月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 聚币 > 正文

ANC:近4亿美元损失,Solana的黑客攻击都有什么共同点?_Asia Influencer Platform

作者:

时间:1900/1/1 0:00:00

自一年前以来,Solana生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),这些黑客攻击总共造成了近4亿美元的损失。重要的是,这些黑客攻击(SlopeWallet除外)大多是由于智能合约漏洞,即链上协议的编码缺陷:Wormhole:3.2亿美元被盗,原因是缺少帐户验证;CashioApp:由于缺少账户验证,导致5000万美元被盗;CremaFinance:1000万美元被盗(返还800万美元),原因是缺少账户验证;Nirvana:通过闪贷操纵价格,350万美元被盗;Slope钱包:由于助记词被泄露,400万美元被盗。在本文中,我们回顾了这些攻击的本质,并旨在找到有效的解决方案,以防止未来发生此类攻击。这些黑客有什么共同之处?

Coinbase股价开盘后升至64.09美元高点,涨幅近4%:金色财经报道,在宣布推出以太坊L2“Base”之后,Coinbase股价开盘后出现上涨并升至64.09美元高点,涨幅接近4%,之后小幅回落至62.15美元,当前Coinbase公司市值约为140.9亿美元。[2023/2/24 12:26:09]

1.几乎所有黑客(SlopeWallet除外)都精心设计了一个或多个假账户。Wormhole:黑客创建了两个假的sysvar帐户来跳过密钥验证。CashioApp:黑客创建了8个假账户来通过有效性检查。CremaFinance:黑客创建了一个虚假的帐户,并使用闪贷窃取费用。Nirvana:黑客精心制作了一个闪贷账户来操纵代币价格。SlopeWallet:黑客通过泄露的助记词直接获取了用户钱包的私钥。2.所有黑客攻击都涉及多次交易Wormhole:整个攻击用了6个交易来完成:第一个tx创建第一个假sysvar帐户,最后一个tx调用complete_wrapped。CashioApp:整个攻击从创建所有的假账户到发送最后的攻击交易,期间进行了超过10笔的交易。CremaFinance:每次攻击至少需要进行3笔交易;创建一个虚假的帐户,部署一个闪贷程序,发起窃取费用的攻击;此外,黑客还多次发起10+笔闪贷交易,从不同的代币池中进行窃取。Nirvana:攻击至少进行了2笔交易;部署一个精心设计的闪电贷款接收程序,并调用Solend闪贷。SlopeWallet:整个攻击抽干了9000多个钱包,涉及9000多个SOL或SPL代币转账交易。3.所有攻击至少持续几分钟(几个小时甚至几天)Wormhole:从创建第一个假sysvar账户的tx到完成转账的tx之间的时间跨度为6个小时。CashioApp:黑客的第一个假账户是在交易发生前5天创建的。CremaFinance:这个假账户是在第一次攻击前一个多小时创建的。Nirvana:两个交易(部署闪贷接收方和调用Solend闪贷)之间的时间窗口跨度为4分钟。Slope钱包:广泛的攻击持续至少8个小时。4.最大的损失是由于缺少帐户验证前三次黑客攻击(Wormhole、CashioApp和CremaFinance)的根源在于缺少正确的账户验证。无论是否是巧合,这些攻击都造成了很大的经济损失。5.闪贷牵涉到两次黑客攻击CremaFinance和Nirvana的黑客攻击都涉及直接闪贷交易,而且都是通过Solend进行的。在CremaFinance,闪贷被用来引导存款流动性。在Nirvana中,其内部价格预言机被闪贷操纵。如何防止未来类似的黑客攻击?

DeFi项目PancakeBunny事件黑客已将大部分获利资金兑换成近4600万DAI:自北京时间5月20日10时55分开始,PancakeBunny事件的黑客获利地址(0x158C24...2C612f)通过PancakeSwap将获利资金114,631BNB和697,245BUNNY兑换为ETH,再以跨链的方式转移到ETH地址1(0xa0ACC6...d7E187)和ETH地址2(0x158C24...2C612f)。今日慢雾MistTrack监测到地址1给地址2转入16,500ETH,地址2再通过Sushiswap等兑换平台将ETH兑换成DAI转回到地址1。目前地址1余额480ETH、近4600万DAI;地址2暂无余额。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2021/5/21 22:28:30]

根据上面总结的这些攻击的特点,我们推荐以下的安全措施:1.预部署:验证智能合约的所有输入帐户

近4亿XRP转入Coinbase交易所 价值约1.85亿美元:Whale Alert数据显示,北京时间2月1日02:24,399,999,970枚XRP从rL2Qby开头未知未知钱包转入Coinbase交易所,价值约1.85亿美元,交易哈希为:556E8402C558AA350A9591AEA16AC8AB6DD43DA6C45FABE49FBD987F5AFD984A。[2021/2/1 18:33:08]

在编写Solana智能合约时,要时刻牢记所有输入都可能被攻击者伪造,包括所有账户和外部程序(即用户钱包账户、PDA账户和其他智能合约)。Solana的编程模型将代码和数据解耦,因此程序中使用的所有帐户都必须作为数据输入传递。在几乎所有情况下,都应该验证:账户所有权账户签名者帐户之间的关系(或逻辑约束)根据协议逻辑,还应该检查:如果任何内部价格预言机操纵闪电贷款(与大量转移),需增加约束以防止差异。如果可以计算任何异常状态(如费用或奖励),需添加约束以防止差异。2.部署后:主动使用实时威胁监控

2020年因犯罪被盗加密货币总值可能将接近45亿美元:根据数字资产情报公司CipherTrace发布的新报告,在今年的前五个月中,通过加密货币犯罪吸纳的不良资金高达14亿美元。报告继续指出,如果以同样速度继续下去,2020年被盗加密货币的总量有可能接近2019年设定的45亿美元大关。犯罪分子利用正在蔓延的COVID-19病,通过各种与加密相关的网络钓鱼活动、勒索软件和黑暗市场欺诈诱使毫无戒心的个人进入。(Cointelegraph)[2020/6/7]

由于所有这些黑客攻击都涉及跨越至少几分钟或几小时的多个交易,因此可以提前主动检测可疑交易,并在中间遏制攻击。这是Solana的独特属性,它允许链上威胁监控技术作为一种防御解决方案,来帮助有效地预防和阻止安全攻击:原则上,威胁监控解决方案可能会有帮助:监控SOL或SPL代币的大规模转移;监控针对你的智能合约的闪贷交易;通过升级依赖程序来监控潜在的漏洞;监控异常状态(例如,计算费用);监控往返交易事件例如deposit-claim-withdraw在单个tx中);监控来自同一签名者的重复交易;任何针对协议特定属性的自定义监控。如果任何被监控的交易导致了在随后的黑客攻击中使用的异常状态,及早发现它们可能有助于阻止黑客攻击。原地址

标签:ANCOLESOLNCENimbus Governance TokenBooleancoinsol币发行价格是多少Asia Influencer Platform

聚币热门资讯
Bitfinex: 打破隔阂, 如何通过加密货币推动金融自由?

对于全球金融行业来说,加密货币已经成为一个有分量的标签,经过十多年的发展,它对金融行业的影响也逐渐不容小觑,加密货币信仰者希望通过加密货币推动一个更加公平、自由的金融体系的建立.

1900/1/1 0:00:00
ANT:新公链Canto的收益机会:用稳定币进行高年化流动性挖矿_ANT币

过去几天市场平淡,但是在8月26日杰克逊霍尔全球央行年会到来之前,预计市场仍会经历一波动荡。为了提醒自己不要冲动行事,我刚刚在电脑显示器上贴了一张便签,写着「不许过度交易!」.

1900/1/1 0:00:00
MEV:Krypital Group:我们应该警惕「MEV」么?_FLASH

概述:你发现了一个非常好的投资机会,你打开Uniswap,输入交易金额,点击确认,耐心的等待交易完成。大概等待了十几秒,交易成功。你兴奋的点开钱包,却发现收到的代币比预期的少了很多.

1900/1/1 0:00:00
NFT:清算风险正蔓延向NFT市场……_DAO

8月18日,推特用户Cirrus指出,大量用作抵押品的BoredApeYachtClubNFT接近BendDAO的清算点.

1900/1/1 0:00:00
NFT:NFT数据日报 | Otherdeed在过去24小时内最受巨鲸欢迎(8.22)_DecentBet

NFT数据日报是由Odaily星球日报与NFT数据整合平台NFTGO合作的一档栏目,旨在向NFT爱好者与投资者展示近24小时的NFT市场整体规模、交易活跃度.

1900/1/1 0:00:00
区块链:浅谈区块链技术将如何改进Web3中的DevOps_区块链dapp开发

虽然还处于早期阶段,但Web3已经显示出其能提供区块链和DevOps协同工作的可能。本文讨论了DevOps的实践、流程、工具、及其它将如何与区块链技术相互补充来交付Web3解决方案.

1900/1/1 0:00:00