区块链以无审查著称,是一片鼓励创新的热土,也是滋生犯罪的温床。当年众筹超过1.5亿美金的The Dao被黑客盗币后,进行了硬分叉操作,由此产生了如今的以太坊。自区块链创世以后,各种针对交易所、钱包以及dapp的黑客盗币事件频发。那么,2021年区块链安全领域又经历了何种波澜,后续的处理工作又是如何的呢?
(本文由分布式资本原创,顾问CertiK高级安全工程师王沛宇,撰文有匪。)
2021年区块链黑客盗币事件整理
Uranium?Finance——逻辑漏洞
某1inch投资者向Binance转入701万枚1INCH:4月30日消息,据 Twitter 用户 @BitcoinEmber 监测,某 1inch 投资者向 Binance 转入 701 万枚 1INCH,价值约 342 万美元。该投资者共获得 1500 万枚 1INCH,目前已将解锁的 1125 万枚 1INCH 全部出售。其中:200 万枚链上出售,出售均价 1.34 美元;75 万枚转入 FTX,当时价格为 3.47 美元;850 万枚转入 Binance,均价 0.62 美元。
该投资者/机构或已实现 1060 万美元收益,按单价 0.01 美元投资成本,回报率 70 倍;按单价 0.067 美元投资成本,回报率 10.6 倍。[2023/4/30 14:35:39]
10月27日,Cream Finance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币,同时通过操纵多资产流动性池(包含yDAI、yUSDC、yUSDT和YTUUSD)来操纵预言机对yUSD的报价。在提高了yUSD的价格后,攻击者的yUSD价格被人为提高,从而创造了足够的借款限额以借走Cream Finance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。
加密货币委员会顾问:公平对待加密货币行业是可能的但需要“大量工作”:金色财经报道,3月29日,在香港举行的World of Web3(WOW)峰会上,Crypto Council for Innovation顾问和Odsy Network的联合创始人Sean Lee表示,在美国公平对待加密货币行业是可能的。在2008年金融危机之后,金融改革得到了解决,所以没有理由不对加密货币进行同样的处理。但这将需要大量的工作,通常在大规模的危机之后才会实施,而我们现在就有这种情况。[2023/3/30 13:35:07]
Anyswap——后台签名
孙宇晨:火必将全额承担HT杠杆穿仓损失,成立1亿美元流动性基金:3月10日消息,针对今日凌晨HT异常波动孙宇晨表示,对于HT市场波动所导致杠杆穿仓损失,Huobi平台将全额承担。对于少数用户杠杆清算所造成盘面波动影响,我们深表歉意,为了进一步提升Huobi平台多币种流动性,我们将出资1亿美元成立流动性基金,持续改善主流币,HT流动性深度,加强杠杆预警与流动性能力,对于本次事件,我们会就后续进展与社区保持同步。[2023/3/10 12:53:20]
2)钱包——钓鱼信息
不同于项目方一旦出事,人们可以通过链上公开的交易记录进行分析;交易所出事只有内部人员知道发生了什么,那些信息也不会被公开。一般交易所出事来自于这几个方面:交易所的服务器被黑了,攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击,然后攻击者通过工作人员的账号访问到内部系统,接触到了热钱包的私钥等等。
资产被盗后的处理方式
项目方一般会采取这几个解决方式:
1)即时暂停智能合约中的通证转移和交易服务;对于不能暂停的合约,查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务,避免合约被再次攻击。
2)同时向社区发出警告,避免新的投资者把财产放到有漏洞的合约里面。
3)联系第三方安全公司,请求帮助分析漏洞产生的原因,并合作共同修复漏洞。
4)对于被盗资金的去向,假如合约里面存在黑名单功能;第一时间屏蔽黑客地址,防止黑客进行资金转移。
5)和安全公司和执法部门合作追回被盗的财产,同时想出合理的补偿方案来减少用户的损失。
那么,为何安全公司对于漏洞已经层层筛查,还会被黑客有机可趁?事实是,对于某个项目的审计工作只能持续数个星期,而黑客的时间和精力是无限的。他们一旦瞄准某类项目,便会有比审计公司多得多的时间进行研究并展开行动。
其次,安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库,它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能,便能实现从零开始写代码。
从人为因素出发,项目方需要考虑金融模型以及商业逻辑是否值得推敲,并进行不计其数的测试才能消弭潜在的风险。
总而言之,Defi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。环顾Defi出事的所有原因,最主要的还是Defi项目还无法完全去中心化,需要借助第三方的外部服务。Defi行业在安全性上达到无懈可击,是这一赛道项目必需实现的目标(尤其对中心化严重的跨链赛道而言),期待行业下一周期跑出拥有全新业务逻辑的Defi产品来!
标签:NANUSDANCNCEelk-financeCZUSD币alpaca-financeShopping.io Governance
“Forte的出现,降低了区块链游戏的门槛,让更多的人参与到区块链游戏当中。”如果要盘点2021年的科技界年度热词,元宇宙一定入选.
1900/1/1 0:00:00对于 NFT 来说,这是绝对疯狂的一年,2021 年绝对是 NFT的?一年,即使谷歌也是这么说的。日前,“NFT”的搜索量正式超过“crypto”.
1900/1/1 0:00:00web3越来越得到广泛传播,尤其是web3用户拥有的叙事。那么到底谁拥有Web3?Pomp近日发文解读了谁拥有Web3问题。“Web3”一词席卷了科技界.
1900/1/1 0:00:00新起之秀——Solana根据公开资料统计显示,Solana 生态已经涵盖了 DeFi、工具、基础设施、NFT、游戏、DApp 应用等领域.
1900/1/1 0:00:00NFT被认为是数字领域的现代贵重物品。NFT的发展有着巨大的市场。它们很容易在网上购买和销售,其中的所有权数据可以作为任何物品的数字确认。2021年第三季度,NFT的交易量跃升至120亿美元.
1900/1/1 0:00:00“9·24通知”之后,越来越多的法院不再保护普通公民之间虚拟货币交易、投资和挖矿等行为。2021年12月23日,广州互联网法院公布了一起虚拟货币民事纠纷案例,涉及金额达1190万元.
1900/1/1 0:00:00
月亮链