转眼间已经陪伴CertiK走入了第五个年头,然而随着阅尽千篇审计报告,却一直有一个问题,让譬如小编这样的技术门外汉倍感疑惑。有的时候,我们辨别一个项目的代码是否优质,就是查看它的审计报告。而后根据审计报告中的风险等级和数目来判断这个项目代码的安全性是否达到标准。
但是近一年中,很多项目的代码相对足够完善和安全,却不约而同地存在着一个主要风险——中心化风险。
那么具备这一风险的项目,假如它的代码在其他方面表现得很良好,我们如何判断它的代码质量优质亦或不优质?
这样的项目在以往的审计记录中,占据了很大的比例——在CertiK统计的2021年1737份审计报告中,具备中心化风险的项目竟有286个之多,占据比例近17%。
慢雾:6月24日至28日Web3生态因安全问题损失近1.5亿美元:7月3日消息,慢雾发推称,自6月24日至6月28日,Web3生态因安全问题遭遇攻击损失149,658,500美元,包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]
而在CertiK近期发布的中,更是指出:2021年造成黑客攻击最常见的原因是中心化风险,在因此产生的44起DeFi黑客攻击事件中,总资产损失高达13亿美元!
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
复制链接至浏览器即可下载安全报告:
慢雾:yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日,据慢雾区情报,知名的链上机池yearnfinance的DAI策略池遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式给大家分享细节,供大家参考:
1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH;
2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC;
3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CruveDAI/USDC/USDT的大部分流动性;
4.攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值;
5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币;
6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复;
7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例体现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中;
8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次,并归还闪电贷,完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]
https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese
慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]
DAO乃至整个加密世界最独一无二的核心本质。
从定义上讲——百度百科搜索的结果如下:在一个分布有众多节点的系统中,每个节点都具有高度自治的特征。节点之间彼此可以自由连接,形成新的连接单元。任何一个节点都可能成为阶段性的中心,但不具备强制性的中心控制功能。这种开放式、扁平化、平等性的系统现象或结构,我们称之为去中心化。
而中心化风险仅在这一层面,就背离了加密领域创建的初衷。
中心化风险的核心是DeFi协议内的单一故障点——拥有中心化所有权的智能合约比拥有时间锁或多签名密钥所有权的合约风险更大。
一旦这一风险被恶意攻击者利用,那么无限铸币、RugPull以及其他各类型的攻击事件将接踵而来。
如果你的合约具备铸币漏洞,那么攻击者但凡能拿到合约私钥,即可转手铸造无数代币然后想给谁就给谁。
很明显,这种攻击方式对于项目的所有者来说简直就是印钞神器,当然也有些项目会成为其他黑客的ATM机。
另一种比较典型的攻击方式就是RugPull,CertiK刚刚发布分析的BabyMusk攻击事件就是一个典型的案例。
在这种攻击手法中,有些是项目所有者恶意抛售其所持有的全部代币以此消耗去中心化交易所的流动性。还有些是项目所有者直接从合约中窃取代币,如预售锁定合约类的项目。
在有些去中心化交易所中,具备RugPull风险的项目简直多如牛毛——因为上币并不需要通过审计。
典型案例
DeFi协议bZx因私钥管理不善于2021年11月被恶意攻击导致损失高达5500万美元。
该项目合约私钥未采取多签名,攻击者通过钓鱼邮件轻松获取了私钥的控制权。这一中心化风险使得攻击者可以完全控制该私钥管理的所有合约。
在这一案例中,一旦攻击者获取了合约的控制权即可将代币从Polygon和BSC的部署中转移出来。
如何减轻中心化风险?
怎样才能减轻中心化风险?
智能合约审计是识别中心化风险的第一步,也是必要的一步。
通过智能合约审计,可以及时鉴别项目代码中存在的中心化风险,但只有审计是不够的,随后的代码修改同样至关重要。
在很多情况中,安全专家发现的问题以及给予的修改建议会被项目所有者置之不理....
这些行为简直就是在赤裸裸的呼唤黑客:快来呀,我这有钱给你!
CertiK将审计中发现的风险分为5个等级:严重、主要、中等、次要以及信息性。
上文中我们已经提过中心化风险属于主要风险等级,这代表着在特定情况下,该风险可能导致资金和/或项目控制权的损失。它也许不会显著影响平台运作,但同样是必须要解决的高危风险之一。
目前,CertiK官网已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及Rugpull相关的各种社群预警信息。
作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了2500家企业客户的认可,保护了超过3110亿美元的数字资免受损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。