前言
从Defi安全角度来看9月安全事件相较于较8月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。
知道创宇区块链安全实验室?总结了9月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。
9月安全事件盘点
以下是9月发生的各领域的安全事件:
9月4日
NFT赛马项目DeRac针对DAO公共买家在未来解锁领取代币的合约DAOMaker分发系统被攻击。
动态 | 数字资产交易基础设施提供商 SettleBit 完成首笔价值 10 万美金的比特币冷存储交易:一种新的机构结算解决方案允许客户直接从其托管账户进行交易,已经完成第一笔交易。数字资产交易基础设施提供商SettleBit本周宣布,已在大约10分钟内成功地将10万美元的比特币从Prycto Digital转移到CMT Digital,使用了据称是同类中第一个结算层,以促进将数字资产保存在BitGo冷储存库中的转移。该功能当前仅适用于与SettleBit建立了交易关系的BitGo客户。但该公司将把结算层扩大到其他托管解决方案。SettleBit首席执行官Leor Tasman向CoinDesk证实,Kingdom Trust客户将在本季度晚些时候整合。据The Block此前报道,BitGo已与SettleBit合作,允许机构客户直接从其BitGo账户进行交易。目前,该平台支持交易比特币、以太坊和美元。但该公司表示,打算在不久的将来增加更多实用型代币和稳定币。(CoinDesk)[2020/2/7]
其漏洞原理是:Vesting合约未进行init未初始化保护,从而让黑客初始化了init的关键参数,也变更了owner,导致黑客通过紧急提款函数提取了合约资金,损失约400万美元。
证券时报:比特币有基础价值 但不足以支撑起目前高到离谱的价格:比特币作为一种商品被热捧,首先它是有基础价值的,但从价值本身出发,比特币价值不足以支撑起目前高到离谱的价格。跟所有的金融泡沫一样,一旦某种商品、资产具有了良好的基本面价值和升值的想象空间,杠杆和炒作就会随之而来,参与者会在击鼓传花的游戏中失去理性,价格也将一飞冲天,直到数倍、乃至百千倍的脱离其基本面。别妄想炒币暴富,在泡沫面前,所有市场殊途同归。[2018/2/7]
9月
接近央行人士:比特币挖矿没有存在的价值 但央行不可能关停:财联社1月4日讯,针对近日有关央行就比特币矿场召开闭门会议的报导,《财经》获悉,该会议子虚乌有,而关于挖矿的会议召开的准确时间点是去年四季度。接近央行人士表示,用规范一词形容矿场的未来并不准确,规范有让其发展的意思。但是从比特币矿场现在的现状...[2018/1/4]
NFT市场OpenSea出现漏洞导致30笔交易受到影响,至少42个NFT被销毁,损失约9.7万美元。
9月12日
Avalanche链上ZabuFinance由于其defi协议与代币协议之间不兼容被黑客利用,通过攻击获取45亿ZABU代币,损失约60万美元。
9月15日
去中心化交易所NowSwap遭到黑客攻击,由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超100万美元。
9月17日
9月17日,SushiSwap平台MISO上的DONA代币拍卖遭到攻击,黑客通过向MISO前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址获利,损失超300万美元。
9月20日
跨链协议pNetwork因代码漏洞遭攻击,损失约1308万美元。
9月21日
借贷协议Vee.Finance,超3500万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。
9月
OpenZeppelin的TimelockController合约修复了一个可重入漏洞,这是OpenZeppelin在其开源智能合约库中唯一存在的严重漏洞。
9月30日
去中心化借贷协议Compound出现漏洞错误地允许一些用户索取额外的COMP代币,该漏洞损失约28万枚COMP代币。
总结
各链上项目问题依然十分严峻,智能合约层面的漏洞导致的损失一般都十分巨大,相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞,希望各方在开发项目或者审计项目时多做考虑。
关于OpenZeppelin出现的漏洞则再一次提醒我们,没有绝对的权威,任何项目都需要多方验证保证其安全性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。