2020攻击事宜总结:900亿人民币不翼而飞 2021我们若何远离黑客?

2021-01-14 网络
浏览
[科技新闻]2020攻击事宜总结:900亿人民币不翼而飞 2021我们若何远离黑客?

原题目:2020攻击事宜总结:900亿人民币不翼而飞 2021我们若何远离黑客?

“若是那器械看上去像鸭子,走起路来也像鸭子,我们就说它是鸭子。”

这句来自某位政客所说的话被许多人奉为圭臬。

犹如我们每一个人,许多时刻我们对外界释放出的信息都市再通过外界评价反馈和影响到自身。

这个原理不仅仅应用于某一个特殊领域,相反,它在所有事情上都可以找到痕迹。

区块链生长日久,但对于许多人来说,它依旧是一个暗藏着圈套、跑路、黑客的法外之地。

人们心中的认知很难被其他信息所影响,固然,这也简直需要归因于现在区块链项目所受的攻击愈发凶猛。

在铺天盖地的黑客事宜中,想要扭转人们对于区块链的不安和抗拒只有依赖提高区块链的平安尺度,确立平安康健的区块链生态。

同理,当整个区块链不再受负面新闻所缠身时,这个“鸭子”也会酿成有利的那一只。

经统计,2020年传统领域的网站及软件平安率达到了97.5%,其中损失最大的一笔资产仅仅是靠近5万人民币。

而区块链领域内,智能合约及相关节点的平安率只有89%,且损失往往处于600万至6,000万人民币之间,这是需要几个大卡车都运不下的天价资产。

一次来自于区块链领域的损失资产,也许就是传统网络损失资产的千倍以上。

因此,CertiK平安盘点了2020年较为典型的23个区块链项目,剖析了其受攻击的缘故原由和黑客使用的攻击方式,以作为业内平安事故警示的参考。

在剖析的这23个区块链项目中,其中实现逻辑错误所导致的攻击事宜8起,价钱预言机操作事宜5起,项目方敲诈事宜4起,重入攻击事宜3起,闪电贷攻击事宜2起,钱包攻击事宜1起。

这些平安事故项目列表如下:

表1:2020年区块链重大事故项目列表

图一:2020年区块链重大事故项目损失图

表一和图一展示了2020年区块链重大事故项目损失情形。

图二:攻击类型损失图

2020年重大攻击事宜明细Cover Protocol2020年12月28日晚, CertiK平安验证团队发现Cover Protocol发生代币无限增发破绽攻击。

攻击者通过频频对项目智能合约举行质押和取回操作,触发其中包罗铸造代币的操作,对Cover代币举行无限增发,导致Cover代币价钱崩盘。

最终损失共计约2850万人民币。Warp Finance2020年12月17日,攻击者行使Warp Finance项目使用的oracle盘算质押的LP代币资产价钱错误的破绽,从Warp finance项目中赢利约1462枚ETH代币,总价值约615万人民币。

此外,攻击者还mint了价值约莫3,990万人民币的DAI-ETH LP share,约650万人民币的赢利流入了uniswap和sushiswap的LP中。

在本次攻击中,Warp finance 遭受的损失约莫为5,000万人民币。Compounder.Finance2020年12月1日下昼3点,CertiK平安手艺团队通过Skynet发现Compounder.Finance项目智能合约发生数笔大量代币的生意。

经由仔细验证得知这些生意为内部操作,项目拥有者将大量数额代币转移到自己的账户中。

经由统计,最终共损失价值约7,610万人民币的代币。SushiSwap2020年11月30日,Sushiswap项目被发现遭到恶意流动性提供者的攻击,攻击者行使该项目Sushi Maker合约中的破绽举行攻击,最终赢利约10万人民币。Compound2020年11月26日,Compound项目发生价钱预言机代币价钱错误。

其所接纳的Coinbase价钱预言机对DAI价钱泛起巨动,导致约58,250万人民币的资产被整理。

Pickle Finance2020年11月22日破晓2点37分,CertiK平安验证团队通过Skynet发现Pickle Finance项目遭到攻击。

攻击者行使合约中未检查外部Jar合约是否正当的破绽举行攻击。

最终项目共损失约1975万枚Dai代币,价值约12,800万人民币。Origin Protocol2020年11月17日,Original Protocol项目OUSD遭到闪电贷与重入攻击的组合攻击。

攻击者行使合约中mintMultiple()函数中的重入破绽,增添闪电贷贷来的资金作为杠杆,扩大攻击收益。项目最终损失约4,500万人民币。

Cheese Bank2020年11月16日,DeFi项目Cheese Bank遭到闪电贷攻击。

攻击者通过操作流动性池中代币数目,行使重置预言机来提高Uniswap LP流动性凭证价钱举行攻击。

最终项目损失约2,100万人民币,其中包罗价值1,300万人民币的USDC。Value DeFi2020年11月15日,DeFi项目Value Defi遭到闪电贷攻击。

,

科技是智慧的体验,人文科技、未来科技带您走进新时代的步伐,

秀羞科技频道为大家提供科技全方面的报道和资讯服务。

,

攻击者通过项目中使用Curve价钱预言机,通过闪电贷操作预言机代币价钱盘算破绽举行攻击。

最终攻击者赢利约4,800万人民币价值的DAI。Axion Network2020年11月2日晚上,黑客行使Axion Staking合约的unstake函数想法铸造了约800亿个AXN代币。

黑客随后将AXN代币在Uniswap生意所中兑换以太币,重复此历程,直到Uniswap中ETH-AXN生意对的以太币被耗尽,同时AXN代币价钱降至0。

该攻击是内部操作造成的,该内部操作通过在部署代码时,对项目依赖的OpenZeppelin依赖项注入恶意代码,最终损失约330万人民币。Harvest Finance2020年10 月 26 日 Harvest.Finance 项目发生套利攻击事宜,损失超 3380 万美元。

凭据官方讲述,盘算了攻击者返还给项目的 1300 万 USDC 和 11 万 USDT 之后,总损失跨越 2 亿人民币。

在 Harvest.Finance 这次的套利攻击事宜中,攻击者通过影响 USDC、USDT 代币的价钱来举行套利。Eminence

2020年9月29日,攻击者使用剧本程序,通过闪电贷借得初始资金, 行使 Eminence 项目中的团结曲线(Bonding Curve)模子破绽,频频购置出售 EMN 和 eAAVE 来获得收益。项目最终损失约9,800万人民币。

GemSwap2020/09/26日,DeFi项目GemSwap遭到项目拥有者的后门攻击。

项目拥有者通过挪用后门函数emergencyWithdraw()将所有的流动性证实取出并转移至自己拥有的账户中,最终项目损失约850万人民币。

Soda Finance2020年9月21日,CertiK平安研究团队发现soda区块链项目中存在智能合约平安破绽。

该破绽允许随便外部挪用者通过挪用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。

最终项目损失约105万人民币。BASED2020年8月14日,流动性挖矿项目Based泛起初始化失误造成的破绽。

其智能合约在举行部署时,Base官方仅通过挪用智能合约中的 renounceOwnership 函数声明晰所有者,而并没有对智能合约初始化。

而一名外部攻击者在 Based 官方之前,争先挪用 initialize 函数对智能合约举行了初始化。YAM

2020年8 月 12 日,YAM Finance 官方宣布他们发现了一个智能合约破绽,并称该破绽将天生超出最初设定数目的 YAM 代币,在盘算 totalSupply 时,给出了错误的效果,这会导致系统保留的代币数目过多。最终项目损失约500万人民币。

NUGS2020年8月11日,CertiK平安研究团队发现基于以太坊的代币项目NUGS泛起平安问题。

其智能合约中存在平安破绽,致使其代币系统泛起巨额通胀。

由于该智能合约的平安破绽无法被修复,因此最终NUGS项目官方发布公告决议放弃该项目,存入其中的代币也无法被取出。此次攻击损失伟大,直接造成该项目失败。Opyn2020年8月4日,DeFi项目Oypn发生攻击事宜。

攻击发生的缘故原由是Opyn在智能合约oToken中的exercise函数泛起破绽。

攻击者在向智能合约中发送某一数目的ETH时刻,智能合约仅仅检查了该ETH的数目是否与完成该次期货生意需要的数目一致,而不是动态的检查攻击者发送的ETH数目是否在每一次的生意之后依旧即是完成该次期货生意所需要的数目。

也就是说,攻击者可以用一笔ETH举行抵押,并在赎回两次生意,最终获得自身发送数目两倍的ETH最终项目损失约240万人民币。Cashaa第一次攻击发生于7月10日北京时间晚6点57分,Cashaa的比特币钱包之一被盗用并向攻击者账户转移了1.05977049个BTC。

凭据Cashaa讲述中形貌,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移BTC。

第二次攻击发生于7月11日北京时间破晓8点10分,Cashaa的总计8个比特币钱包,共计335.91312085个比特币被攻击者通过同样的手段转移到统一个地址中。最终项目损失约2,000万人民币。Balancer2020年6月29日破晓2点03分,攻击者行使从dYdX闪电贷中借到的WETH,大量买进STA代币,使得STA与其他代币的兑换价钱急剧上升。

然后使用最小量的STA(数值为1e-18)不停回购WETH,并在每次回购后,行使Balancer的合约破绽重置其内部STA的数目(数值为1e-18),以此稳住STA的高价位。

攻击者不停行使破绽,用高价的STA将某一种代币完全买空(WETH,WBTC, LINK和SNX),最终用WETH送还闪电贷,并剩余大量STA,WETH,WBTC, LINK和SNX,并通过uniswap将非法所得转移到自己账户中。

继6月29日破晓2点CertiK捕捉Balancer攻击事宜后,2020年6月29日20点与23点23分,Balancer项目再次遭到攻击。

攻击者从dYdX闪电贷中借到代币并铸币后,通过uniswap闪贷获得cWBTC和cBAT代币,然后将借得的代币在Balancer代币池中大量生意,从而触发Compound协议的空投机制,获得空投的COMP代币,再使用Balancer有破绽的gulp()函数更新代币池数目后,取走所有代币并送还闪电贷。

攻击者相当于行使了Compound协议的金融模子、闪电贷和Balancer代码破绽,无中生有了COMP。

两次攻击直接导致Balancer损失了约300万人民币。Hegic

2020年4月27日,Hegic项目中由于代码实现存在错误,导致合约中用户资金被锁定,无法被任何方式操作。最终项目损失约18万人民币。

Lendf.Me

2020年4月19日,Lendf.me项目遭到基于ERC777尺度缺陷问题的重入攻击。最终项目损失约16,200万人民币。

Uniswa

2020年4月18日,DeFi项目Uniswap遭到攻击。

攻击者行使ERC777可以在统一笔生意中完成代币兑换的特征,通过其tokensToSend()函数对Uniswap举行重入攻击。最终Uniswap项目损失共计约150万人民币。总结

从上文的数据统计里可以看出,这23次重大攻击事宜,损失总金额高达约18亿人民币。

这18亿人民币被包罗价钱预言机操作、重入攻击、实现逻辑错误、闪电贷攻击、项目方敲诈、钱包攻击在内的种种攻击方式所偷取,让人防不胜防。

盘算机领域中早有统计,平均每1000行代码中,会有1-25个bug。

也就是说,这个概率的区间是千分之一(0.1%)至百分之二点五(2.5%)。返回搜狐,查看更多

责任编辑:

【苹果防丢追踪器网页上线:已有跟踪日常物品的选项,但仍无法查找】

苹果防丢追踪器项目AirTag也许即将发布。近日有网友发现苹果上线了AirTag对应的查找网页版。在查找网页已经可以看到附近的苹果设备,也有跟踪日常物品的选项,但还不能支持查找,可能要等正式上线才能使用。…