比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Uniswap > Info

DEF:DeFi 跨鏈協議接連被攻擊 該如何防范?

Author:

Time:1900/1/1 0:00:00

原文標題:《半月連發 5 起攻擊,安全機構:跨鏈協議需排查與其他 DeFi 產品組合的業務邏輯漏洞丨巴比特觀察》

除了避免出現跨合約的邏輯兼容性漏洞,安全機構還建議在安全事件發生時及時排查封堵安全攻擊,避免造成更多的損失。

近日,兩個跨鏈橋項目接連遭遇黑客,總計損失約 1600 萬,引發了行業震動。

其中 ChainSwap 攻擊事件導致超過 20 個項目代幣陸續被黑客「光顧」,波及范圍之廣,放眼整個 DeFi 領域實屬罕見。

在此之前,跨鏈攻擊事件寥寥無幾。但在短短半個月內,已出現 5 起安全事件,損失超過 1700 萬美元。跨鏈攻擊明顯增多,這是否意味著黑客正在瞄準跨鏈協議生態?

7 月 11 日凌晨,跨鏈資產橋項目 ChainSwap (ASAP)因其智能合約的一個關鍵漏洞遭遇黑客攻擊,損失約 800 萬美元。

ChainSwap 是一個用于智能鏈的跨鏈資產橋和應用程序中心,允許項目在以太坊(ETH)、幣安智能鏈(BSC)和火幣生態鏈(HECO)之間實現無縫橋接。

因此,許多與其合作在以太坊和幣安智能鏈之間連接代幣的項目都受到了波及。據了解,超過 20 個項目陸續被黑客「光顧」,包括 OptionRoom、RAI Finance、Umbrella Network、DAOventures、DAFI Protocol、FM Gallery、Fei protocol、Fair Game、Antimatter、Unido、Unifarm、Wilder Worlds、Nord Finance、Razor 、Dafi Finance、Oropocket、Rocks、 Peri Finance 等。

Avalanche鏈上DeFi鎖倉量超111億美元創新高,AAVE居首位:11月18日,DeFi LIama數據顯示,Avalanche(雪崩協議)鏈上DeFi鎖倉量超過111億美元,創歷史新高。其中,AAVE鎖倉量為32.3億美元,占比29%,位居首位;Trader Joe以21.9億美元排名第二;Benqi以14.1億美元位居第三。[2021/11/18 22:00:10]

根據部分項目已披露的損失數據,鏈上激勵協議 DAFI Protocol 被出售了 20 萬美元的 DAFI,波卡生態預言機和預測協議 OptionRoom 被黑客竊取 1230 萬枚 ROOM 代幣,DeFi 預言機 Umbrella 損失了超 300 萬枚 UMB 代幣,以及 DeFi 資產管理平臺 DAOventures 被盜取 30 萬枚 DVG 代幣等。

嚴格來說,此次攻擊的資金損失放在所有 DeFi 安全事件中并不算多,但其波及項目的范圍之廣,卻實屬罕見。

那么,ChainSwap 到底存在什么漏洞,讓黑客有機可乘?

「ChainSwap 在代幣跨鏈配額代碼中存在漏洞。原本跨鏈橋配額由簽名節點自動增加,旨在無需人工控制的情況下實現去中心化。然而,由于代碼中存在一個邏輯缺陷,即跨鏈資產只需要一個簽名,而非多簽,使得未被列入白名單的地址可自動增加額度。」PeckShield「派盾」告訴巴比特。

DeFi 概念板塊今日平均漲幅為3.21%:金色財經行情顯示,DeFi 概念板塊今日平均漲幅為3.21%。47個幣種中38個上漲,9個下跌,其中領漲幣種為:AMPL(+39.53%)、IDEX(+14.84%)、REP(+14.52%)。領跌幣種為:HDAO(-6.19%)、LBA(-4.38%)、NEST(-3.51%)。[2021/7/24 1:13:00]

簡而言之,Chainswap 被攻擊是因為發放的簽名數量和提取時的需要的簽名數量不一致,用戶在申請跨鏈操作時得到的簽名數量為多個,而提取時只需要一個簽名便可通過驗證。

成都鏈安指出,Chainswap 攻擊事件中,攻擊者首先在一條鏈上申請跨鏈操作,然后在獲得多個簽名后,多次利用單個簽名調用另一條鏈上的 receive 函數進行提取,從而獲得多倍的代幣。

「實際上,這種攻擊手法很簡單,攻擊者只是簡單地進行跨鏈申請和提取操作。」成都鏈安告訴巴比特。

而 Chainswap 上 20 多個項目都被攻擊,正是因為它們都使用了 Chainswap 存在漏洞的 factory 合約的配置。

事件發生之后,ChainSwap 表示,已經凍結 BSC 映射代幣地址以過濾掉黑客地址,將對攻擊前的 ASAP 持有者和 LPs 空投 1:1 的新 ASAP 代幣,并將對受影響的代幣實施補償計劃。

火幣錢包2.0全新上線,正式升級為全方位DeFi資產收益管理平臺:據火幣錢包官方消息,火幣錢包2.0已正式升級上線,此次升級是為順應 DeFi 潮流,為用戶提供更加豐富、便捷的 DeFi 投資體驗,助力火幣錢包從資產存儲和管理工具升級為全方位去中心化資產收益管理平臺。

據了解,火幣錢包2.0升級注重 UI 界面和用戶體驗的提升,旨在幫助更多用戶輕松使用 DeFi 協議。錢包首頁進行了全新改版,用戶可以更快捷地使用DeFi ,打開錢包APP用戶即可在錢包首頁看到各個頭部 DEX 入口,最熱 DeFi 項目列表和各類資產數據;APY排行榜、各類原創教程,幫助用戶第一時間捕捉投資機會,并輕松使用相應 DeFi 協議。

火幣錢包是一款專業多幣種輕錢包,于 2018 年 9 月 14 日正式上線,依托火幣集團在區塊鏈領域的技術積累和安全經驗,從多重維度保障全球數字貨幣用戶的資產安全,提供簡單便捷、安全可靠的數字資產管理服務。[2020/9/29]

正當我們以為此事暫時告一段落時,風波再起,另一起攻擊事件的發生將跨鏈生態推向了風口浪尖。

7 月 12 日凌晨 1 點,去中心化跨鏈交易協議 Anyswap 官方發推聲稱,Anyswap 多鏈路由 v3 版本遭到攻擊。

據了解,Anyswap 是一個基于 FusionDCRM 技術的去中心化的跨鏈交換協議,也是目前 DeFi 用戶最常用的跨鏈工具之一。

不同于 ChainSwap,Anyswap 只是單個項目受到攻擊,但是在資金損失方面,卻是不遑多讓。據稱,V3 跨鏈資金池受影響,損失約 240 萬 USDC 和 551 萬 MIM,總計約 800 萬美元。

金色沙龍 | 徐坤:Defi的發展讓我們看到了“代碼即規則”的潛力:在本期金色沙龍圓桌上,針對“在當下行情如何抓住投資機會面對新風口,DeFi能不能成為中小企業融資難的解決辦法?對加密貨幣有什么影響?是否能成為行業領跑者?”話題,OKEx首席戰略官徐坤表示Defi的發展讓我們看到了“代碼即規則”的潛力,但也帶給我們更多思考,有幾個問題不容忽視:

1、正如傳統金融市場上,各家金融機構之間的業務相互交織,Defi應用之間也是彼此聯動的,要從整個Defi生態來來建立風險管理機制,提高整個系統抵抗風險的能力。

2、探索鏈上的征信機制,Defi應用之間的黑名單共享與失信用戶行為限制制度。

3、Defi背后必須有真實價值的支撐,除了鏈上原生資產,將實體資產上鏈,才能夠實現更大的價值。[2020/3/11]

成都鏈安表示,Anyswap 被攻擊的最主要原因是簽名使用了重復的 R 值。如果該同一賬戶簽名的交易擁有相同的 rsv 簽名的 R 值,則黑客可以反向推導出該賬戶的私鑰。

在攻擊過程中,攻擊者正是利用了這一點,通過同一賬戶簽名的兩筆擁有相同的 rsv 簽名的 R 值的交易,反向推導出該賬戶的私鑰,進而盜取該賬戶的資金。由于該賬戶在 BSC、ETH 和 FTM 上可以復用,故該賬戶多條鏈上資產被盜。

「事實上,這種攻擊手法需要一定的技術手段才能完成,相比 Chainswap 攻擊事件更為高級。」成都鏈安說。

接連兩起跨鏈領域攻擊事件的發生,或許并非偶然。

分析 | Blockchain Defender:加密行業仍普遍缺乏公眾信任:據bitcoinews報道,Blockchain Defender最近的一份報告聲稱,盡管加密貨幣市場資本化程度不斷提高,但整個行業仍普遍缺乏公眾信任。為了分析市場情緒,該機構調查了每個國家母語的搜索結果,美國的加密相關搜索結果最負面,其次是德國、阿拉伯聯合酋長國和日本。負面內容的實際來源包括社交媒體平臺、博客、加密行業新聞網站、論壇、加密審查網站以及加密公司目錄和網站。該報告還發現,加密貨幣交易所對人們在線情緒的控制遠遠低于傳統交易所。[2019/2/3]

因為在此之前,發生在跨鏈協議領域的安全事件并不多見。

2021 年的 5-6 月,在跨鏈協議上總共出現了 2 起安全事件。5 月 16 日,跨鏈智能收益與流動性聚合器 bEarn Fi 遭到黑客攻擊,損失近 1100 萬美元。6 月 29 日,去中心化跨鏈交易協議 THORChain 發推稱發現一個針對 THORChain 的惡意攻擊,該次攻擊造成的資金損失為 14 萬美元。

The Block 研究分析師 Igor Igamberdiev 曾表示,DeFi 協議之間的互操作性變得越來越復雜,因此開辟了新的攻擊媒介,并且將來會變得更加頻繁。

而到了 7 月,與跨鏈相關的攻擊事件數量突然上升。7 月 2 日,跨鏈去中心化交易所 DDEX 上的 XDX Swap 遭攻擊,攻擊者獲利 85.17 ETH (約 17.85 萬美元),并已將獲利全部跨鏈到以太坊上。

同日,ChainSwap 也發推稱其合約遭到攻擊,這是 ChainSwap 于 7 月首次遭到攻擊,據悉,攻擊者也是利用其代碼中的另一個漏洞,使該平臺遭受了 80 萬美元的損失。

從 6 月底到現在,短短半個月的時間,發生在跨鏈領域的安全事件已有 5 起,這個數字說明針對跨鏈平臺或項目的攻擊正在明顯增多,不免讓人猜想是否黑客盯上了跨鏈協議生態。

「任何新出現的技術都會存在一定的風險,出現安全事件也是必然趨勢。」成都鏈安表示。

該安全公司認為,近期跨鏈協議攻擊事件多發的原因有多個。一方面是跨鏈生態目前還不是特別成熟,有許多方面需要改進。另一方面,隨著近期跨鏈相關項目累計資產規模不斷擴大,勢必會引來黑客的目光。

對此,PeckShield「派盾」也持有類似的觀點。

正如我們所知,目前市面上涌現出了多條公鏈,且它們的資金量已經頗具規模,但不同的鏈間如同孤島,不同鏈上的資產無法自由交換。另外,很多新興公鏈仍缺失基礎設施。因此,公鏈需要將其它鏈上的資產通過跨鏈的方式引入自身的公鏈。

「在當前常用的跨鏈方式中,除了中心化機構如交易所錢包中跨鏈提幣之外,最常見的就是各種去中心化跨鏈資產橋,跨鏈橋有效地打破了鏈與鏈之間的信息孤島。」PeckShield「派盾」對巴比特說,「隨著目前跨鏈橋的生態愈發多樣化的同時,黑客對于跨鏈協議也會備受關注,它們是黑客資產出逃的重要環節,因此,也會成為黑客攻擊的目標。」

PeckShield「派盾」還發現,攻擊者成功得手后也會通過跨鏈橋將資產快速轉移,再結合混幣服務將資產洗白。而這種新興的洗錢?式,也對反洗錢工作增加了新的壓力。

在跨鏈協議領域,常見的攻擊手段包括盜取用戶私鑰和簽名等信息、利用合約中權限校驗等方面存在的業務邏輯上的缺陷以及鏈下其他部分存在的安全隱患。

從近期 Chainswap 和 Anyswap 兩起跨鏈協議遭攻擊來看,一是協議本身存在漏洞,二是跨鏈的私鑰管理不到位。Anyswap 本質上是在私鑰管理上出了問題。而上文提及的 THORChain 系統曾出現的「假充值」漏洞則屬于鏈下部分的業務邏輯問題。

「要防范黑客攻擊很難,因為項目任意部分存在漏洞都可能造成巨大的損失。」成都鏈安認為。

這不得不提到「防范黑客攻擊」這個區塊鏈行業老生常談的難題,從整個行業到 DeFi 領域,再到跨鏈協議,攻擊的對象不斷轉換,但采取的防范方式其實大致相同。

首先,跨鏈協議本身需要查漏補缺。有效、專業的審計能有效地排查出已知的漏洞。

「但與常規的 DeFi 項目不同,由于跨鏈項目的特殊性,安全的考量不能局限于智能合約層面,需要足夠重視鏈上部分和鏈下部分,尤其是注意排查與其他 DeFi 產品進行組合時的業務邏輯漏洞,以避免出現跨合約的邏輯兼容性漏洞。」PeckShield「派盾」表示。

其次,項目需要設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務,在 DeFi 安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失。

此外,派盾還認為,可以聯動行業各方力量,搭建一套完善的資產追蹤機制,實時監控相關虛擬貨幣的流轉情況。

而對于投資者而言,能夠甄別可靠的項目或許是頭等大事。

一方面,投資者不能輕易將自己的資產投入沒有審計過的項目,包括正在進行審計但尚未完成的項目。

「即便是經過審計的項目,如跨合約的協議,投資者也不要過度授權。項目方對待跨鏈協議亦是如此,此次 ChainSwap 的損失較大,波及范圍廣也是源于這個原因。」派盾說。

另一方面,投資者也應該關注參與項目的最新消息,一旦遭遇攻擊事件,能夠及時將自己的資金撤出,或許可以避免損失的擴大。

成都鏈安指出,本次事件中,多個代幣項目方在受到攻擊影響后,及時從兌換池中移除流動性,其實是一種較為成功的補救措施。

隨著行業發展,黑客攻擊事件一次次的發生,不斷打擊著 DeFi 從業者和投資者的熱情和信心。但如上文所言,新技術的產生和發展都必然會伴隨著狂風暴雨的考驗,仍然也有許多從業者對 DeFi 和跨鏈的未來充滿希望。

「其實跨鏈協議之前就有一些問題,現在發生兩起攻擊事件,反而讓一些漏洞浮出了水面。換個角度看,或許也是一件好事。」DeFi 投資者陳耀(化名)告訴巴比特。

PeckShield「派盾」觀察發現,BTC 跨鏈橋的資金規模在短時間內發生了激增。該安全公司認為,此前跨鏈協議較少,隨著跨鏈協議生態的發展,需求逐步增長,提供的解決方案逐步豐富,自然而然也會出現發展中的陣痛,而這種短時陣痛能夠倒逼生態中的各個環節加強安全意識。

成都鏈安同樣也提出了相似的看法。「無論是之前的 THORChain 跨鏈系統「假充值」漏洞,或者 ChainSwap 合約配置不當漏洞,還是 Anyswap 中簽名中 R 值的復用。其實每一次安全事件的發生,都在為后續的項目敲響警鐘,以鞭策它們建立牢固的安全城池,也將促進生態和技術更加成熟和完善。」

撰文:Glendon

Tags:DEFEFIDEFISWAPdefi幣官網fdudefiEVAL DEFIPEPESWAP

Uniswap
元宇宙:元宇宙分析報告:一個真正的元宇宙產品 應具備八大要素

原文標題:《元宇宙分析報告》作者:Worshipper Capital元宇宙(Metaverse)的概念逐漸深入人心,成為近期區塊鏈行業熱議的重點.

1900/1/1 0:00:00
BLO:德克薩斯州指控BlockFi發行未注冊證券

德克薩斯州證券委員會已申請對加密借貸公司BlockFi下達停止令,理由是該公司沒有提供在州或聯邦級別獲得許可的證券.

1900/1/1 0:00:00
穩定幣:穩定幣監管“山雨欲來”?美財長耶倫將于下周召集高層討論穩定幣

在美聯儲主席鮑威爾周四對不受監管的穩定幣表示擔憂后,美國財政部長?Janet Yellen?周五宣布,總統金融市場工作組 (PWG) 計劃在 7 月 19 日的會議上討論穩定幣.

1900/1/1 0:00:00
區塊鏈:分布式數字身份的幾個“非技術”思考

7月11日,以“構建數字社會基礎設施”為主題的分布式數字身份(蘇州)高峰論壇暨DIDA聯盟2021年度會議在蘇州高鐵新城召開.

1900/1/1 0:00:00
區塊鏈:國內首個“隱私計算+區塊鏈”專題報告發布:數據安全不能僅靠單一技術解決

 7月20日下午,由中國信通院牽頭撰寫的《隱私計算與區塊鏈技術融合研究報告(2021)》(以下簡稱《報告》)正式發布。這是國內首個探討隱私計算和區塊鏈技術融合價值的專題研究報告.

1900/1/1 0:00:00
區塊鏈:中國降準“放水” 對加密市場影響幾何

在7月9日,中國人民銀行(下述簡稱央行)在2021年7月9日17:11:24發文宣布,央行決定于2021年7月15日下調金融機構存款準備金率0.5個百分點.

1900/1/1 0:00:00
ads