區塊鏈以無審查著稱,是一片鼓勵創新的熱土,也是滋生犯罪的溫床。當年眾籌超過1.5億美金的The Dao被黑客盜幣后,進行了硬分叉操作,由此產生了如今的以太坊。自區塊鏈創世以后,各種針對交易所、錢包以及dapp的黑客盜幣事件頻發。那么,2021年區塊鏈安全領域又經歷了何種波瀾,后續的處理工作又是如何的呢?
(本文由分布式資本原創,顧問CertiK高級安全工程師王沛宇,撰文有匪。)
2021年區塊鏈黑客盜幣事件整理
Uranium?Finance——邏輯漏洞
工行發放首單基于智能合約的數字人民幣供應鏈貸款:金色財經報道,工商銀行上海市分行成功實現了數字人民幣智能合約在供應鏈金融場景的創新試點應用,發放首單基于智能合約的數字人民幣供應鏈貸款,開辟了“數字人民幣+供應鏈金融”的合作新模式。[2023/2/11 12:01:10]
10月27日,Cream Finance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池(包含yDAI、yUSDC、yUSDT和YTUUSD)來操縱預言機對yUSD的報價。在提高了yUSD的價格后,攻擊者的yUSD價格被人為提高,從而創造了足夠的借款限額以借走Cream Finance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。
USDC Treasury將1.75億枚USDC轉入Coinbase后又銷毀1.75億枚USDC:金色財經報道,據Whale Alert鏈上最新數據顯示,USDC Treasury于北京時間2月10日9點19在以太坊區塊鏈上銷毀了1.75億枚美元穩定幣USDC,交易哈希:0xfb952f128b13e1df50005538849329a4f0124d8a9d4a9792014305ed37ab5dbf。
鏈上數據顯示,在這筆發生銷毀交易之前,USDC Treasury將1.75億枚USDC(約合 174,982,500 美元)轉入加密貨幣交易所Coinbase,交易哈希:0x057c8b2954e162d8e211c2a3f47c21872052081b3ac47c32de3a79243b8f1d76 。[2023/2/10 11:58:32]
Anyswap——后臺簽名
上市礦企Bit Digital在7月挖礦142.5個BTC:金色財經報道,上市礦企Bit Digital公布2022年7月比特幣和以太坊的挖礦數據。2022年7月,公司賺取了142.5個比特幣,比上個月增加了111%。公司在2022年7月賺取了0.5 ETH,而6月30日的當月為0?。截至 2022年7 月 31 日,?BTC 和 ETH 的國債持有量分別為 889.1 和 2,176.9,公允市值分別約為2070 萬美元和370 萬美元。此外,公司擁有 38135 名比特幣礦工和731名以太坊礦工。
本月,公司敲定了加拿大5兆瓦主機容量的協議。該設施使用的能源主要是水力發電。[2022/8/8 12:10:32]
2)錢包——釣魚信息
不同于項目方一旦出事,人們可以通過鏈上公開的交易記錄進行分析;交易所出事只有內部人員知道發生了什么,那些信息也不會被公開。一般交易所出事來自于這幾個方面:交易所的服務器被黑了,攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊,然后攻擊者通過工作人員的賬號訪問到內部系統,接觸到了熱錢包的私鑰等等。
資產被盜后的處理方式
項目方一般會采取這幾個解決方式:
1)即時暫停智能合約中的通證轉移和交易服務;對于不能暫停的合約,查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務,避免合約被再次攻擊。
2)同時向社區發出警告,避免新的投資者把財產放到有漏洞的合約里面。
3)聯系第三方安全公司,請求幫助分析漏洞產生的原因,并合作共同修復漏洞。
4)對于被盜資金的去向,假如合約里面存在黑名單功能;第一時間屏蔽黑客地址,防止黑客進行資金轉移。
5)和安全公司和執法部門合作追回被盜的財產,同時想出合理的補償方案來減少用戶的損失。
那么,為何安全公司對于漏洞已經層層篩查,還會被黑客有機可趁?事實是,對于某個項目的審計工作只能持續數個星期,而黑客的時間和精力是無限的。他們一旦瞄準某類項目,便會有比審計公司多得多的時間進行研究并展開行動。
其次,安全的開源代碼庫也會提高安全系數。OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫,它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能,便能實現從零開始寫代碼。
從人為因素出發,項目方需要考慮金融模型以及商業邏輯是否值得推敲,并進行不計其數的測試才能消弭潛在的風險。
總而言之,Defi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。環顧Defi出事的所有原因,最主要的還是Defi項目還無法完全去中心化,需要借助第三方的外部服務。Defi行業在安全性上達到無懈可擊,是這一賽道項目必需實現的目標(尤其對中心化嚴重的跨鏈賽道而言),期待行業下一周期跑出擁有全新業務邏輯的Defi產品來!
智慧政務在助力政府信息化建設和實現政務應用無障礙的過程中,政務數據共享、平衡安全與效率等挑戰日益凸顯。橫向與縱向信息交換中存在“數據壁壘”,政務協同也缺乏一定的信任基礎.
1900/1/1 0:00:00很多年前,上市公司購買比特幣作為財務儲備的想法被認為是可笑的,比特幣被詬病太不穩定,太邊緣化,任何一個“正經嚴肅”的企業都無法接受.
1900/1/1 0:00:0012月28日,“2021首屆數字金融前沿學術會議”在線成功舉辦。會議由清華經管數字金融資產研究中心主辦,中心主任羅玫教授主持.
1900/1/1 0:00:00在現實中,一些獲取巨額違法、犯罪所得的人,都傾向于將贓款通過洗錢等方式流向境外并購置境外資產,以防止自己“東窗事發”后違法、犯罪所得被追繳.
1900/1/1 0:00:00據 ultrasound.money 數據,截至12月24日11時,以太坊的總銷毀量達125萬枚,總價值逾 50?億美元.
1900/1/1 0:00:00近日,元宇宙概念下挫走弱,但就整體而言還是處于一個比較火熱的狀態,絲毫不影響大家對于元宇宙的關注.
1900/1/1 0:00:00