月亮链 月亮链
Ctrl+D收藏月亮链

BONDLY:黑客事件频发,请收下这篇Crypto防盗指南_One Basis Bond

作者:

时间:1900/1/1 0:00:00

黑客今年从加密应用程序中窃取了20多亿美元。国庆期间,行业又经历了TokenPocket闪兑服务商被盗和BNBChain跨链桥BSCTokenHub遭攻击的加密盗窃事件。随着加密生态系统的发展,安全攻防战只会越演越烈。因此,本文将:提出加密安全事件的分类法;列举出迄今为止让黑客最赚钱的攻击手段;回顾当前用于防止黑客攻击的工具的优缺点;讨论加密安全的未来。黑客类型

加密应用生态系统由互操作协议组成,由智能合约支持,依赖于链和互联网的底层基础设施。此堆栈的每一层都有其独有的漏洞。我们可以根据利用的堆栈层和使用的方法对加密黑客进行分类。

攻击基础设施

对基础设施层的攻击利用了加密应用程序的底层系统中的弱点:依赖用于达成共识的区块链、用于前端的互联网服务和用于私钥管理的工具。攻击智能合约语言

这一层的黑客利用了智能合约语言的弱点和漏洞,例如可重入性和实现委托调用的危险,这些可以通过遵循安全规范来规避。攻击协议逻辑

SBF:Mango黑客事件表明预言机规范的重要性:金色财经报道,FTX创始人SBF在社交媒体分析了Mango Markets黑客时间的教训,他表示:“真正的问题取决于预言机的规范是什么,预言机准确地报告了 MNGO 的当前价格,只是'当前价格'与'公平价格'并不接近。一些头寸,如 MNGO,规模庞大且流动性不足,以至于风险引擎(提供市场风险测量和投资分析的软件)迫使头寸被完全抵押。” 完全抵押意味着在整个贷款过程中,借款人提供抵押品。在这种情况下,抵押品是加密货币。Mango Markets 要求初始抵押品比率为 120%,维持抵押品比率为 110%。如果用户的抵押率低于 110%,账户将被清算,而Mango Market 攻击者利用漏洞来模拟拥有足够的抵押品。

SBF补充称:“如果一个预言机报告‘MNGO:0.40 美元’,是不是错了?如果它只是承诺告诉你 MNGO 目前的交易价格,而且,在短时间内,在某些交易所,MNGO 实际上的交易价格为 0.40 美元。问题在于使用原始预言机价格。预言机有时能告诉你一切,有时也无法代表任何信息,它们只是反映市场的历史和现状,风险引擎的工作就是利用这些信息,并决定哪些头寸是安全的,有时风险引擎不能只是反刍预言机所说的话,而是要自己去认真分析。”[2022/10/13 10:33:16]

这类攻击利用单个应用程序业务逻辑中的错误。如果黑客发现了一个错误,他们可以利用这个错误触发应用程序开发者没有预料到的行为。例如,如果一个新的DEX在决定用户从交易中获得多少钱的数学方程中出现了错误,那么这个错误就可以被利用,使用户从交易中获得比本应可能获得的更多的钱。协议逻辑级攻击还可以利用用于控制应用程序参数的治理系统。攻击生态系统

BONDLY官方:Bondly将向在昨晚黑客事故期间失去流动性的持有者重新发行Bondly代币:Bondly官方表示,Bondly代币重新部署的更新,Bondly 将向在昨晚黑客事故期间失去流动性的持有者重新发行Bondly代币,Bondly将很快提供有关重新发行的更多详细信息并继续建议用户在重新部署之前不要再购买Bondly代币,所有代币持有者都将发行新代币作为此次重新部署的一部分。具体snapshot时间需等待后续通知。[2021/7/16 0:56:33]

许多知名的加密黑客利用了多个应用程序之间的交互。最常见的是黑客利用一个协议中的逻辑错误,利用从另一个协议借来的资金来扩大攻击规模。通常,用于生态系统攻击的资金是通过闪电贷借来的。在执行闪电贷时,你可以从Aave和dYdX等协议的流动性池中借到你想要的金额。数据分析

我收集了2020年以来100起规模最大的加密货币黑客攻击的数据集,被盗资金总计50亿美元。生态系统受到的攻击最为频繁。他们占41%。

协议逻辑漏洞导致了最多的金钱损失。金额最大的三个攻击:Ronin跨链桥攻击,PolyNetwork攻击和BSC跨链桥攻击。

美国政府要求EtherDelta黑客事件受害者提供信息:金色财经报道,美国总检察长和特勤局已经要求2017年EtherDelta黑客事件的受害者提供信息。据悉,美国加利福尼亚州北区检察官办公室在2019年8月就黑客攻击事件起诉了Elliot Gunton和Anthony Tyler Nashatka。两人涉嫌修改了EtherDelta交易所的域名系统,以将用户重定向到类似于真实平台的假网站。[2021/5/22 22:30:55]

如果排除前三大攻击,则针对基础设施的被盗案件是损失资金最多的类别。

黑客是如何下手的?

基础设施

在61%的基础设施漏洞中,私钥是通过未知的方式泄露的。黑客可能通过网络钓鱼邮件和虚假招聘广告等社会攻击获得这些私钥。

Polkatrain:此次黑客事件系市场科学家利用类似滑点问题恶意攻击:据官方最新消息,Polkatrain团队已经查明并核实,此次黑客事件是一起针对POLT项目的黑客利用类似滑点问题恶意攻击行为,并非之前慢雾、币世界、金色财经等声称的所谓薅羊毛事故(通过调用swap函数薅取返佣奖励),对于这些不实言论,Polkatrain团队将保留自己的追究权利。在社区的共同努力下,关于黑客盗取约5万个DOT的事件(项目方近4万个DOT,用户近1万个DOT),Polkatrain目前已经有重大进展,后续将持续跟踪此事情。[2021/4/6 19:50:46]

智能合约语言

可重入性攻击是智能合约语言级别上最热门的攻击类型。在可重入攻击中,易受攻击的智能合约中的函数调用恶意合约上的一个函数。或者,当易受攻击的合约向恶意的合约发送代币时,可以触发恶意合约中的函数。然后,在合约更新其余额之前,恶意函数在递归循环中回调易受攻击的函数。例如,在SirenProtocol黑客攻击中,提取质押品代币的函数很容易被重入,并被反复调用,直到所有质押品耗尽。

报告:2020年加密盗窃及黑客事件有所减少 但DeFi领域犯罪活动正持续增长:据路透社1月28日消息,CipherTrace报告显示,由于加密市场各部分参与者增强了安全系统,2020年加密货币盗窃、黑客攻击及欺诈事件造成的损失下降了57%,损失额已降至19亿美元(这一数字在2019年45亿美元),但与此同时,“DeFi”领域的犯罪活动正在持续增长。[2021/1/28 14:15:59]

协议逻辑

协议层上的大多数漏洞都是特定应用程序独有的,因为每个应用程序都有唯一的逻辑。访问控制错误是样本组中最常见的重复出现的问题。例如,在PolyNetwork黑客事件中,“EthCrossChainManager”合约有一个任何人都可以调用的功能来执行跨链交易。注意:有很多情况下,多个协议使用相同的技术会被黑客攻击,因为团队分叉了一个有漏洞的代码库。例如,许多Compound分叉,如CREAM、HundredFinance和VoltageFinance都成为了重入性攻击的受害者,因为Compound的代码在允许交互之前无需检查交互的效果。这对Compound来说很有效,因为他们审查了他们支持的每个新代币的漏洞,但制作分叉的团队并没有这么做。

生态系统

98%的生态系统攻击中都使用了闪电贷。闪电贷攻击通常遵循以下公式:使用贷款进行大规模交易,推高贷款协议用作喂价的AMM上的代币价格。然后,在同一笔交易中,使用膨胀的代币作为质押品,获得远高于其真实价值的贷款。

黑客在哪里下手?

根据失窃的合约或钱包所在的链对数据集进行分析。以太坊的黑客数量最多,占样本组的45%。币安智能链以20%的份额位居第二。造成这种情况的因素有很多:以太坊和BSC拥有最高的TVL,所以对这些链上的黑客来说,奖励的规模更大。大多数加密货币开发人员都知道Solidity,这是以太坊和BSC上的智能合约语言,而且有更复杂的工具支持该语言。

以太坊的被盗资金最多。BSC位居第二。

涉及跨链桥或多链应用程序对数据集产生了巨大的影响。尽管这些黑客事件只占总数的10%,但却窃取了25.2亿美元的资金。

如何防止黑客攻击?

对于威胁堆栈的每一层,我们都可以使用一些工具来早期识别潜在的攻击载体并防止攻击的发生。基础设施

大多数大型基础设施黑客攻击都涉及黑客获取诸如私钥等敏感信息。遵循良好的操作安全步骤并进行经常性的威胁建模可以降低这种情况发生的可能性。拥有良好OPSEC流程的开发团队可以:识别敏感数据;识别潜在的威胁;找出现有安全防御的漏洞和弱点;确定每个漏洞的威胁级别;制定并实施减轻威胁的计划。智能合约语言和协议逻辑

1.模糊测试工具模糊测试工具,如Echidna,测试智能合约如何对大量随机生成的交易做出反应。这是检测特定输入产生意外结果的边缘情况的好方法。2.静态分析静态分析工具,如Slither和Mythril,自动检测智能合约中的漏洞。这些工具非常适合快速找出常见的漏洞,但它们只能捕获一组预定义的问题。如果智能合约存在工具规范中没有的问题,也不会被发现。3.形式化验证形式化验证工具,如Certora,将比较智能合约与开发人员编写的规范。该规范详细说明了代码应该做什么以及所需的属性。例如,开发人员在构建一个贷款应用程序时,会指定每笔贷款都必须有足够的质押品支持。如果智能合约的任何可能行为不符合规范,则形式化验证者将识别该违规行为。形式化验证的缺点是测试只和规范保持一样的标准。如果所提供的规范没有说明某些行为或过于宽松,那么验证过程将无法捕获所有的错误。4.审计和同行评审在审计或同行评审期间,一组受信任的开发人员将测试和评审项目代码。审计员将撰写一份报告,详细说明他们发现的漏洞,以及如何修复这些问题的建议。让专业的第三方评审合约是发现原始团队遗漏的漏洞的好方法。然而,审核员也是人,他们永远不会捕抓到所有漏洞。此外要信任审计员,如果审计员发现了问题,他们会告诉您,而不是自己利用它。5.生态系统攻击尽管生态系统攻击是最常见和最具破坏性的类型,现有工具中没有很多工具适合防止这类攻击。自动安全工具专注于每次在一个合约中查找错误。审计通常无法解决如何利用生态系统中多个协议之间的交互。像Forta和tenerlyAlerts这样的监视工具可以在发生组合性攻击时提供早期警告,以便团队采取行动。但在闪电贷攻击中,资金通常在单笔交易中被盗,因此任何预警都太晚了,无法防止巨大损失。威胁检测模型可以用来发现内存池中的恶意交易,在节点处理它们之前,交易就存在于内存池中,但黑客可以通过使用flashbot等服务直接将交易发送给矿工,从而绕过这些检查。加密安全的未来

我对加密安全的未来有两个预测:1.我相信最好的团队将从把安全视为基于事件的实践转变为将其视为一个连续的过程。他们将:对主代码库中的每一个新增代码执行静态分析和模糊处理;对每一次重大升级都进行正式验证;建立具有响应动作的监视和警报系统;让一些团队成员制定和维护安全自动化和攻击响应计划。安全工作不应在审计后结束。在许多情况下,例如Nomad跨链桥黑客攻击,其漏洞是基于审计后升级中引入的错误。2.加密安全社区应对黑客攻击的过程将变得更有组织和精简。每当黑客攻击发生时,贡献者就会涌入加密安全群组聊天,渴望提供帮助,但缺乏组织意味着重要细节可能会在混乱中丢失。我认为在未来,这些群聊将转变成更有条理的组织形式:使用链上监控和社交媒体监控工具,快速检测主动攻击;使用安全信息和事件管理工具协调工作;采取独立的工作流程,使用不同的渠道沟通黑白客的工作、数据分析、根本原因和其他任务。相关阅读

回顾史上规模最大的十次跨链桥攻击

标签:BONDLYBONNDLBONDbondly币的前景BonFipendle币One Basis Bond

欧易okex官网热门资讯
WEB:全景解读Web3增长工具赛道_COM

加密市场虽然处于熊市,但Web3增长工具市场正在不断升温,这里有一份Web3增长工具清单请查收.

1900/1/1 0:00:00
THE:一份来自a16z创始人Marc Andreessen的阅读书单_togetherbnb游戏解说

一家互联网新闻机构正在问很多我认识的人,还有一些我不认识的人:最近在做什么。天知道他们最终会发表什么,所以我想我就写这个吧.

1900/1/1 0:00:00
ETH:闷声发大财?链上卫士解析“ETH分叉套利20万刀”细节_SDC

2022年9月15日14时42分,欧科云链OKLink多链浏览器监测到以太坊Merge首个PoS区块诞生,自此以太坊共识机制正式从PoW转为PoS.

1900/1/1 0:00:00
EFI:每周编辑精选 Weekly Editors' Picks(1001-1014)_PPL

「每周编辑精选」是Odaily星球日报的一档“功能性”栏目。星球日报在每周覆盖大量即时资讯的基础上,也会发布许多优质的深度分析内容,但它们也许会藏在信息流和热点新闻中,与你擦肩而过.

1900/1/1 0:00:00
WEB:向移动端发展会是Web3的突破契机吗?_国内可以做加密货币吗

熊市是考虑从事加密货币的好时机。在一个昼夜不停的行业中工作是有社会、精神和身体成本的。由于代币的工作方式,区块链生态系统中"成功"创始人的定义与过去传统世界中的定义略有不同.

1900/1/1 0:00:00
AMM:a16z:详解衡量AMM LP成本的新方法LVR_HAMMER价格

自动做市商有两种类型的参与者:一种是交易者,他们将一种代币交易成另一种;另一种是流动性提供者,他们向AMM提供代币流动性来获取一部分交易费用.

1900/1/1 0:00:00