以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

跨鏈攻擊給業界帶來了新的安全挑戰_SWAP

Author:

Time:1900/1/1 0:00:00

從6月底到現在,一個月不到的時間,業界發生了多起較為重大的攻擊事件:

6月29日,THORChain受到惡意攻擊,損失估計達14萬美元。

7月3日,跨鏈項目Chainswap合約遭到攻擊,部分用戶代幣被主動從與ChainSwap交互的錢包中取出,總損失約為80萬美元,跨鏈橋暫停使用。

7月11日,跨鏈項目Chainswap發布推文表示再次遭到黑客攻擊,在該跨鏈橋部署智能合約的超20個項目代幣都遭遇黑客盜取,總損失價值400萬美元。

7月12日,跨鏈項目Anyswap新推出的V3跨鏈流動性池也遭到黑客攻擊,總計損失超過787萬美元。

7月16日,THORChain再次受到攻擊,損失約為1.3萬ETH,價值約為2500萬美元。

THORSwap更新路線圖,將推出質押代幣vTHOR、跨鏈聚合器、Hammer錢包等:金色財經消息,THORSwap今日宣布第二季路線圖,將推出質押代幣vTHOR、跨鏈聚合器、Hammer錢包和 THORSwap API等功能。

其中,即將推出的vTHOR是一種會員質押代幣,新的單邊質押將獎勵質押者 75% 的交易費用。跨鏈聚合器將支持長尾資產在不同鏈上的跨鏈互換,Hammer 為跨鏈錢包,將適用于所有鏈;THORSwap Pathfinder API將是一個簡單的一站式API,用于訪問THORSwap的所有聚合流動性,以及Hammer Wallet和THORFi服務等附加功能。(Medium)[2022/4/21 14:38:46]

從上面這些案例,我們明顯發現這些攻擊事件表現出四個鮮明的特點:

O3 Swap:白帽黑客已歸還所有剩余資金,O3跨鏈池將盡快恢復:8月23日消息,O3 Swap在推特發文表示,白帽黑客已通過鏈上交易信息公布了多簽地址的私鑰,歸還了剩余資金。作為對白帽先生的感謝,O3Labs 團隊將根據官方發布的”O3 Bug Bounty“的最高額獎金,向白帽先生的地址轉賬價值 20 萬美金的 O3。團隊將盡最快速度恢復O3跨鏈池,重建 O3 Swap。[2021/8/23 22:32:01]

1.都是針對跨鏈項目展開的攻擊。

2.多個項目在一個月內反復受到攻擊。

3.項目因攻擊受到的損失金額越來越大。

4.不僅被攻擊項目本身的運作受到影響,而且部署在跨鏈項目的其它項目方的運作也受到影響。

星云發布下半年研發路線圖 包括將支持以太坊資產跨鏈等:星云基金會今日發布下半年研發路線圖,重點是去中心化金融服務,包括:1.Link.nextDAO跨鏈資產:支持以太坊資產跨鏈;2.Swap.nextDAO去中心化閃兌交易:提供自動做市和流動性,允許自由創建交易對;3.Market.nextDAO去中心化借貸:資產在用戶手中,去中心化抵押資金池,規避智能合約資產安全風險;4.DeFi APP:NAS nano pro升級版,移動端星云生態入口升級;5.PoD鏈上治理升級。[2020/8/10]

縱觀這些被攻擊的項目,絕大多數都是因為在資產跨鏈的過程中,缺乏對資產、簽名等的驗證導致黑客抓住了其中的漏洞對項目進行攻擊。

這些問題中有一類是圈內早已知曉的問題,但在跨鏈這個新場景下,缺乏先例,導致開發團隊可能會因為疏忽而遺漏對這類問題的排查。另一類則是因為跨鏈應用涉及的場景復雜導致團隊在代碼邏輯的設計中稍有不慎就會遺漏一些對關鍵點的檢查。

跨鏈DeFi項目Kava鎖倉資產超過1100萬美元:金色財經報道,據Kava Bigdipper瀏覽器顯示,Kava的DeFi平臺目前鎖定了66萬BNB,總鎖定資產價值超過1100萬美元,鑄造的USDX價值接近300萬美元。目前就總鎖倉量(TVL)而言,Kava已躋身DeFi協議前15名,超越Kyber、Lightning Network、Uniswap等平臺鎖倉量。

Kava是一個支持多資產抵押的跨鏈DeFi協議,支持主流數字資產的抵押及穩定幣貸款服務。[2020/7/18]

任何一個新應用登場,項目方都要必須面對這樣的挑戰。

此外,跨鏈項目受攻擊還給業界帶來了一個新的安全挑戰:以往項目受到攻擊時,受損失的僅僅是項目方自己;而在跨鏈領域,由于跨鏈應用本身成為了平臺,它會承載其它的應用,因此一旦跨鏈應用本身受到攻擊,則連帶受到損失的就不僅僅是跨鏈項目本身而且還包括跨鏈應用承載的項目了。

在這些攻擊案例中,Chainswap第二次受到攻擊時,就導致部署在上面的超過20個項目連帶受到損失并不得不重新部署合約。恐怕這一點是此前很多項目方都沒有意識到的新動向和新問題。

這說明安全隱患涉及的問題無論在廣度還是在深度上都上升到了一個前所未有的高度。

我們相信這個問題只會越來越顯現:因為區塊鏈生態的豐富必然導致跨鏈應用成為剛需,成為一個無法阻擋的趨勢。這意味著未來跨鏈應用只會越來越多,同時也意味著資產跨鏈也會越來越頻繁,因此未來的項目方也在部署應用時不可能僅僅只考慮某個區塊鏈而要考慮應用的跨鏈場景。由此帶來的狀況就是安全問題必然越來越突出,攻防矛盾越來越尖銳。

面對這個新形勢,從應用的角度看:不僅跨鏈應用項目方本身要高度重視項目代碼的安全,對代碼的審查要比以往更加重視,而且部署在跨鏈應用上的第三方項目方未來除了注重項目自身的安全以外也也必須重視跨鏈應用的安全。

從代碼的角度看:跨鏈項目的代碼為了因應新的安全挑戰必然越來越復雜;部署在跨鏈應用上的項目也必然會越來越復雜,比如要增加處理緊急狀況的功能和接口,以便在事發的第一時間及時提取其部署在不同區塊鏈上的流動性。

從項目方的角度看:未來面對更加復雜的應用場景和更高的代碼難度,對代碼的審計必然要更加重視。

從用戶的角度看:一定要更加慎重地對自己投資或者有意向投資的項目進行詳細的審查,重點審閱項目方的審計報告。

從審計公司的角度看:面對越來越復雜的系統,審計的難度也將越來越大,審計的要求也會越來越高。對此作為從業者的靈蹤安全不僅將一如既往地在審計過程中做好代碼的審計,更已經準備好全面的保駕護航方案,隨時應對項目方受到攻擊后在事發的第一時間為項目方提供完備的補救措施和全面的改進方案。

關于靈蹤安全:

靈蹤安全科技有限公司是一家專注區塊鏈生態安全的公司。靈蹤安全科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者:

靈蹤安全CEO譚粵飛

美國弗吉尼亞理工大學(VirginiaTech,Blacksburg,VA,USA)工業工程碩士(Master)。曾任美國硅谷半導體公司AIBTInc軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事?。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags:SWAPHORTHOR區塊鏈GoSwappAnchorSwapHathor區塊鏈TEC幣有這種幣嗎

幣安app官網下載
金色前哨 | 富達調查:70%機構投資者希望在未來投資數字資產_數字資產

富達數字資產公司近日進行的一項研究發現,盡管價格波動是進入數字資產領域的主要障礙,但70%的機構投資者希望在未來投資或購買數字資產,有超過一半的機構投資者表示其已經進行了數字資產投資.

1900/1/1 0:00:00
去中心化預測市場的復蘇_TER

早在2014年,當第一個區塊鏈平臺Augur推出時,預測市場就被吹捧為最佳區塊鏈用例之一。從那時起,大多數早期平臺已經消失,其原因如下:1)糟糕的可用性/UX,?2)高昂的以太坊gas費,3)糟.

1900/1/1 0:00:00
MEV峰會梳理:解決MEV問題 同時也接受MEV存在_MEV

MEV現在是一個熱門話題,我一直在盡可能多地學習,并試圖了解不同的解決方案以及它們在實施過程中面臨的各種問題。這是一個值得思考的領域,從長遠來看,這顯然對無許可區塊鏈系統的成功而言是至關重要的.

1900/1/1 0:00:00
金色前哨 | 內部人士透露:亞馬遜計劃接受比特幣支付并啟動代幣計劃

7月26日外媒消息指出,亞馬遜內部一位匿名消息人士表示,亞馬遜計劃在2021年底之前接受比特幣支付.

1900/1/1 0:00:00
數字人民幣真的來了 去上海銀行App申請_數字人

廣東辦理首筆數字人民幣異地繳稅業務:金色財經報道,近日,廣東成功辦理首筆數字人民幣異地繳稅業務,納稅人邱先生在廣州通過數字人民幣繳納了在肇慶產生的稅款,稅款被直接劃轉至肇慶國庫.

1900/1/1 0:00:00
聚焦以太坊擴容 Layer 2代表項目分享功守道_LAYER

從去年DeFi農耕熱潮引發以太坊網絡擁堵開始,Layer2就成為一個熱門賽道。持續至今,7月28日PANews邀請到了四位Layer2領域的典型代表來為我們分析Layer2當下發展的局勢以及他們.

1900/1/1 0:00:00
ads