月亮链 月亮链
Ctrl+D收藏月亮链

OLE:近4亿美元损失,Solana的黑客攻击都有什么共同点?_decred币创始合伙人

作者:

时间:1900/1/1 0:00:00

原文作者:sec3

原文编译:ChinaDeFi

自一年前以来,Solana生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),这些黑客攻击总共造成了近4亿美元的损失。

重要的是,这些黑客攻击(SlopeWallet除外)大多是由于智能合约漏洞,即链上协议的编码缺陷:

Wormhole:3.2亿美元被盗,原因是缺少帐户验证;

CashioApp:由于缺少账户验证,导致5000万美元被盗;

外媒:由矿机抵押的的近40亿美元贷款对加密贷方构成潜在风险:6月24日消息,由矿机抵押的的近 40 亿美元贷款在比特币下跌的过程中对加密货币贷方构成了潜在风险。分析师警告,如果市场没有改善,加密矿企出售比特币储备会给价格带来进一步的压力。根据 Luxor Technologies Corp. 的数据,比特大陆 S19 矿机的价值从 11 月的约 1 万美元的高位下跌了约 47%。 (彭博社)[2022/6/25 1:30:17]

CremaFinance:1000万美元被盗(返还800万美元),原因是缺少账户验证;

Nirvana:通过闪贷操纵价格,350万美元被盗;

Bitfarms第二季度收入增长近400%:8月17日消息,在周一发布财报后,加拿大矿企Bitfarms的股价在盘后交易中上涨0.5%至6.42美元。由于中国对加密货币开采进行了打击,比特币价格大幅上涨,股价今年以来上涨了近240%。该公司在第二季度开采了759个比特币,每个比特币的平均成本约为9000美元,截至2021年6月30日,该公司持有1293个比特币,每个价值35057美元,约为4530万美元。Bitfarms的CEO Emiliano Grodzki说\"2021年第二季度对我们公司来说是一个关键的季度,从2021年初到2022年底,我们预计我们的产能将增加8倍,并在整个北美和南美扩大我们的地理资源,同时继续寻求其他地方的机会。此外,虽然比特币的价格继续波动,但目前的市场对我们的全球运营是有利的,中国禁止加密货币开采,并因此关闭了几乎一半的网络哈希率,使我们的市场份额从年初的不到1.0%增加到略高于1.5%。\"(Coindesk)[2021/8/17 22:18:34]

Slope钱包:由于助记词被泄露,400万美元被盗。

近4年已有710亿美元加密货币流经“区块链岛”马耳他:据马耳他当地媒体报道,自2017年马耳他的“区块链岛“战略实施以来,已有710亿美元的加密货币流经该国。这引起了反机构的担忧,上周,反金融行动特别工作组(FATF)在巴黎开会,讨论是否应将马耳他列入未履行制止金融犯罪义务的国家名单。加密公司可在没有许可证的情况下在该国经营长达一年时间。Crypto最近获得了马耳他第3类虚拟金融资产许可证,为未来加密货币在欧盟获得更广泛的认可铺平了道路。2020年6月,马耳他进一步拓展了区块链野心,更全面地转向数字资产,以推动应用普及和业务增长。负责发展马耳他经济组合的数字经济智囊团主席Kearon Bruno表示:“我们正远离区块链岛,转向数字岛,因为我们更相信一个包括所有方面和技术组件的整体愿景。”(Cointelegraph)[2021/6/21 23:52:11]

在本文中,我们回顾了这些攻击的本质,并旨在找到有效的解决方案,以防止未来发生此类攻击。

DEX交易量达到中心化交易所交易量的近4%:金色财经报道,去中心化交易所的交易量在7月创历史新高,超过40亿美元。同时,据Block Research数据,去中心化交易所与中心化交易所的交易量比率在7月也增加了,达到了将近3.95%,高于6月份的2.1%。在6月之前,该比例从未超过1%。[2020/8/5]

Wormhole:黑客创建了两个假的sysvar帐户来跳过密钥验证。

CashioApp:黑客创建了8个假账户来通过有效性检查。

CremaFinance:黑客创建了一个虚假的帐户,并使用闪贷窃取费用。

Nirvana:黑客精心制作了一个闪贷账户来操纵代币价格。

SlopeWallet:黑客通过泄露的助记词直接获取了用户钱包的私钥。

2.所有黑客攻击都涉及多次交易

Wormhole:整个攻击用了6个交易来完成:第一个tx创建第一个假sysvar帐户,最后一个tx调用complete_wrapped。

CashioApp:整个攻击从创建所有的假账户到发送最后的攻击交易,期间进行了超过10笔的交易。

CremaFinance:每次攻击至少需要进行3笔交易;创建一个虚假的帐户,部署一个闪贷程序,发起窃取费用的攻击;此外,黑客还多次发起10笔闪贷交易,从不同的代币池中进行窃取。

Nirvana:攻击至少进行了2笔交易;部署一个精心设计的闪电贷款接收程序,并调用Solend闪贷。

SlopeWallet:整个攻击抽干了9000多个钱包,涉及9000多个SOL或SPL代币转账交易。

3.所有攻击至少持续几分钟(几个小时甚至几天)

Wormhole:从创建第一个假sysvar账户的tx到完成转账的tx之间的时间跨度为6个小时。

CashioApp:黑客的第一个假账户是在交易发生前5天创建的。

CremaFinance:这个假账户是在第一次攻击前一个多小时创建的。

Nirvana:两个交易(部署闪贷接收方和调用Solend闪贷)之间的时间窗口跨度为4分钟。

Slope钱包:广泛的攻击持续至少8个小时。

4.最大的损失是由于缺少帐户验证

前三次黑客攻击(Wormhole、CashioApp和CremaFinance)的根源在于缺少正确的账户验证。

无论是否是巧合,这些攻击都造成了很大的经济损失。

5.闪贷牵涉到两次黑客攻击

CremaFinance和Nirvana的黑客攻击都涉及直接闪贷交易,而且都是通过Solend进行的。

在CremaFinance,闪贷被用来引导存款流动性。

在Nirvana中,其内部价格预言机被闪贷操纵。

安全措施:

账户所有权

账户签名者

帐户之间的关系(或逻辑约束)

根据协议逻辑,还应该检查:

如果任何内部价格预言机操纵闪电贷款(与大量转移),需增加约束以防止差异。

如果可以计算任何异常状态(如费用或奖励),需添加约束以防止差异。

监控SOL或SPL代币的大规模转移;

监控针对你的智能合约的闪贷交易;

通过升级依赖程序来监控潜在的漏洞;

监控异常状态(例如,计算费用);

监控往返交易事件例如deposit-claim-withdraw在单个tx中);

监控来自同一签名者的重复交易;

任何针对协议特定属性的自定义监控。

如果任何被监控的交易导致了在随后的黑客攻击中使用的异常状态,及早发现它们可能有助于阻止黑客攻击。

标签:OLECREFINNANWHOLE币decred币创始合伙人digifinex公司介绍RFYield Finance

SHIB最新价格热门资讯
以太坊:以太坊即将“合并” NFT别给自己加戏了_NFTB

以太坊即将“合并”对NFT意味不了什么。以太坊“合并”事件终于引来终局,此前以太坊联合创始人VitalikButerin发布推文称,此次在加密领域被称为“合并”的区块链软件升级,预计发生于9月1.

1900/1/1 0:00:00
ETA:这三个项目推出代币,将获得市场最高的热度!_MAS

加密货币的创建通常是先射击,后瞄准的心态。结果在无数项目中显而易见,从历史最高点下降了96-99%。但这里有三个平台,希望推出他们的代币,以及为什么希望他们这么快推出.

1900/1/1 0:00:00
比特币:比特币:专家对 2022 年 BTC 价格走势的看法_BNBTC币

比特币在过去几天里一直在目睹一些动荡。国王币和其他加密货币的价格在9月5日下跌。在新闻发布会上,国王币在注意到最后一天上涨2.99%后以19,307美元的价格易手.

1900/1/1 0:00:00
GATE:实盘跟单交易员升级规则和等级权益调整!_iZUMi Bond USD

亲爱的交易员:为进一步合理化不同等级的带单员的权益,Gate.io决定对交易员的升级规则和等级权益进行调整.

1900/1/1 0:00:00
USD:B安上没有更多稳定币了吗?以太坊合并最后一次升级!_比特币

本文要点:Binance上没有更多稳定币了吗?Bellatrix-合并前的最后一次升级。币安将USDC移除为可交易资产最大的加密货币交易平台通知它将自动将USDC、USDP和TUSD转换为Bin.

1900/1/1 0:00:00
TTE:幣安新增 AMB/BUSD、LUNC/USDT、PHB/BUSD 交易對_ITT

親愛的用戶:幣安將於2022年09月09日16:00上線AMB/BUSD、LUNC/USDT、PHB/BUSD交易對.

1900/1/1 0:00:00