體實現方式上看,隨著被攻擊網絡算力下降或其本身的算力不足,攻擊者可通過租用算力獲得足夠的算力進行攻擊,并且攻擊成本較低,收益一般遠高于成本。
圖片來源:Crypto51.app
Kucoin交易所熱錢包被盜事件也引起了圈內人的重點關注。本次入侵影響了該交易所的比特幣、以太坊和ERC-20熱錢包,平臺損失了近2.81億美元資產。然而KuCoin的攻擊者貌似十分著急,試圖直接將USDT打散充入幣安和抹茶交易所變現,然而,還沒來得及操作相關賬戶就被兩家交易所及時凍結。隨后Bitfinex、Tether也相繼凍結KuCoin攻擊地址上約3300萬USDT,忙活了大半天,這名黑客似乎什么也沒有得到。
總結?
在魔幻的2020年加密市場經歷了太多太多,在312過后人們重拾信心,DeFi所點燃的FOMO情緒不亞于當年的IC0,用戶的熱情無疑讓開發者更有動力開發出更有趣、優質、吸引人的鏈上應用,當然安全性是第一位的。現今傳統金融機構已經將目光聚集在加密資產之上,加密金融應用將必定成為關注焦點,若想讓加密金融應用完全去中心化,那么首要關注點就必須是安全性。在未來,將必定出現合約保險外的其他衍生品來對沖資產安全風險,日益完善的技術也將從各維度增加攻擊成本。相信在加密市場飛速發展的明天,安全事件會越來越少!
安全問題
鏈上交易
本文來源:
區塊律動BlockBeats
文章作者:律動研究院
我要糾錯
聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。
提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。
金色財經>區塊鏈>2020鏈上安全報告:DeFi攻擊60逾起損失超2.5億美元
狂人本著負責,專注,誠懇的態度用心寫每一篇分析文章,特點鮮明,不做作,不浮夸!本內容中的信息及數據來源于公開可獲得資料,力求準確可靠,但對信息的準確性及完整性不做任何保證,本內容不構成投資建議.
1900/1/1 0:00:00原標題:隱秘的交易:起底USDT場外交易虛擬貨幣面對面場外交易,看似安全實則暗藏危機。“相較于在虛擬貨幣交易所轉賬,面對面現金交收可以繞開銀行審查,實時確保交易完成,避免交易任意一方卷錢跑路,在.
1900/1/1 0:00:00基于零知識證明的金融隱私公鏈?Findora?今日宣布,已與區塊鏈服務網絡BSN國際達成合作。本次合作,Findora通過API和SDK將其技術集成到BSN國際網絡基礎架構中,BSN國際則將Fi.
1900/1/1 0:00:00最近在研究Defi衍生品價值評估的問題,比如Uniswap的Liquitidyprovidor(LP)Token該如何估值呢?直觀的感覺就是LPToken的價格等于Pair中代幣數量的總價值除以.
1900/1/1 0:00:002020年對所有人來說都是充滿挑戰的一年,于以太坊,這是積極發展的一年。在這篇文章中,我們來聊聊在以太坊上看到的一些趨勢,包括: 基礎數據 DeFi Eth2和Layer2 以太坊上的比特幣 N.
1900/1/1 0:00:00我相信現在所有在做Java程序開發的人員當中,沒有一個不知道Spring框架的。現在的Java應用程序應該依然有很多是在Spring的框架上開發.
1900/1/1 0:00:00