在刚刚发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。
今天,我们就2022上半年Web3黑客常用的攻击方式展开分析,看看在所有被利用的漏洞中,哪些频率最高,以及如何防范。
一、上半年因漏洞造成的总损失有多少?
据成都链安鹰眼区块链态势感知平台监控显示,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,约53%的攻击方式为合约漏洞利用。
通过统计,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,总损失达到了6亿4404万美元。
CertiK完成对蚂蚁集团可信执行环境HyperEnclave的先进形式化验证:金色财经报道,CertiK宣布完成对蚂蚁集团开放式跨平台可信执行环境(TEE)HyperEnclave的先进形式化验证。蚂蚁集团的可信原生技术团队开发了开放跨平台软件可信执行环境HyperEnclave,旨在提高蚂蚁集团隐私保护计算工作负载的效率和兼容性。CertiK通过其独有的先进形式化验证技术,验证了HyperEnclave核心组件的安全性和技术正确性。[2023/7/26 15:59:27]
在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。
美联储博斯蒂克:预计还会再加息一次:金色财经报道,美联储博斯蒂克:预计还会再加息一次;经济仍有大量动力,通胀过高。货币政策方面仍有更多工作要做,我的基线预测是在下次加息后保持利率不变。预计加息结束后,美联储将在相当一段时间维持利率不变。美联储将尽力将通胀降至2%水平。[2023/4/19 14:11:56]
Solana跨链桥项目Wormhole遭到攻击,累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞,这个漏洞允许黑客伪造sysvar帐户来铸造wETH。
2022年4月30日,FeiProtocol官方的RariFusePool遭受闪电贷加重入攻击,总共造成了8034万美元的损失。本次攻击对项目方造成了无法挽回的损失,8月20号,官方表示项目正式关闭了。
Andre Cronje:Fantom不会涉足AI,区块链和AI不能结合:2月9日消息,Fantom创始人Andre Cronje在推特上回应,Fantom不会涉足AI,区块链和AI不能结合。具体针对“Fantom区块链在人工智能行业中扮演什么角色?”的提问,他回答,区块链=慢(按照中心化的标准来看)但透明安全,Al=高吞吐量、不透明、黑盒。
这两件事不能混为一谈。这就像问“你认为可口可乐在建筑行业中扮演什么角色?”区块链和Al不是互补的。目前任何人都想蹭“AI”的热点。如果你看到一个项目突然“转向Al”,这只意味着他们可能“快死了”……区块链不会改善Al,而Al也没有改善区块链。[2023/2/9 11:56:49]
FeiProtocol事件回顾:
Web3慈善项目为贫困儿童筹集了5万美元:金色财经报道,由Emonee LaRussa和她在JumpStart Designers的团队创建的一个Web3慈善项目已经为贫困儿童筹集了令人印象深刻的50,000美元。这个非凡的项目由MoonPay提供支持,并以全球一些最著名的NFT艺术家的作品为特色。Bobby Hundreds、Coldie、Fvckrender、Drifter等艺术家都参与其中。(nftevening)[2022/11/20 22:08:32]
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例。
攻击交易
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
攻击者地址
0x6162759edad730152f0df8115c698a42e666157f
攻击合约
0x32075bad9050d4767018084f0cb87b3182d36c45
被攻击合约
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
Balancer:Vault中进行闪电贷。
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
3.归还闪电贷,将攻击所得发送到0xe39f合约中
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞,被盗资金超过28380?ETH。
扩展阅读:“重入漏洞”如何破?损失约8034万美元,FeiProtocol被攻击事件分析
1.ERC721/ERC1155重入攻击
在通过链必验形式化验证平台检测合约时不乏存在ERC721/ERC1155标准相关的业务合约,在ERC721中,ERC1155中存在分别存在一个onERC721Received()/onERC1155Received函数用于转账通知,类似于以太坊转账的fallback()函数,在相关的业务合约中使用ERC721/ERC1155标准中的_safeMint(),_safeTransfer(),safeTransferFrom()进行铸币或者转账时都会触发转账通知函数。如果在转账的目标合约中的onERC721Received()/onERC1155Received中包含了恶意代码,就可能形成重入攻击。除此之外在相关业务函数未严格按照检查-生效-交互模式设计,上述两点共同导致了漏洞的产生。
3.鉴权缺失
铸币、设置合约特殊角色、设置合约参数的相关函数没有鉴权,导致三方地址也可以调用。
四、实际被利用的漏洞有哪些?哪些漏洞能在审计阶段发现?
根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。
通过成都链安链必验-智能合约形式化验证平台检测和安全专家人工检测审计,以上漏洞均能在审计阶段被发现,并且可由安全专家在做出安全评估后提出相关安全修补建议供客户作为修复参考。
通过链必验工具扫描出某合约存在重入漏洞
每个人都喜欢加密空投。但是你如何为下一次大空投做准备呢?关于我的策略和一些可能很快会空投代币的热门项目↓有些人从空投中获得了改变生活的钱,就上下文而言,当UNI处于历史最高水平时,与Uniswa.
1900/1/1 0:00:00概要:一、学习提高暴富能力二、学会在推特上聚焦寻找爆发点三、如何将推特发挥到极致四、避免各种币圈黑洞深坑一、学习提高暴富能力1/提高英文水平2/通过梭哈而来的暴富最终只会通过实力亏回去.
1900/1/1 0:00:00Uniswap目前正在表现出对NFT金融化的渴望。该交易所已就其突然的兴趣与几个NFT借贷协议展开谈判。Uniswap的NFT产品负责人ScottLewis通过社交媒体帖子透露了这些信息.
1900/1/1 0:00:008月24日消息,路透社发文表示,据Dealroom数据显示,金融科技初创公司在2021年的融资中共计筹集1250亿美元,约为2020年总额的3倍.
1900/1/1 0:00:00在以太坊问世后尤其是1CO被发明后,以太坊的生态开始茁壮成长。这让人们在以太坊身上看到了区块链技术落地以及和具体应用相结合的希望,并看到了公链平台的巨大商业价值和潜在商业利益.
1900/1/1 0:00:00金色财经报道,上海市委常委、副市长张为在27日举行的第三届上海创新创业青年50人论坛上表示,上海已对外发布万亿级新赛道的行动方案,期待广大青年才俊积极投身新赛道、实现新发展。首先是数字经济.
1900/1/1 0:00:00