前言
2020年初,随着整个行业认知和规模的不断升级,以及疫情、Fcoin等各类黑天鹅事件频出的影响,区块链技术的更新迭代由此受到了更严峻的挑战,安全领域也同样面临考验。
之前提到,虽然2019年行业安全意识整体有所提高,DApp、智能合约等原先存在的溢出、重放、随机数等基础型攻击方式整体减少,但这也使黑客们的攻击方式趋于多样化。
2020年的技术方向有何变化?更应注意哪些领域的安全防范措施?发展迅猛的DeFi如何解决安全性和隐私性问题?本期米林有约邀请到了慢雾科技的安全团队,一起来解答以上这些问题。
文/星阳
出品/米林财经&慢雾团队
01关于慢雾科技
慢雾科技是一家专注区块链生态安全的公司,由一支拥有十多年一线网络安全攻防实战的团队创建,团队成员曾打造了拥有世界级影响力的安全工程。
自2018年1月成立至今,致力于成为全球领先且专注于区块链生态的安全公司,慢雾科技已经为全球多家领先的数字货币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。
慢雾科技在行业内曾独立发现并公布多起通用高风险的安全漏洞,得到业界的广泛关注与认可。
研究:政府对Meta公司用户数据最感兴趣:金色财经报道,Meta、苹果、谷歌和微软经常被指控收集和出售其用户的个人数据。根据Surfshark 的一项新研究表明,全球政府对此类个人用户数据的请求正在增加。该研究的重点是从 2013 年到 2021 年的时间段,其中 2020 年同比增长 38% 最为突出,其次是 2021 年增长 25%。
Meta、微软、苹果和谷歌是调查期间考虑的四家大型科技公司,其中 Meta 是政府当局最感兴趣的账户。Meta 托管的五个帐户中有两个在研究期间被请求 (660 万)。 60% 的请求来自美国和欧洲当局。美国要求每 100,000 名用户的帐户数量是欧盟所有国家加起来的两倍多。[2023/3/30 13:35:42]
目前慢雾科技已为全球50多家交易所提供了安全审计与安全顾问服务,例如火币、OKEx、币安、BigONE等。
同时也为100多款软件、硬件钱包提供了安全服务,包括MYKEY、imToken、imKey等,此外,慢雾已经累计审计了30几条公链和600多份智能合约,例如唯链、本体、PlatON,以及稳定币TrueSD、HUSD、OKUSD等,慢雾在区块链安全方面有着非常丰富的经验。
Alchemy Pay已支持Discover Card和Diners Club Card:金色财经报道,加密支付服务商Alchemy Pay宣布其Ramp功能已支持Discover Card和Diners Club Card,允许卡用户使用法币购买加密资产和NFT,也允许合作企业添加Discover Card和Diners Club Card支付方式。Discover和Diners Club是六大国际卡组织之一及美国第三大信用卡品牌,持卡人数仅次于Visa和Mastercard。[2023/3/3 12:40:37]
02如何判断平台的安全性
问:对于一个平台或者公链的安全审核会从哪些维度评估?用户如何判断一个平台的安全性?
答:我们在审计交易所时,会从服务端安全配置、身份鉴别管理、认证与授权管理、业务逻辑、私钥管理系统、热钱包架构等方面进行安全审计,确保平台各个方面都是安全的。
公链审计的话,主要关注的是P2P通信、RPC调用、密码学组件、共识机制、资产交易等关键模块。
从用户角度看,尽量选择国际知名的交易所是一个比较通用的原则,同时,也可以看这个交易所有没有请第三方安全公司做过安全审计,这样可以从侧面看出这个交易所对安全的重视程度。
Aptos生态订单簿协议Econia已收购Aptos生态现货DEX Laminar Markets:金色财经报道,Aptos生态订单簿协议Econia已收购Aptos生态现货DEX Laminar Markets,项目开发团队已经合并,Econia将集成Laminar现有的订单簿工具,为DApp开发人员和做市商提供无缝的集成体验。[2023/3/2 12:38:04]
03慢雾的优势
问:和其他安全领域的公司相比,慢雾有什么优势?
答:慢雾是国内最早专门做区块链生态的安全公司,同时我们的服务范围包括交易所、钱包、公链、联盟链、智能合约、矿池等等,几乎所有区块链生态里的项目类型我们都能提供针对性的安全服务。
这主要是因为,我们团队成员拥有十几年的网络安全攻防经验,以及深厚的区块链漏洞挖掘能力,目前我们已经独家发现并命名了多个区块链漏洞。
例如:以太坊黑人节漏洞、USDT假充值漏洞、以太坊代币假充值漏洞、瑞波币(XRP)“假充值”漏洞、EOSDApp充值“假通知”漏洞、EOS假充值(hard_fail状态攻击)、门罗币(XMR)锁定转账攻击等等。
印度12月1日起在四座城市试行数字货币:金色财经报道,印度央行宣布,将从12月1日开始在四座城市推行零售数字货币试点项目。印度央行说,印度国家银行、印度工业信贷投资银行、耶斯银行和IDFC第一银行等四家印度银行将参与这项在孟买、新德里、班加罗尔和布巴内什瓦尔开展的试点项目。后续还会有更多银行和城市加入。据印度央行介绍,此次试点项目将测试电子卢比的产生和分配过程的稳健性及其在零售中的实时使用效果。[2022/12/1 21:13:38]
此外,我们同时服务了世界前三大交易所、世界顶级去中心化钱包、世界知名公链及稳定币,我们服务的客户数量已超过700家,是行业里遥遥领先的。
04FCoin需要改进的地方
问:Fcoin张健前几天在公告中提出,技术问题造成了1000万美金的损失,在慢雾看来,Fcoin在资产安全和透明上有哪些需要改进的地方?
答:慢雾专注于区块链生态安全,从我们安全服务的50几家交易所来看,我们深刻觉得运营交易所是一个知识覆盖面很广、技术难度也比较大的事情,需要各方面人力、物力、财力的投入,才能保障交易所安全、稳定的运营。
目前交易所行业内值得推崇的做法是资产透明和100%保证金,公开交易所的冷热钱包地址,让公众能查看钱包的交易记录,提升用户对交易所的信任感。
安全团队:MTDAO项目方的未开源合约遭受闪电贷攻击,损失近50万美元:金色财经报道,据Beosin EagleEye Web3安全预警与监控平台检测显示,MTDAO项目方的未开源合约0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受闪电贷攻击,受影响的代币为MT和ULM。攻击交易为0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499,共获利487,042.615 BUSD。攻击者通过未开源合约中的0xd672c6ce和0x70d68294函数,调用了MT与ULM代币合约中的sendtransfer函数获利(因为同为项目方部署,未开源合约0xFaC06484具有minter权限)。
Beosin安全团队分析发现攻击者共获利1930BNB,其中1030BNB发送到0xb2e83f01D52612CF78e94F396623dFcc608B0f86地址后全部转移到龙卷风地址,其余的swap为其他代币转移到其它地址。用户和项目方请尽快移除流动性,防止攻击合约有提币和兑换接口。[2022/10/17 17:29:32]
问:谈到交易所的安全,去中心化交易所是否就比中心化交易所安全呢?对于去中心化交易所的安全评估维度会有什么侧重点吗?
答:去中心化交易所主要的特点是资产在用户的钱包地址中,资产转移由用户的私钥签名控制,平台本身不会托管或者无法挪用用户资产,对用户的使用门槛更高。
在安全审计方面,会重点关注去中心化交易所的智能合约是否存在安全漏洞,在身份认证、权限管理、拒绝服务漏洞等方面会特别关注,Web安全方面就和中心化交易所一样。
2019交易所攻击事件
05如何规避攻击
问:交易所被黑客攻击已经是家常便饭,慢雾曾经发现其中一个重要的攻击手法为APT(AdvancedPersistentThreat:高级持续性威胁),可否简单描述一下这个攻击手段?区块链的攻击主要有哪些类型,慢雾有没有做一些分析和统计,需要哪些方面去规避攻击?
答:APT攻击是一种高级攻击手法,攻击方往往是团队作战,并且会持续很长时间的盯着一个目标。
APT攻击在传统互联网安全攻防中是比较多出现的,近两年由于数字货币生态的逐渐发现,越来越多的交易所、钱包遭遇APT攻击,这在攻防对抗实力上是不对等的,交易所可以借助职业的第三方安全团队来针对性提升平台对抗APT攻击的水平。
区块链生态中的攻击类型有非常多,可以按照项目的类型来区分,慢雾开发了区块链被黑档案库和慢雾BTI平台,能够对区块链生态历史上发生的各类攻击进行分类整理和统计,同时通过图表进行可视化的展示。
网址分别是https://hacked.slowmist.io/和https://bti.slowmist.com/
062020安全和技术的方向
问:在2020年,区块链行业安全和技术领域应重点关注的是哪块?
答:根据慢雾区块链被黑档案库(hacked.slowmist.io)数据统计,区块链世界至今被黑金额已近85亿美金,其中交易所占了40多亿,47%,这个比例是很可怕的,近一半的被黑都来自交易所。
而未被披露的更多,根据我们内部数据统计,已披露被黑事件占所有被黑事件的比率大概是1/3。在2020年交易所安全依然是重点关注的。
2020年,区块链技术的发展有三个方向值得期待:
1.稳定币的商业创新应用。如果Libra等项目进展顺利的话,对加密世界也是个很大的推进。
2.Web3.0让用户掌握自己的数据,期待Web3.0亮眼的应用出现。
3.我们始终期待隐私应用在几个关键方向的成熟:资金交易隐私及用户数据隐私,其中一个很期待成熟落地的应用是安全多方计算(MPC)相关应用,这可以很通用且安全地解决需要多方角色进行的私钥操作及数据授权等场景的安全可信问题。
07DeFi的安全隐私问题
问:慢雾如何看DeFi仍然会面临的安全和隐私性问题?是否具备可执行的解决方案?
答:2019年DeFi应用发展迅猛,新形态的推出总会经历一段混沌期,目前用户更多会关注DeFi应用的功能和收益,未来在安全和隐私上,随着Web3.0的发展也会带来一定的升级。
在平台安全方面,近期的bZx安全事件反应出一个风控机制缺失的问题,对Oracle的数据没有进行相应的检查,导致兑换价格被恶意操纵,给平台带来资产及品牌上的损失。
bZx已经遭受了两次攻击,不同的是本次的对象是ETH/sUSD交易对,但也许有人会有疑问,sUSD不是对标USD的稳定币吗?这都能被攻击?攻击手法具体是怎样的?
在第一次攻击中,攻击者结合Flashloan和Compound中的贷款,对bZx实施攻击,主要分成以下几步:
1.从dYdX借了10000个ETH;
2.到Compound用5500ETH借了112个BTC准备抛售;
3.到bZx中用1300个ETH开5倍杠杆做空,换了51.345576个BTC,而这里换取的BTC是通过KyberNetwork来获取价格的,然而KyberNetwork最终还是调用Uniswap来获取价格,5倍杠杆开完后兑换回来的51个BTC实际上是拉高了UniSwap中BTC/ETH的价格,换取价格是1/109,但是实际上大盘的价格不会拉到这么多;
4.用从Compound借来的112个BTC来在UniSwap中卖掉,由于第三步中bZx中的5倍杠杆已经把价格拉高,所以这个时候出售ETH肯定是赚的,然后卖了6871个ETH;
5.归还dYdX中的借贷。
第二次攻击与之前稍有不同,但核心都在于控制预言机价格,并通过操纵预言机价格获利。
两次攻击的主要原因还是因为Uniswap的价格的剧烈变化最终导致资产的损失,这本该是正常的市场行为,但是通过恶意操纵市场,攻击者可通过多种方式压低价格,使项目方造成损失。
针对这种通过操纵市场进行获利的攻击,慢雾安全团队给出如下建议:
项目方在使用预言机获取外部价格的时候,应设置保险机制,每一次在进行代币兑换时,都应保存当前交易对的兑换价格,并与上一次保存的兑换价格进行对比,如果波动过大,应及时暂停交易。防止市场被恶意操纵,带来损失。
标签:区块链ETHBTC区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势ETH钱包地址ETH挖矿app下载Etherael指什么寓意BTCs是不是黄了btc钱包官网btc短线交易
拒绝野味,远离病!新冠肺炎疫情给人们的生命健康安全带来重大影响,根据相关研究指出,疫情发生与食用野味有密切关系.
1900/1/1 0:00:00来源:中国经营报 因怀疑人民币上可能沾染“新冠肺炎病”,近日江苏无锡江阴市的李阿姨居然把现金放进微波炉中加热消,3000多元人民币被烤得面目全非.
1900/1/1 0:00:00世界各地电力系统发展日新月异。一个多世纪以来,电力系统主要依靠化石燃料发电,并通过杂乱的电网输送给终端用户。公用事业只有一个简单的目标:以低成本提供可靠性高的电力.
1900/1/1 0:00:002019年12月12日,“第23届中国供应链技术与管理发展高级研讨会”在浙江湖州隆重召开。万联网对中国综合开发研究院物流与供应链管理研究所所长王国文进行了专访.
1900/1/1 0:00:00新冠疫情在世界范围内的影响仍在延续,就在昨天印第安维尔斯官方宣布了取消即将进行的印第安维尔斯大师赛/皇冠赛的比赛.
1900/1/1 0:00:00南京地区作为明代的、经济中心,墓葬出土了大量宋、明时期的金银玉器,以首饰冠带等饰物最为华丽.
1900/1/1 0:00:00