自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;Nirvana:通過閃貸操縱價格,350萬美元被盜;Slope錢包:由于助記詞被泄露,400萬美元被盜。在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。這些黑客有什么共同之處?
Messari:Avalanche二季度日均交易額暴跌近40%:7月12日消息,據加密分析平臺Messari最新發布的Avalanche狀態報告顯示,Avalanche網絡使用量在今年二季度出現了大幅下降,日均交易量從865,000筆驟減至540,000筆,跌幅近40%。
該份Messari報告指出,Avalanche鏈上交易量之所以出現快速下跌的一個原因是GameFi開發已經轉移到子網。不過,鎖定在DeFi中的AVAX數量不減反增,從一季度末的1.15億枚AVAX增長到1.52億枚AVAX,增幅達到32.17%。[2022/7/12 2:07:17]
1.幾乎所有黑客(SlopeWallet除外)都精心設計了一個或多個假賬戶。Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。CashioApp:黑客創建了8個假賬戶來通過有效性檢查。CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。2.所有黑客攻擊都涉及多次交易Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10+筆閃貸交易,從不同的代幣池中進行竊取。Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。Slope錢包:廣泛的攻擊持續至少8個小時。4.最大的損失是由于缺少帳戶驗證前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。無論是否是巧合,這些攻擊都造成了很大的經濟損失。5.閃貸牽涉到兩次黑客攻擊CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。在CremaFinance,閃貸被用來引導存款流動性。在Nirvana中,其內部價格預言機被閃貸操縱。如何防止未來類似的黑客攻擊?
數據:香港近40%新金融科技公司都使用區塊鏈:區塊鏈公司在香港金融科技行業的主導地位日益增強,在過去一年中,近40%在香港成立的新金融科技公司都利用區塊鏈技術進行運營。根據香港金融服務和財政局(Financial Services and Treasury Bureau)的數據,分布式分類帳技術(DLT)在香港新金融科技公司中的占比逐年上升,高于2018年的27%。(Cointelegraph)[2020/6/8]
根據上面總結的這些攻擊的特點,我們推薦以下的安全措施:1.預部署:驗證智能合約的所有輸入帳戶
在編寫Solana智能合約時,要時刻牢記所有輸入都可能被攻擊者偽造,包括所有賬戶和外部程序(即用戶錢包賬戶、PDA賬戶和其他智能合約)。Solana的編程模型將代碼和數據解耦,因此程序中使用的所有帳戶都必須作為數據輸入傳遞。在幾乎所有情況下,都應該驗證:賬戶所有權賬戶簽名者帳戶之間的關系(或邏輯約束)根據協議邏輯,還應該檢查:如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。2.部署后:主動使用實時威脅監控
行情 | BTC小幅上漲再次逼近4000美元:據huobi global數據顯示,BTC小幅上漲再次逼近4000美元,日內漲幅為0.20%,當前報價3997.86美元,波動較大,請做好風險控制。[2019/3/18]
由于所有這些黑客攻擊都涉及跨越至少幾分鐘或幾小時的多個交易,因此可以提前主動檢測可疑交易,并在中間遏制攻擊。這是Solana的獨特屬性,它允許鏈上威脅監控技術作為一種防御解決方案,來幫助有效地預防和阻止安全攻擊:原則上,威脅監控解決方案可能會有幫助:監控SOL或SPL代幣的大規模轉移;監控針對你的智能合約的閃貸交易;通過升級依賴程序來監控潛在的漏洞;監控異常狀態(例如,計算費用);監控往返交易事件例如deposit-claim-withdraw在單個tx中);監控來自同一簽名者的重復交易;任何針對協議特定屬性的自定義監控。如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。原地址
鏈塔智庫:全球數字貨幣總市值近4000億美金;交易金額最高的交易所為BITMEX:鏈塔智庫今日發布2018年第一季度數字貨幣交易所研究報告。截止2018年4月24日,全球共有1200余種數字貨幣,總市值近4000億美金,單日交易額超過200億美金。全球交易金額最高的交易所為BITMEX,OKEX跌至第二。全球存177家數字貨幣交易所,其中僅6家交易所支持法幣交易。因我國政策出臺等原因,數字貨幣交易所轉戰海外,競爭力提高。[2018/4/25]
Tags:ANCSOLNANFINAFrance Rev FinanceESOL幣Valas FinanceCitizen Finance
相關閱讀:VitalikButerin:NFT、治理權與靈魂綁定BNBChain:靈魂綁定TokenBAB持有者可獲ApeSwap等14個項目特殊獎勵今日幣安發布公告稱.
1900/1/1 0:00:00一人多錢包地址是加密世界的普遍現象,而賬號真實性則切實影響著加密世界的運轉。對普通用戶來說,坐擁數百乃至數千錢包地址的“羊毛黨”將他們的空投收益極大的稀釋,對項目方來說讓他們無法甄別出誰才是真正.
1900/1/1 0:00:00Gitcoin是一個針對開源軟件的捐款平臺,用戶可以通過Gitcoin支持各類去中心化開源項目,早期項目也可以在Gitcoin上獲得捐助以維持運營.
1900/1/1 0:00:00TL;DR 1.熊市中穩定幣交易平臺、衍生品交易平臺增長潛力提升;2.AMM+NFT是DEX發展的新趨勢;3.新公鏈DEX增長迅速.
1900/1/1 0:00:00就連Google都為以太坊合并上線了倒計時功能,可想而知這一事件的熱度有多高。 老生常談,什么是以太坊合并?簡單來講就是以太坊當前主網與信標鏈的過程.
1900/1/1 0:00:00Aperture是一個頗為有趣卻具有悲情色彩的項目。它產品設計獨特,為用戶提供了Delta中性的收益農場,卻選錯了公鏈,部署于Terra之上.
1900/1/1 0:00:00