文/TRM Labs,译/金色财经xiaozou
根据TRM Labs对黑客事件的回顾,针对DeFi项目和跨链桥的黑客攻击让加密货币生态系统今年成为黑客攻击创纪录的一年。截至2022年11月,被盗资金已超过36亿美元。
DeFi和非DeFi黑客攻击窃取的总金额
3.5:1——这是针对DeFi的黑客攻击与非DeFi攻击的比例。?
80——这是今年由于DeFi攻击导致的加密货币被盗总额的百分比,数额高达30亿美元。
11x——跨链桥黑客攻击平均规模大约是非跨链桥攻击的11倍。针对DeFi支持的跨链桥黑客攻击虽不如针对其他目标的黑客攻击那么常见,但平均规模要大得多。
金色晚报 | 11月30日晚间重要动态一览:12:00-21:00关键词:人民银行、以太坊2.0、BitMEX、欧洲央行、美元指数
1. 数据:以太坊2.0存款合约地址余额突破85万ETH
2. 中国人民银行行长易纲:稳妥推进数字货币研发,健全法定数字货币法律框架。
3. 国家互联网应急中心推出“区块链之家”小程序“链查查”。
4. BitMEX母公司100x Group宣布将继续资助开发者Alex Hultman。
5. 欧洲央行行长:数字欧元将是正在进行的欧洲一体化进程的象征,并最终有助于统一欧洲的数字经济。
6. 美元指数DXY跌破前低91.73,刷新逾两年半以来新低。
7. ECC执行董事:ETC并未遭51%攻击 Kraken报告出错。
8. Block.one:已有39个技术组织对EOS新资源模型提案作出回应。
9. 疫苗企业Moderna:初步分析显示,新冠疫苗有效性为94.1%。[2020/11/30 22:37:01]
13——这是截至2022年11月,TRM Labs检测到的跨链桥黑客攻击数量,失窃金额近20亿美元。
金色晚报 | 5月28日晚间重要动态一览:12:00-21:00关键词:人大会议、俄罗斯、Block.on、Filecoin
1. 十三届全国人大三次会议表决通过了《中华人民共和国民法典》;
2. 俄罗斯央行将推出区块链数字抵押贷款平台
3. Block.one宣布34家加密项目获“EOS VC Grants”计划资金支持;
4. 报告:央行数字货币全球赛跑 韩国已进入概念证明阶段;
5. 石榴矿池:Filecoin代码存在严重漏洞可实现无限增发;
6. 纽约居民被控涉嫌参与9400万美元的比特币换卡计划而面临监禁;
7. 《我的世界》插件允许玩家在服务器上生成代币;
8. 招商局港口集团与蚂蚁区块链达成战略合作;
9. 安全公司:Fastjson全版本远程代码执行漏洞曝光。[2020/5/28]
9/10——截至当前,2022年10个最大的黑客攻击中有9个是针对DeFi的,其中有5个是针对跨链桥的。如能预防最大的9次DeFi攻击,将使65%的资金免于被盗。
金色快评:强监管袭来,柬埔寨决意肃清境内ICO乱象:大约半年前,2018年3月13日,柬埔寨《金边邮报》报道,柬埔寨副总理萨姆?安最近宣布启动数字货币Entapay,并鼓励该公司遵守法律,同时禁止金融机构从事数字货币交易,随后在4月1日,《金边邮报》发布的一份报告表明,柬埔寨的虚拟货币行业正在向前推进,但柬埔寨加密货币的监管归属还模糊不清。针对此事Khmer Crypto基金会的创始人表示:“它可能属于[柬埔寨国家银行(NBC)]或[柬埔寨证券交易委员会(SECC)],但尚不清楚它将是哪一个。”
由于柬埔寨对于区块链与代币发行(ICO)监管模糊不清,越来越多的ICO项目选择在柬埔寨进行注册,并借助当地扶持政策拓展应用场景空间,也造成了新一轮ICO乱象,让部分具有欺诈性质的ICO项目卷土重来。
眼下,这种狂欢将落下帷幕。6月19日,柬埔寨国家银行、柬埔寨证券交易委员会、国家警察总署发表联合声明,郑重宣布所有在柬埔寨宣传、流通、交易的未获主管部门颁发执照的加密货币均属于非法行为。这一举动意味着柬埔寨已经确定要肃清境内的ICO、加密货币乱象的决心,也宣布了柬埔寨境内加密货币强监管时代的到来。[2018/6/19]
据Defilama数据,DeFi的总锁定价值(TVL)在过去两年里呈爆炸式增长,从2020年10月的约100亿美元增长到2022年11月的420亿美元。Defilama数据同样显示,在11月底的7天里,桥交易量约为13亿美元。
金色财经现场报道 玉红:21个超级节点是天才的想法、狗屎的设计:金色财经现场报道,在火讯琅琊榜观火“第2期线下见面会”上,进行以《EOS?EOS!EOS……》为题的圆桌论坛,三点钟创始人玉红指出:21个超级节点是天才的想法、狗屎的设计。我还是不去评价别人,做自己的事情,做好社群。从今天看来,在讨论过程中,大家对于区块链技术的理解会更为深入,EOS社区有很多值得我们学习的地方。[2018/6/2]
除了规模庞大外,DeFi项目和跨链桥的其他两个关键特征使它们成为潜在黑客的理想目标,也更容易遭受攻击:
复杂性:DeFi生态系统复杂且相互关联,这让黑客以开发人员无法预料或测试的方式利用漏洞。例如,在闪电贷款攻击中,黑客可以使用与目标无关的服务来操纵资产价格或放大攻击对主要目标的影响。
透明度:DeFi项目自然非常重视透明度,通常构建在开源代码之上。这使得任何人,无论是安全研究人员还是黑客,都可以查看代码并搜寻可利用的漏洞。
一些黑客还声称,可以在不违反法律的情况下操纵和攻击DeFi项目。这可能导致潜在攻击者将DeFi项目视为比CeFi目标风险更低的项目。
2022年10月,基于Solana的平台Mango Markets损失了约1.15亿美元,原因是有个团队操纵了其价格预言机(决定代币价值的权威)。自称为黑客领袖的Avraham Eisenberg后来透露了自己的身份,并将其团队活动描述为“利润丰厚的交易策略”,而非黑客行为。Eisenberg是否会被起诉,目前尚不清楚。
Mango Markets黑客发布推文称其行为是合法的
到目前为止,基础设施攻击、代码漏洞攻击和协议攻击占今年黑客窃取资金总量的大部分。一些黑客还组合使用这些攻击类型来窃取资金。
基础设施攻击让黑客侵入目标的安全控件,进行未经授权的交易,例如将资金从受害者地址发送到黑客所控地址。这种攻击类型的常见方法有窃取私钥、助记词,及前端攻击。
针对智能合约的代码漏洞攻击使攻击者能够在未经授权的情况下从DeFi协议中移除资金。在智能合约代码漏洞攻击中,黑客可能会使用已发现的漏洞对协议展开攻击。今年早些时候,Solana的wormhole桥成为黑客攻击的目标,导致该DeFi协议中超过3亿美元被盗取。
协议攻击是一种业务逻辑攻击,主要结果是攻击者可以操纵代币的价格,并创造套利机会,在一个市场低买,在另一个市场高卖。闪电贷款和治理操纵是其中最常见的协议攻击类型。
最近FTX和其他备受瞩目的中心化加密公司(如Celsius和Voyager等CeFi)的失败,可能会使人们对DeFi解决方案越来越感兴趣。如果投资者因此大批涌向DeFi,可能会进一步助长黑客的攻击动机。
为了降低这种风险,DeFi项目应该求助于传统的bug赏金计划、智能合约安全审计和商业安全解决方案。
传统的bug赏金计划给黑客和安全研究人员发放奖励,激励他们发现漏洞并将漏洞报告给DeFi项目。然后就可以在攻击利用该漏洞之前修补该漏洞。相比之下,加密赏金计划在攻击后向黑客支付资金鼓励其归还一定比例的被盗资金,这实际上会激励黑客的攻击行为。
安全审计可以发现DeFi项目顶梁柱——智能合约——中的漏洞,允许项目在黑客得以利用这些漏洞之前将其修复。但是,审计并不是万无一失的,应该与其他安全控件和策略合并使用。
新的商业解决方案正在开发,以提高整个DeFi生态系统的安全性。特别是当与现有的控件(如智能合约审计)相结合时,创新的安全产品可能会提供更好的DeFi安全性,尽管现在判断其效力还为时过早。
当结合使用时,这些控件和技术可以缩小DeFi协议的攻击面。随着DeFi的不断增长,黑客将寻求更大胆的方法来利用其弱点和漏洞——因此,保持持续的警惕性必不可少。
金色财经 子木
金色早8点
去中心化金融社区
CertiK中文社区
虎嗅科技
区块律动BlockBeats
深潮TechFlow
念青
Odaily星球日报
腾讯研究院
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。