CER:CertiK安全分析：8月数字货币相关攻击事件分析总结_CERT

「币圈一天，人间一年」，「DeFi一天，币圈一年」。近期的链圈币圈，热度已几乎都被DeFi掠夺。伴随着项目的层出不穷，大量用户的涌入，DeFi协议总锁仓量已高达103.8亿美元。极高的投资收益吸引了大量币民加入，而8月，更是流动性挖矿项目如火如荼的一个月。从实验性流动性挖矿项目Yam到目前仍旧具有极高话题度的SushiSwap，整个区块链社区都在持续讨论着其中的巨额利润以及隐藏其下的安全隐患。在这一个月中，大量新的挖矿项目出现，其中绝大多数项目都直接复制其他类似项目的代码，在未进行安全审计的情况下匆忙上线。因此导致了发现的智能合约安全漏洞数量众多而且性质类似。如今，确定一个项目是否可以投资的首要条件应该是检查项目及其合约是否由著名安全团队进行过专业审计并取得较高安全评价。据CertiK安全技术团队统计，8月份发生与区块链相关的安全事件盘点如下：8月11日，基于以太坊的代币项目NUGS出现安全问题，其智能合约中存在安全漏洞，致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复，因此最终NUGS项目官方发布公告决定放弃该项目，存入其中的代币也无法被取出。8月12日，流动性挖矿项目Yam爆出智能合约漏洞，该漏洞将预留巨大数目的代币，导致对项目进行治理所需要的代币数目随之增长，最终由于社区没有足够的代币，任何治理行为都无法进行。8月14日，流动性挖矿项目Based存在智能合约安全漏洞并遭到攻击者攻击，该项目中一号池智能合约中函数被错误设置为可以被外部任意调用，造成其被外部攻击者抢先初始化，导致一号池中任何质押行为都无法完成。8月28日，Sushiswap智能合约中被发现存在多个安全漏洞，该漏洞允许智能合约拥有者在无任何社区授权情况下，任意进行取款。同时，该合约还存在重入攻击漏洞，会导致潜在恶意代码被执行多次。8月31日，用户由于使用存在漏洞的旧版本electrum钱包应用，导致1400枚比特币被盗。8月31日和9月1日，Sushiswap仿盘Yuno和Kimchi两个项目智能合约均被发现存在安全漏洞，该漏洞允许智能合约拥有者无限增发项目对应代币，可能导致项目中代币产生巨大通胀。列表如下：

CertiK：PorkiesNFT项目Discord服务器遭入侵:金色财经报道，据CertiK官方推特发布消息称，PorkiesNFT项目Discord服务器遭入侵，有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前，请勿点击任何链接。[2023/7/8 22:25:40]

事件详情

以下是8月安全典型事件的具体分析：1号事件是一个非常典型的，由于逻辑实现上失误而造成的漏洞。NUGS项目的商业实现模型是一个彩票抽奖的系统，彩票抽奖以轮为单位，在每一轮抽奖中，投资者可以向该轮奖池中存入资金。经过一段时间后，NUGS智能合约中的开奖函数可以被外部调用，从而确定本轮彩票抽奖的赢家。赢家获得奖池奖金，而来自外部调用开奖函数的调用者也会获得一小部分奖励。该轮抽奖结束，奖池中数额清零，因此每一轮抽奖开始时，奖池内的初始数额应当为“零”。然而NUGS智能合约中存在一个关于奖池奖金初始数额的逻辑实现漏洞：当一轮抽奖结束后，奖池中数额未被清零，导致了下一轮抽奖开启后，奖池中的初始数额为上一轮的总奖金。因此奖池中的奖金会越来越多，最终导致通胀、币值飞快贬值。2号事件发生在Yam流动性挖矿项目上，也是一个由于逻辑实现上的失误导致的安全漏洞。在Yam智能合约中存在一个rebase函数，其目的是在确保代币的价格稳定，而由于在代码层面的疏忽，对每一次rebase执行时，代币总共供给量totalSupply的数值被错误的进行计算，导致totalSupply的数目只能持续增加，因此最终同样导致了通胀发生。以上两个事件中的漏洞都是属于逻辑实现层面出现的漏洞。逻辑实现上的漏洞虽然非常直观，但依靠任何现有的自动检测工具均无法检查，需要依靠专业的安全审计和/或严谨的数学证明才能够避免该类漏洞。3号事件发生于流动性挖矿项目Based。其智能合约在进行部署时，Based官方仅通过调用智能合约中的renounceOwnership函数声明了所有者，而并没有对智能合约初始化。而一名外部攻击者在Based官方之前，抢先调用initialize函数对智能合约进行了初始化。这使得智能合约的所有者和初始化的操作者不一致，最终任何质押行为都无法完成。该安全漏洞是由“智能合约自身调用安全风险”和“部署智能合约风险”两者同时影响产生的。对该种智能合约的部署应该确保发送部署智能合约的交易和对智能合约的初始化等操作交易的原子性，即该两者交易应该相互关联，确保没有第三方利用时间差进行恶意攻击操作。4号和6号事件相同：存在多个智能合约漏洞，其上线前均未进行安全审计，对于项目拥有者过大权利的问题，均缺乏相应社区监管机制。这两个事件的主角项目分别是SushiSwap以及其仿盘Yuno和Kimchi。SushiSwap项目智能合约中，智能合约拥有者有权利在无监管的情况下，使用setMigrator函数任意修改migrator的值，然后通过调用migrator.migrate来调用任意智能合约外部代码。该外部代码对于智能合约本身是未知的，因此智能合约拥有者可以通过该操作执行恶意代码。Yuno和Kimchi项目中也存在着类似的漏洞：智能合约拥有者有权利通过mint函数来进行无限制数量的铸币操作。最初，该类漏洞的解决方法是将任何来自智能合约拥有者的操作使用timelock智能合约加入延迟锁，SushiSwap、Yuno和Kimchi都通过该种方法为自身加入了48小时的操作延迟。其初衷是给予投资者48小时的窗口，对任何来自智能合约拥有者的疑似恶意交易，都有足够的时间进行撤资等操作。虽然SushiSwap项目中的ChefNomi成功转走的大笔代币后来返还了，但最终SushiSwap项目还是采用了多签名钱包来确保项目的去中心化。可以说，延迟锁并没有办法根本解决智能合约本身的漏洞。5号事件是由于受害者使用了旧版本的Electrum钱包，攻击者利用存在于旧版本中的软件漏洞进行钓鱼攻击。此软件漏洞会对Electrum节点服务器返回的交易错误信息进行HTML渲染。攻击者可以搭建一个恶意的节点，当该节点接收到来自用户发起的交易请求时，让用户钱包弹出一个包含钓鱼信息的窗口，让用户去下载一个所谓的“钱包更新”。而这个”新版钱包“实际上是一个包含恶意代码的假的钱包。一旦用户将自己钱包导入，该假钱包会将其中所有代币转移至攻击者的钱包中。安全建议

Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票:7月8日消息，Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票，投票截止日期为7月10日2:00，一旦投票获得通过，跨链合约将部署至Optimism。

此前报道，6月份Aura Finance已上线Arbitrum。[2023/7/8 22:25:34]

综上所述，8月安全事件频发，CertiK安全团队提出以下建议：对于区块链项目的安全风险不仅需要从代码漏洞层面观察，同时也应该仔细了解项目的逻辑实现与其逻辑设计是否一致。区块链项目需要为其整个部署流程规划详细的设计与实施流程，确保部署操作的原子性。面对区块链项目智能合约拥有者权利过大的问题，不应仅仅依靠外部强制机制来限制，更是应该从智能合约代码实现以及社区治理等多角度综合，从而确保项目不会被任意一方滥用。DeFi热度持续上升，区块链作为时代颠覆性的核心技术，也已在各个领域得到了广泛的应用，隐藏在收益和利好之下的安全隐患也不应被忽视。CertiK致力于构建区块链健康安全生态，利用业内领先的技术解决区块链与智能合约的安全痛点。

CertiK以近10亿美元估值完成8000万美元B2轮融资，红杉资本领投:12月1日消息，区块链安全公司CertiK于2021年11月30日宣布完成8000万美元的B2轮融资，再次刷新区块链安全赛道单笔最大融资额。该轮融资由红杉资本领投，Tiger Global、高瓴创投、Coatue Management、顺为资本等老股东持续跟投。CertiK在四个月内共完成三轮融资，总融资额超过1.4亿美元，估值近10亿美元。在过去一年中，CertiK完成了20倍的收入增长，员工人数增加了4倍。此外，CertiK为超过1800家企业级客户提供区块链安全服务，挖掘了超过31000个代码漏洞、保护了超过3000亿美元的数字资产安全。[2021/12/1 12:42:55]

加密指数协议Levyathan官方：攻击造成近150万美元损失，准备要求Certik进行部分赔偿:官方消息，加密指数协议Levyathan发布更新表示，在7月30日遭到攻击，黑客铸造100,000,000,000,000,000,0亿枚LEV代币，导致LEV价格归零，损失约150万美元。Levyathan称，由于开发人员的严重疏忽，开发人员的私钥在Github上是公开的。此外，对于关于紧急取款漏洞，这是遭到的第二个原因，Levyathan确认Certik审计部分存在严重疏忽。在审计中，Certik没有注意到导致紧急取款功能的错误。

Levyathan已创建一个钱包，在紧急提款功能期间收到过多资金的用户可以将资金退回，目前已收回15万美元，正在与其他用户讨论尽快收回资金。另一方面，团队目前正在与Certik进行讨论，Levyathan称Certik对资金损失负有部分责任，打算要求他们偿还其用户。此外，Levyathan表示将推出V2以及新代币。[2021/8/3 1:31:34]

Cere将通过Republic，DAO和Polkastarter推出80倍超额认购后的公募:据官方消息，去中心化数据云（DDC）平台Cere Network宣布在Republic（4月8日）、DAO Maker（4月15日）和Polkastarter（4月19日）上公开发售。

Cere此前已经从一系列知名VC包括Binance Labs、OKEx、Republic Labs、Arrington XRP Capital、Kenetic Capital、Fenbushi Capital和AU21 Capital等筹集了1000万美元。最近一次500万美元的融资获得了80倍的超额认购，并在Republic上公开发行前完成。

据悉，Cere于2019年推出，Cere Network得到包括Gate.io、ZB exchange、Ankr、Ledger Prime、Woodstock fund、JRR Capital、Spark Capital、LD Capital、NGC Capital、QCP Capital、Monday Capital、G1 Ventures等在内的风投财团和生态系统合作伙伴的支持。[2021/4/1 19:36:19]

标签：CERcertikCERTTIKcere币合约地址certik币价Animal ConcertsKromatika

币赢热门资讯