2021 年對于區(qū)塊鏈來說是一個巨大的里程碑����,無論是對于用戶量還是對于機構(gòu)接受程度�����。鏈資產(chǎn)比重都遠超歷史上的任何其他時期��。
與此同時��,興起了許多多元化的事物如號稱終極未來的元宇宙���、邊玩邊賺的 GameFi 以及鏈鏈互信的跨鏈等���。而各類傳統(tǒng) Defi Dapp 也加速了步伐迎來了全新的升級,如 Uniswap V3, Aave V3 等新版協(xié)議問世���。
種種這些����,不僅為區(qū)塊鏈生態(tài)帶來了活力���,同時也帶來了全新的安全挑戰(zhàn)。現(xiàn)在請跟隨 知道創(chuàng)宇區(qū)塊鏈安全實驗室 的視角一起回顧2021區(qū)塊鏈安全生態(tài)以及各月份的典型安全事件���。
2021各月份典型安全事件回顧
Ⅰ:挑 戰(zhàn) 伊 始
關鍵詞:權(quán)限控制����,手續(xù)費
安全月度風險評估:低
月度評價:新年伊始,但不應該是新漏洞的開始
Ⅱ:風 雨 初 現(xiàn)
關鍵詞:閃電貸����,無限授權(quán)
安全月度風險評估:中
月度評價:同類型漏洞相繼爆發(fā),需做好安全預警
Ⅲ:花 式 危 險
關鍵詞:雙花交易����,錯誤鑄幣,權(quán)限控制
安全月度風險評估:高
月度評價:漏洞類型花樣百出���,但核心都是資金安全
Ⅳ:經(jīng) 典 重 現(xiàn)
關鍵詞:重入攻擊�����,協(xié)議兼容性
安全月度風險評估:低
月度評價:經(jīng)典漏洞以全新方式體現(xiàn)���,說明安全理念并不會停滯,需要時刻進步
1月27日���,SushiSwap 因收取手續(xù)費的函數(shù)存在權(quán)限控制缺陷�����,被黑客利用操控了 DIGG/WETH 交易對的滑點�����,從而套取了 WBTC/DIGG 交易對的手續(xù)費��。
Yearn Finance 被攻擊�����,黑客利用閃電貸操控 3pool 代幣平衡��,并通過y Dai保險庫放大差異���,獲利 280 萬美元��,而保險庫損失 超1100 萬美元�����。
以太坊協(xié)議組合工具 Furucombo 智能合約被爆出存在請求授權(quán)權(quán)限過高問題,黑客可通過向 Furucombo 代理添加攻擊合約����,從而獲得影響用戶賬戶的權(quán)限����,該漏洞影響超 1400 萬美元�����。
去中心化交易所 DODO 因未對init進行權(quán)限控制�����,導致黑客在進行閃電貸歸還操作時通過init函數(shù)將需要歸還的代幣修改為自己提前加入pool的垃圾代幣�����,從而規(guī)避校驗以次充好�,損失超 200 萬美元。
Paid Network 鑄幣功能存在漏洞�����,被利用鑄造超 6000 萬枚PAID代幣�。
Filecoin 由于節(jié)點特性出現(xiàn)“雙花交易”漏洞。
Uniswap 上的 imBTC 池遭到黑客攻擊��,漏洞原因是 Uniswap 與 ERC777 協(xié)議出現(xiàn)兼容性問題,當交易產(chǎn)生時��,ERC777 中的迭代調(diào)用 tokensToSend 可以被用來實現(xiàn)重入攻擊���,損失超 30 萬美元�����。
Ⅴ:八 方 風 雨
關鍵詞:重入攻擊��,協(xié)議沖突�����,滑點��,閃電貸
安全月度風險評估:高
月度評價:本月是閃電貸攻擊多發(fā)月份�,造成的損害也及其重大��,所以必須不放過任意可能存在漏洞的細節(jié)�,避免無法挽回的結(jié)果。
Ⅵ:風 雨 依 舊
關鍵詞:薅羊毛�����,錯誤變量,address(this)�����,閃電貸
安全月度風險評估:中高
月度評價:本月閃電貸攻擊依然多發(fā)�,其提醒著控制變量值得反復審計���。
Ⅶ:邏 輯 理 性
關鍵詞:私鑰����,雙花攻擊�����,tx.origin��,邏輯漏洞
安全月度風險評估:中高
月度評價:本月存在各類型的邏輯漏洞����,涉及私鑰、轉(zhuǎn)賬已經(jīng)功能特性等��,需做更全面的考慮��。
Ⅷ:危 險 之 最
關鍵詞:年度損失之最,重入攻擊�,同類型協(xié)議攻擊,閃電貸
安全月度風險評估:高
月度評價:本月各類攻擊損失都十分巨大���,還有著堪稱全年損失之最的Poly Network攻擊���,該月份攻擊不僅影響到新興的跨鏈項目也對同類型的協(xié)議敲響警鐘,這份影響持續(xù)著整個區(qū)塊鏈安全生態(tài)��。
Ⅸ:問 題 依 舊
關鍵詞:初始化攻擊�����,恒定乘積校驗�����,預言機操控����,閃電貸
安全月度風險評估:高
月度評價:本月各類攻擊損失依然巨大,但相較于新型漏洞�,大多數(shù)漏洞都屬于可追溯漏洞即已經(jīng)出現(xiàn)過的漏洞。
Ⅹ:漏 洞 多 樣 化
關鍵詞:價值描述,修補方案�����,多次攻擊
安全月度風險評估:高
月度評價:各種漏洞產(chǎn)生的情況也是各有不同���,有礦池功能存在問題、有兌換功能存在問題����、甚至有鑄幣功能存在問題等,但是 Cream Finance 該年度已經(jīng)多次遭受攻擊實屬應該做好防護���。
Ⅺ:問題多元化
關鍵詞:預言機操控���,治理攻擊,私鑰泄露
安全月度風險評估:高
月度評價:該月份同樣問題嚴重���,有傳統(tǒng)的預言機安全問題���、私鑰泄露問題甚至還有著項目方反擼礦工的操作。
Ⅻ:經(jīng) 典 再 現(xiàn)
關鍵詞:閃電貸�,重入
安全月度風險評估:中
月度評價:傳統(tǒng)的預言機安全問題與重入安全問題,但是殺傷力依舊巨大
在這些攻擊中,DeFi 仍是區(qū)塊鏈安全的重災地�����,由于各種項目方實現(xiàn)的多樣性和復用代碼造成的理解差異�����,導致了如此多的經(jīng)濟損失值得每一個人深思��。這不是某一個人或者某一個組織的事����,而是需要整體行業(yè)大眾普遍安全意識的提升。
熱點:以太坊 BTC 區(qū)塊鏈 智能合約 代幣 ETH 以太 元宇宙
非小號行情
