前言
从Defi安全角度来看9月安全事件相较于较8月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。
知道创宇区块链安全实验室总结了9月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。
9月安全事件盘点
以下是9月发生的各领域的安全事件:
9月4日
NFT赛马项目DeRac针对DAO公共买家在未来解锁领取代币的合约DAOMaker分发系统被攻击。
TradFi参与者陆续进军加密市场,比特币自4月来首次突破3万美元:金色财经报道,随着一些传统金融(TradFi)参与者进一步进军加密货币市场,比特币今年4月以来突破3万美元,市场情绪看涨。比特币价格上涨之际,包括贝莱德、景顺和WisdomTree在内的几家TradFi巨头申请了现货比特币ETF。与此同时,由主要TradFi参与者支持的EDX加密交易所也于周二启动。该交易所由富达数字资产、嘉信理财和美国做市商Citadel Securities支持,将在美国提供四种代币,包括比特币、以太币、比特币现金和莱特币。其他进展包括银德意志银行宣布已在德国申请了数字资产托管许可证。[2023/6/22 21:53:16]
其漏洞原理是:Vesting合约未进行init未初始化保护,从而让黑客初始化了init的关键参数,也变更了owner,导致黑客通过紧急提款函数提取了合约资金,损失约400万美元。
声音 | 比特币安全专家:一旦再次发生金融危机,加密市场将率先崩溃:比特币安全专家Andreas Antonopoulos近期接受采访时表示,如果现在再次发升经济泡沫破裂的情况,将比2008年金融危机更加严重。2008年主要是涉及房地产领域,而现如今将远不止一个泡沫那样简单。Antonopoulos解释道:“它将以多种方式扩散到每一种金融资产,同样也会扩散到加密领域……你投资的房地产、债券、股票……所有这些都是过度膨胀的。”接着Antonopoulos补充说,不应该为了检验救生艇有多好而希望出现危机。他指出,人们没有意识到的一个因素是,当出现金融危机时,加密货币市场在一开始就会出现大规模崩溃:“它将严重崩溃的原因是,许多基于廉价资金的风险投资公司投资和个人私人投资将会枯竭。当人们害怕的时候,当出现那样的经济衰退的时候,他们就会撤回投资,同样也会撤回加密投资。”此外,Antonopoulos坚称,大规模衰退的第一个影响将是加密崩溃,因为市场的流动性将会枯竭。他补充称,这是一个“典型的影响,也是衰退的一个症状”。崩盘后,他表示有多种可能性,其中之一是比特币成为一种安全的避险资产。(AMBCrypto)[2020/1/5]
9月
现场 | Bodhi Market Prediction首席执行官:加密市场低迷并不影响共识:CoinTime现场报道,今日在芝加哥举办的区块链之声大会上,CoinTime美国首席运营官Angela Tong主持了有关中国区块链生态系统的小组讨论。Bodhi Market Prediction首席执行官兼创始人Xiahong Lin指出,市场低迷是非常正常的,健康的市场有时会在新价值加入时上升,而在价值下降时下跌。 这个看跌的市场提醒人们只关注价格本身是错误的,为人们提供了更多机会去思考关于该产业的下一代,这是区块链发展的真正共识。[2018/8/25]
NFT市场OpenSea出现漏洞导致30笔交易受到影响,至少42个NFT被销毁,损失约9.7万美元。
9月12日
Avalanche链上ZabuFinance由于其defi协议与代币协议之间不兼容被黑客利用,通过攻击获取45亿ZABU代币,损失约60万美元。
9月15日
去中心化交易所NowSwap遭到黑客攻击,由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超100万美元。
9月17日
9月17日,SushiSwap平台MISO上的DONA代币拍卖遭到攻击,黑客通过向MISO前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址获利,损失超300万美元。
9月20日
跨链协议pNetwork因代码漏洞遭攻击,损失约1308万美元。
9月21日
借贷协议Vee.Finance,超3500万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。
9月
OpenZeppelin的TimelockController合约修复了一个可重入漏洞,这是OpenZeppelin在其开源智能合约库中唯一存在的严重漏洞。
9月30日
去中心化借贷协议Compound出现漏洞错误地允许一些用户索取额外的COMP代币,该漏洞损失约28万枚COMP代币。
总结
各链上项目问题依然十分严峻,智能合约层面的漏洞导致的损失一般都十分巨大,相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞,希望各方在开发项目或者审计项目时多做考虑。
关于OpenZeppelin出现的漏洞则再一次提醒我们,没有绝对的权威,任何项目都需要多方验证保证其安全性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。