区块链以无审查著称,是一片鼓励创新的热土,也是滋生犯罪的温床。当年众筹超过1.5亿美金的The Dao被黑客盗币后,进行了硬分叉操作,由此产生了如今的以太坊。自区块链创世以后,各种针对交易所、钱包以及dapp的黑客盗币事件频发。那么,2021年区块链安全领域又经历了何种波澜,后续的处理工作又是如何的呢?
(本文由分布式资本原创,顾问CertiK高级安全工程师王沛宇,撰文有匪。)
2021年区块链黑客盗币事件整理
Uranium Finance——逻辑漏洞
火币行情播报:BTC日内大幅回调,成交量明显放大:据火币行情显示,BTC日内大幅回调,最低跌至16354.28USDT。一小时级别来看,BTC这波下跌从凌晨开始,期间出现两次成交量的明显放大,这波回调可能是由多种原因共同引起,同时由于接近年底,多头对增量资金预期降低,也进行了一定的获利了结。截至18:30,火币平台的主流币的具体表现如下:[2020/11/26 22:14:41]
10月27日,Cream Finance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币,同时通过操纵多资产流动性池(包含yDAI、yUSDC、yUSDT和YTUUSD)来操纵预言机对yUSD的报价。在提高了yUSD的价格后,攻击者的yUSD价格被人为提高,从而创造了足够的借款限额以借走Cream Finance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。
OM 将于8月18日上线Uniswap,Bithumb Global以及虎符交易所:据MANTRA DAO官方披露,跨链DeFi项目MANTRA DAO即将进入中国市场。据悉MANTRA DAO已经获得包括 Waterdrip, LD Capital, Plutus VC, 以及 Kenetic Capital等众多资本青睐,同时也与共识实验室、NOVA等业内优质资方达成了战略合作。同时,MANTRA DAO的代币OM 将于8月18日全球首发Uniswap,Bithumb Global以及HOO(虎符)交易所。
Bithumb Global 将于2020年8月18日09:00(UTC+8)开启充值,2020年8月18日10:15(UTC+8)开启提币并开启 OM / USDT 交易对。
虎符将于2020年8月17日17:00(UTC+8)开启充值,2020年8月18日17:00(UTC+8)开启交易,2020年8月19日15:00(UTC+8)开启提币并开启OM / USDT 以及 OM / BTC 交易对。
MANTRA DAO是一种基于去中心化社区自治(DAO)并专注于跨链资产的配资,质押和借贷的新金融理念,来打造的易用和安全的DeFi产品,MANTRA DAO打通传统金融和去中心化的区块链体系,由OM代币联系在一起,将金融控制权回归于用户,为用户提供经济激励、治理投票和其他权益。[2020/8/17]
Anyswap——后台签名
Paxos 7月独立会计师报告:已发行流通的PAX约为2.54亿枚:Paxos发布的7月份独立会计师报告显示,截止美东时间2020年7月31日下午5:00,已发行流通的PAX约为2.54亿枚,与之背书的美元账户余额为2.54亿美元,较6月增加1500万枚。[2020/8/13]
2)钱包——钓鱼信息
不同于项目方一旦出事,人们可以通过链上公开的交易记录进行分析;交易所出事只有内部人员知道发生了什么,那些信息也不会被公开。一般交易所出事来自于这几个方面:交易所的服务器被黑了,攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击,然后攻击者通过工作人员的账号访问到内部系统,接触到了热钱包的私钥等等。
资产被盗后的处理方式
项目方一般会采取这几个解决方式:
1)即时暂停智能合约中的通证转移和交易服务;对于不能暂停的合约,查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务,避免合约被再次攻击。
2)同时向社区发出警告,避免新的投资者把财产放到有漏洞的合约里面。
3)联系第三方安全公司,请求帮助分析漏洞产生的原因,并合作共同修复漏洞。
4)对于被盗资金的去向,假如合约里面存在黑名单功能;第一时间屏蔽黑客地址,防止黑客进行资金转移。
5)和安全公司和执法部门合作追回被盗的财产,同时想出合理的补偿方案来减少用户的损失。
那么,为何安全公司对于漏洞已经层层筛查,还会被黑客有机可趁?事实是,对于某个项目的审计工作只能持续数个星期,而黑客的时间和精力是无限的。他们一旦瞄准某类项目,便会有比审计公司多得多的时间进行研究并展开行动。
其次,安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库,它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能,便能实现从零开始写代码。
从人为因素出发,项目方需要考虑金融模型以及商业逻辑是否值得推敲,并进行不计其数的测试才能消弭潜在的风险。
总而言之,Defi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。环顾Defi出事的所有原因,最主要的还是Defi项目还无法完全去中心化,需要借助第三方的外部服务。Defi行业在安全性上达到无懈可击,是这一赛道项目必需实现的目标(尤其对中心化严重的跨链赛道而言),期待行业下一周期跑出拥有全新业务逻辑的Defi产品来!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。