欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享了区块链十大攻击方式系列(1)——51%攻击,大家看的还过瘾吗?
闲话少说,今天,我们开启系列文章第二篇——DeFi 黑客攻击,继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。
区块链技术的诞生,为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融(DeFi)」便是这两年最为火热的应用之一。
DeFi 是去中心化金融Decentralized Finance的缩写,它指的是基于区块链的金融服务体系。
和现在的金融体系不同,用户的资金不会存放在第三方的金融机构中,而是通过各种智能合约去实现协议和信任,如此可以最大程度地减少风险。它是一个完整的开源生态系统,提供贷款、交易、资产管理和支付等金融服务。
动态 | 中国人民银行合肥中支召开区块链应用研讨会,发布安徽省区块链应用倡议书:金色财经报道,12月17日下午,中国人民银行合肥中心支行指导安徽省互联网金融协会,联合中国科学技术大学管理学院组织召开区块链应用暨金融科技发展研讨会。会议邀请相关专家就金融科技发展、区块链应用等展开主旨演讲,并就安徽省金融科技、区块链发展情况现场开展互动研讨。会议最后,安徽省互联网金融协会组织会员单位发布《安徽省区块链应用倡议书》,倡导加强区块链应用及金融科技创新自律,坚决反对利用区块链等技术从事非法金融活动,深入推进安徽省金融科技健康持续发展。[2020/1/1]
DeFi攻击事件频发,最主要的原因还是其累计了巨额的资产。面对巨大的诱惑,黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约,还有链下的代码,无论哪一部分出现了问题,都会被黑客所利用。
声音 | 光一科技:知识产权保护项目CCDI已应用区块链项目:光一科技在互动平台回复投资者提问“版权云项目中是否用到区块链技术”问题时表示,公司投资的知识产权保护项目CCDI的版权登记已经广泛运用区块链技术,采用区块链、版权局登记双重认证。CCDI是与国家新闻广播电视出版署共同合作的互联网版权确权、维权、交易、分发的基石平台,但推广并不顺利,营收、利润状况不佳。[2019/9/24]
2022 年第一季度,区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元,与去年同期相比增长了823%。
数据显示,DeFi项目仍为黑客攻击的重点领域,其中主要涉及到的安全问题包括:闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。
动态 | 澳大利亚区块链专利申请量每年至少增长140%:据coincryptorama消息,根据澳大利亚计算机协会(ACS)的一份新报告,区块链解决方案呈上升趋势,研究显示,自2013年以来,区块链的专利申请量每年至少增长140%。大多数解决方案适用于支付和交易系统、金融服务和企业管理,目前,澳大利亚的专利申请数量全球排名第六,排在中国、美国、韩国、日本、英国之后。[2018/12/13]
闪电贷攻击
闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得攻击者可以在借款和还款间加入其它链上操作,以极低的成本撬动巨额资金,结合其他漏洞进行套利、价格操纵等攻击。
比如2022年4月17日,算法稳定币项目Beanstalk Farms遭黑客攻击,黑客获利近8000万美元,黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备,再利用恶意提案,导致本次攻击的发生。
哈萨克斯坦总统对实施区块链税收技术取得的进展表示满意:据cryptovest新闻报道,哈萨克斯坦总统努尔苏丹纳扎尔巴耶夫希望看到一个基于区块链的收集增值税(VAT)信息系统。上周在政府大会上的讲话中,财政部长Bakhyt Sultanov向纳扎尔巴耶夫汇报了国内财务指标的变化,指出所有与预算有关的重要目标都已实现。Sultanov补充说,该部长补充说,除了推出阿斯塔纳信息系统,该州正在开发基于区块链的税收系统。[2018/2/12]
详细分析可点击此处阅读:黑客获利近8000万美元,恶意提案如何防范?Beanstalk Farms被攻击事件分析
私钥泄露:
项目方由于遭受社会工程学或传统网络安全攻击,导致私钥泄露,从而项目方地址权限被盗取,从而攻击者可进行转账、提取等任意操作。
比如在2022年2月10日,DeFi应用Dego Finance遭到黑客攻击,成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露,黑客利用私钥提取了多个链上的资产。
详细分析可点击此处阅读:被盗约1700万美元,DeFi 世界的乐高Dego Finance就这样“塌了”吗?
智能合约重入攻击:
在存在外部合约调用的项目中,如果外部合约调用发生在账本更新之前,且外部合约调用可以被用户控制,那么该项目可能存在重入风险。在项目未做重入防范的情况下,恶意的攻击者可以通过重入攻击威胁项目资金安全。
比如在2022年3月31日,Ola Finance遭遇智能合约重入攻击,损失约为467万美元。
详细分析可点击此处阅读:约467万美元的损失!Ola Finance被攻击事件简析
Rug pull:
“Rug Pull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目,毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出局。
从黑客的角度来看,对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的,而且行业暂时缺乏技术监管,这使得网络犯罪分子可以通过攻击安全性较低的 DeFi 项目或实施Rug Pull来获取金钱收益。
经成都链安安全团队梳理和总结,2022年第一季度的安全事件中,尽管70%的被攻击项目经过了第三方安全公司的审计,但是30%未审计的项目,其被攻击之后的损失金额也达到了7.2亿美元,占第一季度总损失金额的60%。
可见?DeFi?项目上线之前的审计依旧重要。在我们研究之后,发现在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。
DeFi 为许多机会打开了大门,特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起,该领域也自然成为了黑客“大展拳脚”的重点对象。
安全性仍然是 DeFi 生态系统面临的重大挑战,因此DeFi项目方应做好前置预防工作,引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案,完善安全防护机制。作为用户,在选择项目时,应留意该项目是否经过安全审计,切不可掉以轻心。
2021年3月11日,一副名为《每一天:前5000天》的NFT数字艺术品在英国拍卖行佳士得,以6935万美元成交,约合人民币4.5亿元.
1900/1/1 0:00:00在最近 P2E 经济模型的研究中,我们将人均累积价值作为关键指标进行了分析。在分析过程中,我们发现了一些关于 Axie 经济模型的有趣数据,这些数据给了我们以下收获:观察 GameFi 经济系统.
1900/1/1 0:00:00DeFi 与 TradFi 的比较以及这对下一代创始人和资助者意味着什么。熊市创造伟大的公司。稀缺的资本和受抑制的市场需求相结合,迫使创始人和团队在财政上变得节俭并专注于高价值活动.
1900/1/1 0:00:00近日,福建省发布了《福建省清理整顿各类交易场所工作小组关于防范NFT违规风险的提示函》(以下简称《提示函》),作出“不得未经批准从事NFT交易、不得违规变相参与NFT活动”等四条提示.
1900/1/1 0:00:00近期持续下杀,BTC昨日最低下探至前顶69000下降平行通道中轨线一带止跌反弹,同时这一带也是1.618斐波那契回撤位,所以20000-20400区间具备一定支撑性,除非有效跌破.
1900/1/1 0:00:00(1)总收入:Web3商业模式已经大有发展,其中最强大的仍然是“出售区块空间”,其次是 NFT 交易平台、DeFi 、GameFi 和基础设施.
1900/1/1 0:00:00