BTC/HKD+0.75%
ETH/HKD-0.3%
LTC/HKD-1.04%
DOT/HKD-0.76%
ADA/HKD-1.84%
SOL/HKD-1.76%
XRP/HKD-2.25%
DOGE/US-1.12%歡迎來到成都鏈安策劃的『區塊鏈10大攻擊方式』系列文章。上周分享了區塊鏈十大攻擊方式系列(1)——51%攻擊,大家看的還過癮嗎?
閑話少說,今天,我們開啟系列文章第二篇——DeFi 黑客攻擊,繼續為大家講解區塊鏈安全生態領域的那些攻擊套路、漏洞。
區塊鏈技術的誕生,為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破。其中「去中心化金融(DeFi)」便是這兩年最為火熱的應用之一。
DeFi 是去中心化金融Decentralized Finance的縮寫,它指的是基于區塊鏈的金融服務體系。
和現在的金融體系不同,用戶的資金不會存放在第三方的金融機構中,而是通過各種智能合約去實現協議和信任,如此可以最大程度地減少風險。它是一個完整的開源生態系統,提供貸款、交易、資產管理和支付等金融服務。
DeFi攻擊事件頻發,最主要的原因還是其累計了巨額的資產。面對巨大的誘惑,黑客必然會想方設法去攻擊。比如跨鏈項目不僅僅是鏈上智能合約,還有鏈下的代碼,無論哪一部分出現了問題,都會被黑客所利用。
2022 年第一季度,區塊鏈領域共發生典型安全事件超過30起。總損失金額超12億美元,與去年同期相比增長了823%。
國雄資本姚尚坤:年輕人對比特幣投資應“多點遠觀、少點近摸”:1月12日消息,國雄資本有限公司董事長姚尚坤最近在接受采訪時表示,投資者尤其是年輕投資者,對于比特幣投資應“多點遠觀、少點近摸”。他稱,比特幣本身是一個風險性較高的投資產品,風險到底有多大誰都很難準確預料。很明顯,數字資產依然是風險較高的投資資產,資產價格的漲跌幅度和速度都與傳統資產有顯著差異,對其投資策略也應區別于傳統金融產品。(證券日報網)[2021/1/12 15:57:46]
數據顯示,DeFi項目仍為黑客攻擊的重點領域,其中主要涉及到的安全問題包括:閃電貸攻擊、私鑰泄露、智能合約重入攻擊、Rugpull等等。
閃電貸攻擊
閃電貸就是在一筆鏈上交易中完成借款和還款,無需抵押。由于一筆鏈上交易可以包含多種操作,使得攻擊者可以在借款和還款間加入其它鏈上操作,以極低的成本撬動巨額資金,結合其他漏洞進行套利、價格操縱等攻擊。
比如2022年4月17日,算法穩定幣項目Beanstalk Farms遭黑客攻擊,黑客獲利近8000萬美元,黑客通過閃電貸換取了350,000,000個DAI,500,000,000個USDC,150,000,000個USDT,32,100,950個BEAN和11,643,065個LUSD作為資金儲備,再利用惡意提案,導致本次攻擊的發生。
詳細分析可點擊此處閱讀:黑客獲利近8000萬美元,惡意提案如何防范?Beanstalk Farms被攻擊事件分析
私鑰泄露:
項目方由于遭受社會工程學或傳統網絡安全攻擊,導致私鑰泄露,從而項目方地址權限被盜取,從而攻擊者可進行轉賬、提取等任意操作。
比如在2022年2月10日,DeFi應用Dego Finance遭到黑客攻擊,成都鏈安安術團隊進行分析時發現本次攻擊由于項目方私鑰泄露,黑客利用私鑰提取了多個鏈上的資產。
詳細分析可點擊此處閱讀:被盜約1700萬美元,DeFi 世界的樂高Dego Finance就這樣“塌了”嗎?
智能合約重入攻擊:
在存在外部合約調用的項目中,如果外部合約調用發生在賬本更新之前,且外部合約調用可以被用戶控制,那么該項目可能存在重入風險。在項目未做重入防范的情況下,惡意的攻擊者可以通過重入攻擊威脅項目資金安全。
比如在2022年3月31日,Ola Finance遭遇智能合約重入攻擊,損失約為467萬美元。
詳細分析可點擊此處閱讀:約467萬美元的損失!Ola Finance被攻擊事件簡析
Rug pull:
“Rug Pull”是指項目方撤出支持、DEX流動性池或突然放棄一個項目,毫無征兆地就卷走投資者的資金。這是一個DeFi領域典型的退出騙局。
從黑客的角度來看,對區塊鏈生態系統的攻擊是一種理想的手段。因為這些系統是匿名的,而且行業暫時缺乏技術監管,這使得網絡犯罪分子可以通過攻擊安全性較低的 DeFi 項目或實施Rug Pull來獲取金錢收益。
經成都鏈安安全團隊梳理和總結,2022年第一季度的安全事件中,盡管70%的被攻擊項目經過了第三方安全公司的審計,但是30%未審計的項目,其被攻擊之后的損失金額也達到了7.2億美元,占第一季度總損失金額的60%。
可見?DeFi?項目上線之前的審計依舊重要。在我們研究之后,發現在未審計的項目中,50%的攻擊手法都為合約漏洞利用。因此,盡早審計和及時修復代碼漏洞,可以避免上線后項目被攻擊造成的嚴重損失。
DeFi 為許多機會打開了大門,特別是對于那些熱衷于推動加密市場向前發展同時保持資金流動的去中心化模塊的投資者和開發商。由于DeFi熱潮的興起,該領域也自然成為了黑客“大展拳腳”的重點對象。
安全性仍然是 DeFi 生態系統面臨的重大挑戰,因此DeFi項目方應做好前置預防工作,引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案,完善安全防護機制。作為用戶,在選擇項目時,應留意該項目是否經過安全審計,切不可掉以輕心。
Tags:
1.騰訊視頻和優酷的數字藏品爭奪戰 優酷視頻與騰訊視頻都是國內綜合視頻類網站用戶比較廣的APP平臺,兩者相互競爭,在競爭中成長,兩者都盯上數字藏品,可以看出國內數字藏品的勢頭很猛,也體現了大廠在追逐新事物很積極,而這場爭奪戰已經打響,但是新的世界還沒有完全開啟,誰也不知道里面有什么,但誰都知道,那是新世界。
隨著布道者、探索者與實驗產品越來越多,Web3正從一個模糊的概念變得具體。 一方面,Web3的基礎設施與市場教育等愈發完善,加之頗具吸引力的財富效應,StepN、無聊猿等Web3產品一時吸引了大量用戶興趣與注意力;另一方面,近百億美元風投資金涌入Web3領域,Facebook、谷歌等巨頭公司也相繼,美國、英國、法國、日本等發達國家也相繼表態大力發展We。
這個話題其實有點大,但我確實想聊一下這件事情。很多人詬病 ENS 的問題就是沒有實質性的賦能,只做治理用,之前 ENS 的大幅上漲來自于人們對于協議產品的肯定以及對于 ENS 治理權利的爭奪。
歡迎來到成都鏈安策劃的『區塊鏈10大攻擊方式』系列文章。上周分享了區塊鏈十大攻擊方式系列(1)——51%攻擊,大家看的還過癮嗎? 閑話少說,今天,我們開啟系列文章第二篇——DeFi 黑客攻擊,繼續為大家講解區塊鏈安全生態領域的那些攻擊套路、漏洞。 區塊鏈技術的誕生,為傳統金融、數據隱私、供應鏈、跨境匯款等應用領域帶來革命性的突破。
首例元宇宙星空間生日應援,在元宇宙里開生日party是一種怎樣的感受? 6月3日,是演員迪麗熱巴的30歲生日,所謂三十而立,如今的熱巴在不斷精進自身事業的同時,也收獲了許多“愛麗絲”們的喜愛。這不,為慶祝熱巴三十歲生日,粉絲們直接將生日應援開到了元宇宙中。
本文將討論為什么玩并賺到錢,我們設計進入游戲的方式,然后更好地談論以商業模式為核心的商業模式,并為以玩為游戲的未來。 他的創始人有一種恍惚,他們認為: “角色,游戲玩家一直在將血汗錢玩弄到游戲中,卻一無所獲。多虧了代幣,因為具有實際價值和NFT的價值。任何人都可以并且將因獲得收益而獲利。
金色財經報道,北京時間6月15日,OpenSea在其官方博客發文宣布,其正在遷移到Seaport,這是一種新的web3 市場協議,目標在于安全有效地買賣 NFT。 文章表示,Seaport 會改變游戲規則,協議是開源的、去中心化的,可以幫助OpenSea或者任何使用它的團隊更快地構建和發布新功能。
以太坊交易所
