月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 世界币 > 正文

区块链:2021年区块链黑客攻击频发的原因是什么?后续的安全工作要如何改进?_DeFinity

作者:

时间:1900/1/1 0:00:00

原标题:《一文揭秘2021年区块链黑客攻击频发的原因》

区块链以无审查著称,是一片鼓励创新的热土,也是滋生犯罪的温床。当年众筹超过1.5亿美金的TheDao被黑客盗币后,进行了硬分叉操作,由此产生了如今的以太坊。自区块链创世以后,各种针对交易所、钱包以及dapp的黑客盗币事件频发。那么,2021年区块链安全领域又经历了何种波澜,后续的处理工作又是如何的呢?

2024年起法国加密公司需获得监管机构授权:金色财经报道,根据欧盟的MiCA监管框架,在2026年3月之前,加密货币企业无需获得完整的许可证。但近日法国国民议会作出了一项决议,已将这一时间期限提前至2024年1月1日。(thepaypers)[2023/1/19 11:21:34]

2021年区块链黑客盗币事件整理

由于2021年市场情绪热烈,黑客盗币的金额打破了往年的历史记录。截至三季度,统计一共有32起黑客入侵事件导致了15亿美金的资产被盗,而去年全年这个数字是1.8亿美金。

1)defi协议

Uranium?Finance——逻辑漏洞

2021年4月份流动性挖矿协议Uranium受到了攻击,被攻击的智能合约是MasterChief的修改版本。其中,用于执行“质押奖励”的代码出现了逻辑漏洞,使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子,并将它换成了价值130万美元的BUSD以及BNB。

报告:2021年加密货币市场上的女性投资者增长速度超越男性:4月6日消息,BTC Markets(BTCM)的一份新报告称,加密市场正在成熟,不再由投机驱动。根据该澳大利亚加密货币交易所的报告,2021年加密市场的增长是由实用性推动的。

根据这份报告,该平台上的女性投资者的增长速度快于男性投资者。女性投资者增加了126%,男性投资者增加了83%。

报告称,2021年BTCM最显著的新客户流入来自澳大利亚的“成熟财富积累者”,他们年龄在45岁至59岁之间,同比增长79%。BTC Markets首席执行官Caroline Bowler表示,这一趋势令人鼓舞,因为这一年龄段的人开始准备退休,他们对风险的偏好较为谨慎。(Cointelegraph)[2022/4/6 14:08:23]

CreamFinance——预言机操纵

10月27日,CreamFinance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币,同时通过操纵多资产流动性池来操纵预言机对yUSD的报价。在提高了yUSD的价格后,攻击者的yUSD价格被人为提高,从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

虎符智能链主网于2021年5月1日正式上线:官方公告,虎符智能链主网于2021年5月1日正式上线。欢迎所有DAPP开发者和项目进入全新竞技场,共同开启公链2.0 时代。

虎符智能链(Hoo Smart Chain,简称 HSC)是一个易扩展的高性能基础公链。为开发人员提供高效且低成本的链上环境,以运行去中心化智能合约应用程序(DApps)和存储数字资产。

在虎符智能链主网上线前,众多加密资产项目与开发者在体验测试网后就已经与HSC生态联盟展开了合作,帮助开发者和用户获得更好的链上体验,共同将HSC建设成为更加强大的区块链基础设施平台。

HSC部分合作伙伴:Token Pocket、慢雾科技、金色财经、链闻等,更多合作伙伴请登录官网查询。欢迎大家加入虎符智能链生态联盟,共建可持续发展的HSC生态。[2021/5/2 21:17:02]

BadgerDAO——前端恶意代码注入

攻击者获取了项目方在Cloudflare后台的APIKey,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易,就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。

高性能隐私区块链Findora测试网将于2020年8月中下旬正式启动:据官方消息,高性能隐私区块链Findora测试网将于2020年8月中下旬正式启动。Findora公链测试网阶段将从基础公链、智能合约、隐私计算、去中心化金融(DeFi)等方面进行全方位的安全审计及渗透测试,维护Findora公链测试网络安全稳定运行。激励测试网第一阶段持续时间约为1个月,参与激励测试网的验证者将获总计100万枚FinTokens的奖励。[2020/8/18]

Anyswap——后台签名

出事是因为后台签名时采用了不恰当的值,攻击者通过两笔交易来推导出了它签名的私钥。

简而言之,defi协议除了自身的代码需固若金汤,因其需与其他协议交互的可组合型,业务逻辑也要严丝合缝。最重要的是,Defi协议需借助第三方服务,而这些第三方服务很有可能面临外部操纵的风险,这也是产品受到黑客攻击的主要原因。

2)钱包——钓鱼信息

动态 | IOST公布2020年路线图 ?:据IOST官方消息,2020年1月15日,IOST公布了其2020年的发展路线图——破晓计划。该计划详细描述了2020年上半年IOST的发展方向:IOST将在节点合伙人计划、Staking机制、DApp生态、跨链技术、落地应用、合规发展、政企合作等方面持续发力,创造更加开放、连通、高效的区块链价值网络。据悉,IOST是一个由红杉、经纬、真格等投资机构投资,为在线服务提供商开发的区块链应用平台。[2020/1/16]

举个比特币钱包Electrum的例子,当用户旧版本并连接到攻击者的节点是,攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时,黑客便轻松掌握了用户的私钥。

3)交易所

不同于项目方一旦出事,人们可以通过链上公开的交易记录进行分析;交易所出事只有内部人员知道发生了什么,那些信息也不会被公开。一般交易所出事来自于这几个方面:交易所的服务器被黑了,攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击,然后攻击者通过工作人员的账号访问到内部系统,接触到了热钱包的私钥等等。

资产被盗后的处理方式

关于资产被盗后的处理方式,可以从三个角度来分析。

项目方一般会采取这几个解决方式:

1)即时暂停智能合约中的通证转移和交易服务;对于不能暂停的合约,查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务,避免合约被再次攻击。

2)同时向社区发出警告,避免新的投资者把财产放到有漏洞的合约里面。

3)联系第三方安全公司,请求帮助分析漏洞产生的原因,并合作共同修复漏洞。

4)对于被盗资金的去向,假如合约里面存在黑名单功能;第一时间屏蔽黑客地址,防止黑客进行资金转移。

5)和安全公司和执法部门合作追回被盗的财产,同时想出合理的补偿方案来减少用户的损失。

从交易所的角度来说,有两种情况:

1)假如交易所本身被盗,需第一时间暂停所有的提现充值功能,把损失降到最少。交易所保留系统里面的所有信息以便日后做分析使用,联系安全公司或者执法部门,帮忙做财产追踪。

2)假如某个项目被黑的话,交易所可以监控黑客相关链上地址,如果监测到最新充值的关联地址,冻结该账户。

安全公司需要做到以下几点:

1)在事件发生之后分析漏洞产生的原因,并修复漏洞。

2)在项目重新上线之前提供安全审计服务,以减少项目重新上线之后的安全风险。

3)发布社区警告,同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞,可以通过保密渠道发出警告。

4)通过链上技术手段来追踪资金流向以及分析链下信息,帮助执法部门抓到黑客。

那么,为何安全公司对于漏洞已经层层筛查,还会被黑客有机可趁?事实是,对于某个项目的审计工作只能持续数个星期,而黑客的时间和精力是无限的。他们一旦瞄准某类项目,便会有比审计公司多得多的时间进行研究并展开行动。

今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。其次,跨链桥和其他Defi项目的不同的点是:普通Defi项目几乎100%的逻辑是在智能合约上实现的,而跨链桥是web2和web3的结合,是智能合约和传统后台的结合。非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。

未来区块链安全展望

未来随着技术的发展,区块链行业会变得日益安全吗?理论上是的。先说底层技术,首先编写智能合约的solidity语言是在慢慢变得成熟的。在最近的solidity版本8.0之后,之前比较常见的一种漏洞叫做integeroverflow便销声匿迹了。

其次,安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库,它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能,便能实现从零开始写代码。https://github.com/OpenZeppelin/openzeppelin-contracts

现在有很多安全工具会对代码进行检查;它可以帮助项目方在没有联系安全公司的情况下,找到一些潜在的漏洞,从而提高代码的安全性。随着越来越多的技术人员加入到这个领域来,区块链行业的安全壁垒会不断被加固。

从人为因素出发,项目方需要考虑金融模型以及商业逻辑是否值得推敲,并进行不计其数的测试才能消弭潜在的风险。

总而言之,Defi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。环顾Defi出事的所有原因,最主要的还是Defi项目还无法完全去中心化,需要借助第三方的外部服务。Defi行业在安全性上达到无懈可击,是这一赛道项目必需实现的目标,期待行业下一周期跑出拥有全新业务逻辑的Defi产品来!

标签:区块链EFIDEFDEFI区块链存证的特征有DeFinityxDEF2价格XDEFI Governance Token

世界币热门资讯
WEB:一文论述Web3、互操作性和元宇宙的关系_区块链游戏币有哪些

对某些人来说,Web3就是元宇宙。而对于一些其他人来说,它是完全神秘的,就许多新手来说,它可能与所谓的加密系统有关系.

1900/1/1 0:00:00
WEB:Web3复兴:向创作者天平一端加码,造内容黄金时代_TAL

注:原文作者为LiJin、KatieParrot,以下为全文编译。 1996年1月,比尔-盖茨发表了后来成为早期互联网经典著作之一的文章.

1900/1/1 0:00:00
TAL:多链GameFi基础设施Froyo Games完成160万美元融资,Animoca Brands领投_biconomy币前景

巴比特讯,12月1日,多链GameFi基础设施FroyoGames完成160万美元战略轮融资,AnimocaBrands领投.

1900/1/1 0:00:00
区块链:银行函证区块链服务平台正式投入应用 将支持明年审计高峰季应用需求_COI

证券日报记者张志伟见习记者张博12月10日,中国银行业协会发布消息,近日,由大华会计师事务所发起、平安银行回函的4笔全流程自动化电子函证成功落地.

1900/1/1 0:00:00
元宇宙:科技日报:元宇宙是风口也是虎口_元宇宙非法集资被抓

来源:科技日报记者?刘艳元宇宙席卷一切,科技巨头纷纷表态,但依然跳不出着眼于自身业务领域的投射,如同看一场又一场盲人摸象。元宇宙呈现的是什么,还处在比拼想象力的阶段.

1900/1/1 0:00:00
IMM:一项为期5年的研究将着眼于代币奖励是否能够改善非洲艾滋病患者的治疗效果_Made In Real Lif

一项为期五年的突破性研究将于今年年底在肯尼亚启动,研究加密代币激励是否能改善艾滋病患者的健康状况.

1900/1/1 0:00:00