近4億美元損失，Solana的黑客攻擊都有什么共同點？_OLE

自一年前以來，Solana生態系統實現了超高速增長，同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet)，這些黑客攻擊總共造成了近4億美元的損失。重要的是，這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞，即鏈上協議的編碼缺陷：Wormhole：3.2億美元被盜，原因是缺少帳戶驗證；CashioApp：由于缺少賬戶驗證，導致5000萬美元被盜；CremaFinance：1000萬美元被盜(返還800萬美元)，原因是缺少賬戶驗證；Nirvana：通過閃貸操縱價格，350萬美元被盜；Slope錢包：由于助記詞被泄露，400萬美元被盜。在本文中，我們回顧了這些攻擊的本質，并旨在找到有效的解決方案，以防止未來發生此類攻擊。這些黑客有什么共同之處?

數據：昨日有近4億美元的比特幣從Huobi撤出:5月26日消息，Glassnode數據顯示，昨天有價值近 4 億美元的比特幣從 Huobi Global 交易所中撤出，這是今年第二大撤出。[2023/5/26 9:44:12]

1.幾乎所有黑客(SlopeWallet除外)都精心設計了一個或多個假賬戶。Wormhole：黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。CashioApp：黑客創建了8個假賬戶來通過有效性檢查。CremaFinance：黑客創建了一個虛假的帳戶，并使用閃貸竊取費用。Nirvana：黑客精心制作了一個閃貸賬戶來操縱代幣價格。SlopeWallet：黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。2.所有黑客攻擊都涉及多次交易Wormhole：整個攻擊用了6個交易來完成：第一個tx創建第一個假sysvar帳戶，最后一個tx調用complete_wrapped。CashioApp：整個攻擊從創建所有的假賬戶到發送最后的攻擊交易，期間進行了超過10筆的交易。CremaFinance：每次攻擊至少需要進行3筆交易；創建一個虛假的帳戶，部署一個閃貸程序，發起竊取費用的攻擊；此外，黑客還多次發起10+筆閃貸交易，從不同的代幣池中進行竊取。Nirvana：攻擊至少進行了2筆交易；部署一個精心設計的閃電貸款接收程序，并調用Solend閃貸。SlopeWallet：整個攻擊抽干了9000多個錢包，涉及9000多個SOL或SPL代幣轉賬交易。3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)Wormhole：從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。CashioApp：黑客的第一個假賬戶是在交易發生前5天創建的。CremaFinance：這個假賬戶是在第一次攻擊前一個多小時創建的。Nirvana：兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。Slope錢包：廣泛的攻擊持續至少8個小時。4.最大的損失是由于缺少帳戶驗證前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。無論是否是巧合，這些攻擊都造成了很大的經濟損失。5.閃貸牽涉到兩次黑客攻擊CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易，而且都是通過Solend進行的。在CremaFinance，閃貸被用來引導存款流動性。在Nirvana中，其內部價格預言機被閃貸操縱。如何防止未來類似的黑客攻擊?

6月份美股上市礦業公司供賣出約1.46萬枚比特幣，環比增長近400%:7月16日消息，Arcane Research數據顯示，6月份美股上市礦業公司賣出了大約1.46萬枚比特幣，環比4月份增長近400%，同期僅挖出了3900枚比特幣。其中Core Scientific和Bitfarms賣出比特幣的數量最多，此外Marathon和Hut 8在5月和6月并未賣出，故現在持有最多的比特幣。[2022/7/16 2:17:36]

根據上面總結的這些攻擊的特點，我們推薦以下的安全措施:1.預部署：驗證智能合約的所有輸入帳戶

在編寫Solana智能合約時，要時刻牢記所有輸入都可能被攻擊者偽造，包括所有賬戶和外部程序(即用戶錢包賬戶、PDA賬戶和其他智能合約)。Solana的編程模型將代碼和數據解耦，因此程序中使用的所有帳戶都必須作為數據輸入傳遞。在幾乎所有情況下，都應該驗證:賬戶所有權賬戶簽名者帳戶之間的關系(或邏輯約束)根據協議邏輯，還應該檢查:如果任何內部價格預言機操縱閃電貸款(與大量轉移)，需增加約束以防止差異。如果可以計算任何異常狀態(如費用或獎勵)，需添加約束以防止差異。2.部署后：主動使用實時威脅監控

德銀：Roblox的股價有近45％的上行空間:3月12日消息，德意志銀行分析師表示，Roblox的股價有近45％的上行空間。該行認為，盡管近期該公司股價出現了回調，但這家在線游戲平臺仍是早期市場領導者。德意志銀行分析師Benjamin Black給予Roblox買入評級，并設置60美元的目標價，比RBLX周四收盤價高出約45％。這家在線游戲公司的股票在周四的交易中下跌了6.6％，但在周五的盤前交易中上漲了1.6％。雖然Roblox一直在努力應對增長放緩，但德意志分析人士認為，通過在其平臺上吸引更多用戶和開發者，在新冠疫情結束后，Roblox將在“結構上更強大”。在過去三年中，Roblox的開發者社區幾乎翻了一番，其平臺增加了近1000萬創作者。在同一時期，它的日均用戶數也增長到5000多萬。

Black表示，因此，德意志銀行認為，該公司前期經歷的大幅向下重估為長期投資者提供了一個非常有吸引力的機會，投資于這樣一個擁有強大的網絡效應的龐大市場早期領導者。這位分析師預計，到2025年，隨著Roblox在美國和海外的持續擴張，該公司的日均用戶數將增至9500萬。根據德意志銀行的計算，如果未來4年的國際滲透率趨勢與美國目前的水平相似，Roblox仍有足夠的增長空間，僅青少年一項，到2015財年，其總DAU（日活用戶）將增加一倍以上。[2022/3/12 13:52:47]

由于所有這些黑客攻擊都涉及跨越至少幾分鐘或幾小時的多個交易，因此可以提前主動檢測可疑交易，并在中間遏制攻擊。這是Solana的獨特屬性，它允許鏈上威脅監控技術作為一種防御解決方案，來幫助有效地預防和阻止安全攻擊：原則上，威脅監控解決方案可能會有幫助:監控SOL或SPL代幣的大規模轉移；監控針對你的智能合約的閃貸交易；通過升級依賴程序來監控潛在的漏洞；監控異常狀態(例如，計算費用)；監控往返交易事件例如deposit-claim-withdraw在單個tx中)；監控來自同一簽名者的重復交易；任何針對協議特定屬性的自定義監控。如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態，及早發現它們可能有助于阻止黑客攻擊。原地址

行情 | BTC 下跌逼近4400美元:據Bitfinex數據顯示，下跌: BTC 價格$4417.20，5分鐘變化超過$54.20，波動較大，請做好風險控制[2018/11/21]

Tags：OLESOLFINAFINCryptoLeafEVERSOLTaxi.FinanceMetaFinance

Bitcoin