区块链十大攻击方式系列二:DeFi 黑客攻击 真是防不胜防

Luna 来源: (阅读:0)

欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享了区块链十大攻击方式系列(1)——51%攻击,大家看的还过瘾吗?

闲话少说,今天,我们开启系列文章第二篇——DeFi 黑客攻击,继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。

区块链技术的诞生,为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融(DeFi)」便是这两年最为火热的应用之一。

DeFi 是去中心化金融Decentralized Finance的缩写,它指的是基于区块链的金融服务体系。

和现在的金融体系不同,用户的资金不会存放在第三方的金融机构中,而是通过各种智能合约去实现协议和信任,如此可以最大程度地减少风险。它是一个完整的开源生态系统,提供贷款、交易、资产管理和支付等金融服务。

DeFi攻击事件频发,最主要的原因还是其累计了巨额的资产。面对巨大的诱惑,黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约,还有链下的代码,无论哪一部分出现了问题,都会被黑客所利用。

2022 年第一季度,区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元,与去年同期相比增长了823%。

V神抨击比特币开发者攻击PoS共识机制:7月4日消息,以太坊创始 Vitalik Buterin站出来为权益证明(PoS) 机制辩护,因别人指控该协议没有提供去中心化共识。对PoS的攻击是由比特币开发人员Jimmy Song发起的,他指出该协议没有解决拜占庭将军的问题。

在7月3日的一条推文中,Butrerin抨击Song指出他对PoS的攻击是“愚蠢的”,因为由于定义,他是基于技术性的。(finbold)[2022/7/5 1:50:39]

数据显示,DeFi项目仍为黑客攻击的重点领域,其中主要涉及到的安全问题包括:闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。

闪电贷攻击

闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得攻击者可以在借款和还款间加入其它链上操作,以极低的成本撬动巨额资金,结合其他漏洞进行套利、价格操纵等攻击。

比如2022年4月17日,算法稳定币项目Beanstalk Farms遭黑客攻击,黑客获利近8000万美元,黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备,再利用恶意提案,导致本次攻击的发生。

详细分析可点击此处阅读:黑客获利近8000万美元,恶意提案如何防范?Beanstalk Farms被攻击事件分析

私钥泄露:

项目方由于遭受社会工程学或传统网络安全攻击,导致私钥泄露,从而项目方地址权限被盗取,从而攻击者可进行转账、提取等任意操作。

比如在2022年2月10日,DeFi应用Dego Finance遭到黑客攻击,成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露,黑客利用私钥提取了多个链上的资产。

详细分析可点击此处阅读:被盗约1700万美元,DeFi 世界的乐高Dego Finance就这样“塌了”吗?

智能合约重入攻击:

在存在外部合约调用的项目中,如果外部合约调用发生在账本更新之前,且外部合约调用可以被用户控制,那么该项目可能存在重入风险。在项目未做重入防范的情况下,恶意的攻击者可以通过重入攻击威胁项目资金安全。

比如在2022年3月31日,Ola Finance遭遇智能合约重入攻击,损失约为467万美元。

详细分析可点击此处阅读:约467万美元的损失!Ola Finance被攻击事件简析

Rug pull:

“Rug Pull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目,毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出局。

从黑客的角度来看,对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的,而且行业暂时缺乏技术监管,这使得网络犯罪分子可以通过攻击安全性较低的 DeFi 项目或实施Rug Pull来获取金钱收益。

经成都链安安全团队梳理和总结,2022年第一季度的安全事件中,尽管70%的被攻击项目经过了第三方安全公司的审计,但是30%未审计的项目,其被攻击之后的损失金额也达到了7.2亿美元,占第一季度总损失金额的60%。

可见?DeFi?项目上线之前的审计依旧重要。在我们研究之后,发现在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。

DeFi 为许多机会打开了大门,特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起,该领域也自然成为了黑客“大展拳脚”的重点对象。

安全性仍然是 DeFi 生态系统面临的重大挑战,因此DeFi项目方应做好前置预防工作,引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案,完善安全防护机制。作为用户,在选择项目时,应留意该项目是否经过安全审计,切不可掉以轻心。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

标签:DEFDEFI区块链NANDOGDEFI币KingDeFi区块链的四大核心技术Convex Finance

金智博客

比特币Glen Weyl:寻找 Web3 的灵魂

不要错过区块链,不要旁观元宇宙 Glen Weyl | 微软首席技术官办公室研究员 Web3 在不到十年的时间里打造了一个具有前所未有的灵活性和创造性的并行金融系统,震惊了世界。密码学和经济原语,也即构建模块,比如公钥密码学、智能合约、工作量证明 (PoW) 和权益证明 (PoS),已经形成了一个复杂而开放的金融交易生态系统。

欧易okex官网元宇宙趋势下银行业数字化转型新范式

导语:元宇宙是数字化转型的新途径,传统的数字化发展范式将遇到深刻变革,催生出金融元宇宙的新范式,体现为从智能手机到智能终端的转变、金融资产到数字资产的转变、中心化到去中心化的转变,以及零售金融到产业数字金融的转变。 2021年被业界称为“元宇宙元年”,包括脸书、微软、英伟达在内的全球各大科技巨头纷纷抢先布局元宇宙,整个业界“百花齐放”。

Ethereum4 年募资 10 亿美元 揭秘加密基金蜻蜓资本的投资逻辑

近日,Dragonfly Capital(蜻蜓资本)宣布其6.5亿美元的加密基金获得超额认购,有限合伙人包括老虎环球、KKR、红杉中国、常春藤大学捐赠基金、景顺、Top Tier Capital Partners 和一家未披露的东南亚国有投资公司等。 根据2022年1月提交给美国证券交易委员会的文件,该公司最初计划筹集5亿美元。

火币交易所金色早报 | 香港证监会提醒投资者注意NFT相关风险

头条 ▌香港证监会提醒投资者注意NFT相关风险 6月6日消息,香港证监会提醒投资者注意非同质化代币(NFT)的相关风险。其指出,NFT与其他虚拟资产一样面对较高的风险,包括二手市场流通性不足、价格波动、定价欠缺透明度、遭黑客入侵及欺诈的风险。投资者应注意这些风险,如他们未能完全理解NFT和承受潜在亏损,便不应投资于这些资产。

[0:15ms0-7:758ms