文章插图
免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。
小编:记得关注哦
来源:CertiK
区块链是一片鼓励创新的热土,在某种角度上因其安全风险也成为了滋生犯罪的温床。当年众筹超过1.5亿美金的The DAO被黑客盗币后,进行了硬分叉操作,由此产生了如今的以太坊。
自区块链创世以后,各种针对交易所、钱包以及Dapp的黑客盗币事件频发。那么,2021年区块链安全领域又经历了何种波澜,后续的处理工作又是如何的呢?
2021年区块链黑客盗币事件整理由于2021年市场情绪热烈,黑客盗币的金额打破了往年的历史记录。
截至三季度,统计一共有32起黑客入侵事件导致了15亿美金的资产被盗,而去年全年这个数字是1.8亿美金。
■ DeFi协议
①Uranium Finance——逻辑漏洞
2021年4月份流动性挖矿协议Uranium受到了攻击,被攻击的智能合约是MasterChief的修改版本(MasterChief是用于创建质押池并向用户返还质押奖励的智能合约)。
其中,用于执行“质押奖励”的代码出现了逻辑漏洞,使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子,并将它换成了价值130万美元的BUSD以及BNB。
②Cream Finance——预言机操纵1
0月27日,Cream Finance预言机受到操纵。
攻击者从MakerDAO借用DAI来创建大量yUSD代币,同时通过操纵多资产流动性池(包含yDAI、yUSDC、yUSDT和YTUUSD)来操纵预言机对yUSD的报价。
在提高了yUSD的价格后,攻击者的yUSD价格被人为提高,从而创造了足够的借款限额以借走Cream Finance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。
③Badger DAO——前端恶意代码注入
攻击者获取了项目方在Cloudflare后台的API Key,以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时,触发恶意代码后会发起交易让用户去确认。
假如用户确认了那笔恶意交易,就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。
④Anyswap——后台签名出事是因为后台签名时采用了不恰当的值,攻击者通过两笔交易来推导出了它签名的私钥。
■ 钱包——钓鱼信息
举个比特币钱包Electrum的例子,当用户旧版本并连接到攻击者的节点时,攻击者通过节点向这个钱包发送钓鱼信息。
当用户看见钓鱼信息并下载带有后门的钱包时,黑客便轻松掌握了用户的私钥。
■ 交易所
不同于项目方一旦出事,人们可以通过链上公开的交易记录进行分析,交易所出事只有内部人员知道发生了什么,那些信息也不会被公开。
一般交易所出事来自于这几个方面:交易所的服务器被黑了,攻击者访问到了服务器里面存在热钱包的私钥。
交易所的工作人员被钓鱼攻击,然后攻击者通过工作人员的账号访问到内部系统,接触到了热钱包的私钥等等。
资产被盗后的处理方式关于资产被盗后的处理方式,可以从三个角度——项目方、交易所以及第三方安全机构来分析。
项目方一般会采取这几个解决方式:
1)及时暂停智能合约中的通证转移和交易服务,对于不能暂停的合约,查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务,避免合约被再次攻击。
2)同时向社区发出警告,避免新的投资者把财产放到有漏洞的合约里面。
3)联系第三方安全机构,请求帮助分析漏洞产生的原因,并合作共同修复漏洞。
推荐阅读
- 安全风险|苹果将出席白宫会议讨论开源软件的安全风险问题
- 平台|抖音发布首份安全透明度报告 推动平台治理公开化
- 考试|行业观察丨在线学习、远程考试成新趋势,信息安全需重视
- 漏洞|苹果将出席白宫会议讨论开源软件的安全风险问题
- 误区|产品驱动增长 PLG 风靡,一文聊透机会与误区
- 360安全卫士|极域电子教室与360冲突解决方法
- 网络安全|医疗保障局筑牢网络安全防线
- 安全|“网络大流感”ApacheLog4j2漏洞来袭“云上企业”如何应对?
- 用户|一文详解拼团功能
- 骑士|智能头盔来了,外卖小哥的安全有保障了么?