「币圈一天,人间一年」,「DeFi一天,币圈一年」。近期的链圈币圈,热度已几乎都被DeFi掠夺。伴随着项目的层出不穷,大量用户的涌入,DeFi协议总锁仓量已高达103.8亿美元。极高的投资收益吸引了大量币民加入,而8月,更是流动性挖矿项目如火如荼的一个月。从实验性流动性挖矿项目Yam到目前仍旧具有极高话题度的SushiSwap,整个区块链社区都在持续讨论着其中的巨额利润以及隐藏其下的安全隐患。在这一个月中,大量新的挖矿项目出现,其中绝大多数项目都直接复制其他类似项目的代码,在未进行安全审计的情况下匆忙上线。因此导致了发现的智能合约安全漏洞数量众多而且性质类似。如今,确定一个项目是否可以投资的首要条件应该是检查项目及其合约是否由著名安全团队进行过专业审计并取得较高安全评价。据CertiK安全技术团队统计,8月份发生与区块链相关的安全事件盘点如下:8月11日,基于以太坊的代币项目NUGS出现安全问题,其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。8月12日,流动性挖矿项目Yam爆出智能合约漏洞,该漏洞将预留巨大数目的代币,导致对项目进行治理所需要的代币数目随之增长,最终由于社区没有足够的代币,任何治理行为都无法进行。8月14日,流动性挖矿项目Based存在智能合约安全漏洞并遭到攻击者攻击,该项目中一号池智能合约中函数被错误设置为可以被外部任意调用,造成其被外部攻击者抢先初始化,导致一号池中任何质押行为都无法完成。8月28日,Sushiswap智能合约中被发现存在多个安全漏洞,该漏洞允许智能合约拥有者在无任何社区授权情况下,任意进行取款。同时,该合约还存在重入攻击漏洞,会导致潜在恶意代码被执行多次。8月31日,用户由于使用存在漏洞的旧版本electrum钱包应用,导致1400枚比特币被盗。8月31日和9月1日,Sushiswap仿盘Yuno和Kimchi两个项目智能合约均被发现存在安全漏洞,该漏洞允许智能合约拥有者无限增发项目对应代币,可能导致项目中代币产生巨大通胀。列表如下:
RippleNet前总经理:Coinbase正在从加密货币交易所过渡到支持加密货币的银行服务:金色财经报道,RippleNet前总经理Asheesh Birla在社交媒体上称,Coinbase正在从加密货币交易所过渡到支持加密货币的银行服务,根据其2023年第一季度的收益记录:通过利息收入、区块链奖励和保管费产生的存款收入现在占Coinbase收入的最大份额。仅USDC存款的利息就产生了1.99亿美元,约占Coinbase总收入的18%。Coinbase的收入正慢慢从消费者转向高利润的机构客户,机构交易收入较上一季度增长67%。[2023/5/7 14:47:57]
事件详情
以下是8月安全典型事件的具体分析:1号事件是一个非常典型的,由于逻辑实现上失误而造成的漏洞。NUGS项目的商业实现模型是一个彩票抽奖的系统,彩票抽奖以轮为单位,在每一轮抽奖中,投资者可以向该轮奖池中存入资金。经过一段时间后,NUGS智能合约中的开奖函数可以被外部调用,从而确定本轮彩票抽奖的赢家。赢家获得奖池奖金,而来自外部调用开奖函数的调用者也会获得一小部分奖励。该轮抽奖结束,奖池中数额清零,因此每一轮抽奖开始时,奖池内的初始数额应当为“零”。然而NUGS智能合约中存在一个关于奖池奖金初始数额的逻辑实现漏洞:当一轮抽奖结束后,奖池中数额未被清零,导致了下一轮抽奖开启后,奖池中的初始数额为上一轮的总奖金。因此奖池中的奖金会越来越多,最终导致通胀、币值飞快贬值。2号事件发生在Yam流动性挖矿项目上,也是一个由于逻辑实现上的失误导致的安全漏洞。在Yam智能合约中存在一个rebase函数,其目的是在确保代币的价格稳定,而由于在代码层面的疏忽,对每一次rebase执行时,代币总共供给量totalSupply的数值被错误的进行计算,导致totalSupply的数目只能持续增加,因此最终同样导致了通胀发生。以上两个事件中的漏洞都是属于逻辑实现层面出现的漏洞。逻辑实现上的漏洞虽然非常直观,但依靠任何现有的自动检测工具均无法检查,需要依靠专业的安全审计和/或严谨的数学证明才能够避免该类漏洞。3号事件发生于流动性挖矿项目Based。其智能合约在进行部署时,Based官方仅通过调用智能合约中的renounceOwnership函数声明了所有者,而并没有对智能合约初始化。而一名外部攻击者在Based官方之前,抢先调用initialize函数对智能合约进行了初始化。这使得智能合约的所有者和初始化的操作者不一致,最终任何质押行为都无法完成。该安全漏洞是由“智能合约自身调用安全风险”和“部署智能合约风险”两者同时影响产生的。对该种智能合约的部署应该确保发送部署智能合约的交易和对智能合约的初始化等操作交易的原子性,即该两者交易应该相互关联,确保没有第三方利用时间差进行恶意攻击操作。4号和6号事件相同:存在多个智能合约漏洞,其上线前均未进行安全审计,对于项目拥有者过大权利的问题,均缺乏相应社区监管机制。这两个事件的主角项目分别是SushiSwap以及其仿盘Yuno和Kimchi。SushiSwap项目智能合约中,智能合约拥有者有权利在无监管的情况下,使用setMigrator函数任意修改migrator的值,然后通过调用migrator.migrate来调用任意智能合约外部代码。该外部代码对于智能合约本身是未知的,因此智能合约拥有者可以通过该操作执行恶意代码。Yuno和Kimchi项目中也存在着类似的漏洞:智能合约拥有者有权利通过mint函数来进行无限制数量的铸币操作。最初,该类漏洞的解决方法是将任何来自智能合约拥有者的操作使用timelock智能合约加入延迟锁,SushiSwap、Yuno和Kimchi都通过该种方法为自身加入了48小时的操作延迟。其初衷是给予投资者48小时的窗口,对任何来自智能合约拥有者的疑似恶意交易,都有足够的时间进行撤资等操作。虽然SushiSwap项目中的ChefNomi成功转走的大笔代币后来返还了,但最终SushiSwap项目还是采用了多签名钱包来确保项目的去中心化。可以说,延迟锁并没有办法根本解决智能合约本身的漏洞。5号事件是由于受害者使用了旧版本的Electrum钱包,攻击者利用存在于旧版本中的软件漏洞进行钓鱼攻击。此软件漏洞会对Electrum节点服务器返回的交易错误信息进行HTML渲染。攻击者可以搭建一个恶意的节点,当该节点接收到来自用户发起的交易请求时,让用户钱包弹出一个包含钓鱼信息的窗口,让用户去下载一个所谓的“钱包更新”。而这个”新版钱包“实际上是一个包含恶意代码的假的钱包。一旦用户将自己钱包导入,该假钱包会将其中所有代币转移至攻击者的钱包中。安全建议
以太坊ZK-Rollup扩容方案Taiko计划在2024年初上线主网:金色财经报道,以太坊ZK-Rollup扩容方案Taiko发文公布路线图,计划在本月推出Alpha-2测试网,其中包含无需许可的provers和部分ZK-EVM电路,并在2024年初上线主网,实现完整的ZK-EVM电路、去中心化proposers和provers。[2023/3/10 12:52:48]
综上所述,8月安全事件频发,CertiK安全团队提出以下建议:对于区块链项目的安全风险不仅需要从代码漏洞层面观察,同时也应该仔细了解项目的逻辑实现与其逻辑设计是否一致。区块链项目需要为其整个部署流程规划详细的设计与实施流程,确保部署操作的原子性。面对区块链项目智能合约拥有者权利过大的问题,不应仅仅依靠外部强制机制来限制,更是应该从智能合约代码实现以及社区治理等多角度综合,从而确保项目不会被任意一方滥用。DeFi热度持续上升,区块链作为时代颠覆性的核心技术,也已在各个领域得到了广泛的应用,隐藏在收益和利好之下的安全隐患也不应被忽视。CertiK致力于构建区块链健康安全生态,利用业内领先的技术解决区块链与智能合约的安全痛点。
加密友好银行BankProv停止提供以加密矿机作抵押的贷款:1月31日消息,加密友好商业银行 BankProv 已停止提供以加密矿机作为抵押的贷款,并表示其数字资产贷款组合在 2022 年 Q4 下降了 50%,因为一些减值贷款被出售并偿还了信贷。[2023/1/31 11:39:13]
Kraken拟任CEO:从未就收购FTX进行讨论:11月18日消息,此前传言称FTX正在接触Kraken寻求救援,即将上任的加密货币交易所新首席执行官David Ripley进行了澄清。他表示从未涉及过救援FTX这件事,并补充说,我们不断收到关于收购FTX的询问,但其实从来没有任何关于收购FTX的讨论,这对Kraken来说没有意义。
David Ripley还强调,Kraken没有任何涉及FTX、DCG或任何与SBF相关实体的风险,甚至直言FTX和SBF完全是欺诈——不仅是欺诈,还是小偷。(Fortune)[2022/11/18 13:21:02]
Coinbase CEO:计划未来一年内出售约2%所持股份,以资助科学研究和公司:金色财经报道,Coinbase CEO Brian Armstrong在社交媒体上表示,我热衷于加速科学和技术的发展,以帮助解决世界上的一些最大挑战。为了进一步做到这一点,我计划在未来一年内出售我持有的大约2%Coinbase股份,以资助科学研究和公司。
他还表示,为了避免疑问,我打算在很长一段时间内担任Coinbase的CEO,仍然看好加密货币和Coinbase。我完全致力于发展我们的业务和推进我们的使命,但我也很高兴能以不同的方式作出贡献。[2022/10/15 14:28:47]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。