原文标题:《TheStateofCryptoSecurity》
作者:KofiKufuor
编译:Katie辜,Odaily星球日报
黑客今年从加密应用程序中窃取了20多亿美元。国庆期间,行业又经历了?TokenPocket闪兑服务商被盗和?BNB??Chain?跨链?桥BSCTokenHub遭攻击的加密盗窃事件。
随着加密生态系统的发展,安全攻防战只会越演越烈。因此,本文将:
提出加密安全事件的分类法;
列举出迄今为止让黑客最赚钱的攻击手段;
回顾当前用于防止黑客攻击的工具的优缺点;
讨论加密安全的未来。
一、黑客类型
加密应用生态系统由互操作协议组成,由智能合约支持,依赖于链和互联网的底层基础设施。此堆栈的每一层都有其独有的漏洞。我们可以根据利用的堆栈层和使用的方法对加密黑客进行分类。
攻击基础设施
对基础设施层的攻击利用了加密应用程序的底层系统中的弱点:依赖用于达成共识的区块链、用于前端的互联网服务和用于私钥管理的工具。
攻击智能合约语言
养老金账户平台IRA因黑客事件对Gemini交易所提起诉讼:6月7日消息,养老金账户平台IRA Financial Trust对加密货币交易所Gemini提起诉讼,原因是Gemini没有适当的保护措施来保护客户的加密资产。据此前报道,2月8日IRA Financial Trust称遭到黑客攻击,导致3600万美元的加密货币被盗,这些资产属于Gemini保管的客户退休账户。在IRA通知Gemini后,犯罪分子仍然可以将资金从交易所客户的账户中转移出去。
据悉,自事件曝光以来,两家公司一直在互相指责对方为资金损失负责。IRA基金一直在努力为其受影响的客户寻找解决方案,现在已承诺使用诉讼所得赔偿受事件影响的客户。(watcher.guru)[2022/6/7 4:08:17]
这一层的黑客利用了智能合约语言的弱点和漏洞,例如可重入性和实现委托调用的危险,这些可以通过遵循安全规范来规避。
攻击协议逻辑
这类攻击利用单个应用程序业务逻辑中的错误。如果黑客发现了一个错误,他们可以利用这个错误触发应用程序开发者没有预料到的行为。
例如,如果一个新的?DEX?在决定用户从交易中获得多少钱的数学方程中出现了错误,那么这个错误就可以被利用,使用户从交易中获得比本应可能获得的更多的钱。
协议逻辑级攻击还可以利用用于控制应用程序参数的治理系统。
攻击生态系统
许多知名的加密黑客利用了多个应用程序之间的交互。最常见的是黑客利用一个协议中的逻辑错误,利用从另一个协议借来的资金来扩大攻击规模。
日本交易所Fisco起诉币安 称后者在2018年“Zaif黑客事件”中为提供便利:日本加密货币交易所Fisco日前已于美国法院提起了针对币安(Binance)的诉讼,Fisco声称在2018年Zaif(现已被Fisco收购)遭遇黑客入侵丢失6300万美元的加密货币后,币安为黑客提供了便利。Fisco在起诉书中指出,通过链上分析追踪到了一个比特币地址,黑客自这个地址通过币安清洗了1451.7枚比特币,币安本有着冻结该账户并组织交易的能力,但由于币安缺乏行动,Zaif的客户和交易所本身都遭受了财务损失。Fisco要求获得币安的赔偿,具体金额将在庭审中确定。(Finance Magnates)[2020/9/15]
通常,用于生态系统攻击的资金是通过闪电贷借来的。在执行闪电贷时,你可以从?Aave??和?dYdX??等协议的流动性池中借到你想要的金额。
二、数据分析
我收集了2020年以来100起规模最大的加密货币黑客攻击的数据集,被盗资金总计50亿美元。
生态系统受到的攻击最为频繁。他们占41%。
协议逻辑漏洞导致了最多的金钱损失。
金额最大的三个攻击:Ronin跨链桥攻击,PolyNetwork攻击和BSC跨链桥攻击。
加密货币追踪公司:推特黑客事件中积累的被盗比特币正在移动:据加密货币追踪公司Chainalysis称,在周三的巨大推特黑客事件中积累的被盗比特币已经“在移动”。Chainalysis正在监视与攻击相关的四个钱包。最普遍的地址从375笔交易中获得了12万美元的比特币。辅助地址从100笔交易中获得了6,700美元的比特币。一个XRP钱包什么也没得到。到目前为止,一个尚无关联的钱包总共收到了5枚比特币(46055美元)。Chainalysis发言人Maddie Kennedy说:“我们正在与客户合作,从这个钱包中寻找线索。”一个向子发送了4万美元比特币的日本钱包似乎是这次事件的最大受害者。此外,目前尚未有BTC兑现到法定货币。(Coindesk)[2020/7/16]
如果排除前三大攻击,则针对基础设施的被盗案件是损失资金最多的类别。
三、黑客是如何下手的?
基础设施
在61%的基础设施漏洞中,私钥是通过未知的方式泄露的。黑客可能通过网络钓鱼邮件和虚假招聘广告等社会攻击获得这些私钥。
动态 | 韩国多部门提交加密货币交易所黑客事件数据,Upbit否认遭黑客入侵:由于没有采取足够措施防止加密货币交易所遭受黑客攻击,韩国政府饱受批评。据bitcoin.com援引当地媒体周一的报道,韩国科技部,信息通信部,韩国通信委员会(KCC)和国家警察局已向国民议会提交了加密货币交易所黑客事件的数据。国民议会科学和技术信息及通信委员会成员Min Kyung-wook透露,数据显示,共发生了七起黑客攻击事件,导致了1288亿韩元(约合1.15亿美元)的损失。监管机构建议交易所立即采取行动,改善例如缺乏防火墙的信息安全系统,缺乏系统访问控制,以及防范恶意代码的不足。在总计1288亿韩元的损失中,价值1100亿韩元(约合9850万美元)的加密货币从三个加密交易所中被盗,分别为Youbit、Coinrail及Bithumb。这三家交易所即使在收到政府安全检查要求后还是遭到了攻击。同时,加密货币交易所Upbit7月8日发表声明否认其遭到黑客入侵的传闻。[2018/7/11]
智能合约语言
可重入性攻击是智能合约语言级别上最热门的攻击类型。
在可重入攻击中,易受攻击的智能合约中的函数调用恶意合约上的一个函数。或者,当易受攻击的合约向恶意的合约发送代币时,可以触发恶意合约中的函数。然后,在合约更新其余额之前,恶意函数在递归循环中回调易受攻击的函数。
例如,在Siren?Protocol黑客攻击中,提取质押品代币的函数很容易被重入,并被反复调用,直到所有质押品耗尽。
Coincheck黑客事件已经约有半数被洗:Coincheck黑客事件之后,被盗总数约580亿日元的NEM目前已约有半数以上被交换成为其他加密货币。2月7日,监视盗窃嫌疑人账户的白色黑客Cheena注意到,有少量NEM被汇向其他的不特定账户,同时发现嫌疑人在暗网(dark web)开设了自己的交易所,并以低于市场价15%的价格来吸引顾客购买。但是结算时用的加密货币不仅仅是NEM,也包括了比特币以及其他加密货币,清晰显示了这是“”行为。白色黑客表示尽管追踪很困难,但还是会坚持下去。[2018/3/19]
协议逻辑
协议层上的大多数漏洞都是特定应用程序独有的,因为每个应用程序都有唯一的逻辑。
访问控制错误是样本组中最常见的重复出现的问题。例如,在PolyNetwork黑客事件中,“EthCrossChainManager”合约有一个任何人都可以调用的功能来执行跨链交易。
注意:有很多情况下,多个协议使用相同的技术会被黑客攻击,因为团队分叉了一个有漏洞的代码库。
例如,许多?Compound??分叉,如CREAM、HundredFinance和VoltageFinance都成为了重入性攻击的受害者,因为Compound的代码在允许交互之前无需检查交互的效果。这对Compound来说很有效,因为他们审查了他们支持的每个新代币的漏洞,但制作分叉的团队并没有这么做。
生态系统
98%的生态系统攻击中都使用了闪电贷。
闪电贷攻击通常遵循以下公式:使用贷款进行大规模交易,推高贷款协议用作喂价的AMM上的代币价格。然后,在同一笔交易中,使用膨胀的代币作为质押品,获得远高于其真实价值的贷款。
四、黑客在哪里下手?
根据失窃的合约或钱包所在的链对数据集进行分析。以太坊的黑客数量最多,占样本组的45%。币安?智能链以20%的份额位居第二。
造成这种情况的因素有很多:
以太坊和BSC拥有最高的TVL,所以对这些链上的黑客来说,奖励的规模更大。
大多数加密货币开发人员都知道Solidity,这是以太坊和BSC上的智能合约语言,而且有更复杂的工具支持该语言。
以太坊的被盗资金最多。BSC位居第二。
涉及跨链桥或多链应用程序对数据集产生了巨大的影响。尽管这些黑客事件只占总数的10%,但却窃取了25.2亿美元的资金。
五、如何防止黑客攻击?
对于威胁堆栈的每一层,我们都可以使用一些工具来早期识别潜在的攻击载体并防止攻击的发生。
基础设施
大多数大型基础设施黑客攻击都涉及黑客获取诸如私钥等敏感信息。遵循良好的操作安全步骤并进行经常性的威胁建模可以降低这种情况发生的可能性。拥有良好OPSEC流程的开发团队可以:
识别敏感数据;
识别潜在的威胁;
找出现有安全防御的漏洞和弱点;
确定每个漏洞的威胁级别;
制定并实施减轻威胁的计划。
智能合约语言和协议逻辑
1.模糊测试工具
模糊测试工具,如Echidna,测试智能合约如何对大量随机生成的交易做出反应。这是检测特定输入产生意外结果的边缘情况的好方法。
2.静态分析
静态分析工具,如Slither和Mythril,自动检测智能合约中的漏洞。这些工具非常适合快速找出常见的漏洞,但它们只能捕获一组预定义的问题。如果智能合约存在工具规范中没有的问题,也不会被发现。
3.形式化验证
形式化验证工具,如Certora,将比较智能合约与开发人员编写的规范。该规范详细说明了代码应该做什么以及所需的属性。例如,开发人员在构建一个贷款应用程序时,会指定每笔贷款都必须有足够的质押品支持。如果智能合约的任何可能行为不符合规范,则形式化验证者将识别该违规行为。
形式化验证的缺点是测试只和规范保持一样的标准。如果所提供的规范没有说明某些行为或过于宽松,那么验证过程将无法捕获所有的错误。
4.审计和同行评审
在审计或同行评审期间,一组受信任的开发人员将测试和评审项目代码。审计员将撰写一份报告,详细说明他们发现的漏洞,以及如何修复这些问题的建议。
让专业的第三方评审合约是发现原始团队遗漏的漏洞的好方法。然而,审核员也是人,他们永远不会捕抓到所有漏洞。此外要信任审计员,如果审计员发现了问题,他们会告诉您,而不是自己利用它。
5.生态系统攻击
尽管生态系统攻击是最常见和最具破坏性的类型,现有工具中没有很多工具适合防止这类攻击。自动安全工具专注于每次在一个合约中查找错误。审计通常无法解决如何利用生态系统中多个协议之间的交互。
像Forta和tenerlyAlerts这样的监视工具可以在发生组合性攻击时提供早期警告,以便团队采取行动。但在闪电贷攻击中,资金通常在单笔交易中被盗,因此任何预警都太晚了,无法防止巨大损失。
威胁检测模型可以用来发现内存池中的恶意交易,在节点处理它们之前,交易就存在于内存池中,但黑客可以通过使用flashbot等服务直接将交易发送给矿工,从而绕过这些检查。
六、加密安全的未来
我对加密安全的未来有两个预测:
1.我相信最好的团队将从把安全视为基于事件的实践转变为将其视为一个连续的过程。他们将:
对主代码库中的每一个新增代码执行静态分析和模糊处理;
对每一次重大升级都进行正式验证;
建立具有响应动作的监视和警报系统;
让一些团队成员制定和维护安全自动化和攻击响应计划。
安全工作不应在审计后结束。在许多情况下,例如Nomad跨链桥黑客攻击,其漏洞是基于审计后升级中引入的错误。
2.?加密安全社区应对黑客攻击的过程将变得更有组织和精简。每当黑客攻击发生时,贡献者就会涌入加密安全群组聊天,渴望提供帮助,但缺乏组织意味着重要细节可能会在混乱中丢失。我认为在未来,这些群聊将转变成更有条理的组织形式:
使用链上监控和社交媒体监控工具,快速检测主动攻击;
使用安全信息和事件管理工具协调工作;
采取独立的工作流程,使用不同的渠道沟通黑白客的工作、数据分析、根本原因和其他任务。
原文标题:《总结:Web3用户体验的四个层》作者:JonCrabb编译:ChinaDeFi本文试图为Web3UX创建一个更大的框架.
1900/1/1 0:00:00原文标题:《CryptoDarlingHeliumPromisedA‘People’sNetwork.’Instead,ItsExecutivesGotRich》作者:AlexKonrad.
1900/1/1 0:00:00作者:LindaXie?编译:翻译公会Gink,?TheSeeDAO?去中心化自治组织是一个围绕特定使命组织起来的团体。DAO通过一套在区块链上执行的共享规则进行协作.
1900/1/1 0:00:00链捕手消息,据联邦贸易委员会的一份报告显示,Facebook、Instagram是加密的“温床”,此类局正在Instagram和WhatsApp等主要平台上蓬勃发展.
1900/1/1 0:00:00整理:润升,链捕手重要资讯1、星巴克推出Web3平台StarbucksOdyssey9月12日消息,星巴克宣布推出Web3平台StarbucksOdyssey.
1900/1/1 0:00:00作者:ComingChat2022年9月2日,杭州Web3开发者大会在鼎创财富中心圆满落幕。大会共有六百多人线上报名,到场150多人,线上直播超过一千人次收看.
1900/1/1 0:00:00