區塊鏈:CertiK安全分析：8月數字貨幣相關攻擊事件分析總結

「幣圈一天，人間一年」，「DeFi一天，幣圈一年」。近期的鏈圈幣圈，熱度已幾乎都被DeFi掠奪。伴隨著項目的層出不窮，大量用戶的涌入，DeFi協議總鎖倉量已高達103.8億美元。極高的投資收益吸引了大量幣民加入，而8月，更是流動性挖礦項目如火如荼的一個月。從實驗性流動性挖礦項目Yam到目前仍舊具有極高話題度的SushiSwap，整個區塊鏈社區都在持續討論著其中的巨額利潤以及隱藏其下的安全隱患。在這一個月中，大量新的挖礦項目出現，其中絕大多數項目都直接復制其他類似項目的代碼，在未進行安全審計的情況下匆忙上線。因此導致了發現的智能合約安全漏洞數量眾多而且性質類似。如今，確定一個項目是否可以投資的首要條件應該是檢查項目及其合約是否由著名安全團隊進行過專業審計并取得較高安全評價。據CertiK安全技術團隊統計，8月份發生與區塊鏈相關的安全事件盤點如下：8月11日，基于以太坊的代幣項目NUGS出現安全問題，其智能合約中存在安全漏洞，致使其代幣系統出現巨額通脹。由于該智能合約的安全漏洞無法被修復，因此最終NUGS項目官方發布公告決定放棄該項目，存入其中的代幣也無法被取出。8月12日，流動性挖礦項目Yam爆出智能合約漏洞，該漏洞將預留巨大數目的代幣，導致對項目進行治理所需要的代幣數目隨之增長，最終由于社區沒有足夠的代幣，任何治理行為都無法進行。8月14日，流動性挖礦項目Based存在智能合約安全漏洞并遭到攻擊者攻擊，該項目中一號池智能合約中函數被錯誤設置為可以被外部任意調用，造成其被外部攻擊者搶先初始化，導致一號池中任何質押行為都無法完成。8月28日，Sushiswap智能合約中被發現存在多個安全漏洞，該漏洞允許智能合約擁有者在無任何社區授權情況下，任意進行取款。同時，該合約還存在重入攻擊漏洞，會導致潛在惡意代碼被執行多次。8月31日，用戶由于使用存在漏洞的舊版本electrum錢包應用，導致1400枚比特幣被盜。8月31日和9月1日，Sushiswap仿盤Yuno和Kimchi兩個項目智能合約均被發現存在安全漏洞，該漏洞允許智能合約擁有者無限增發項目對應代幣，可能導致項目中代幣產生巨大通脹。列表如下：

CertiK：ArbitrumNews DAO項目Discord服務器已被入侵，請勿點擊任何鏈接:金色財經報道，據CertiK監測，ArbitrumNews DAO項目Discord服務器已被入侵，有黑客發布了虛假空投信息。在團隊確認已重獲對服務器的控制之前，請勿點擊任何鏈接。[2023/5/19 15:12:48]

事件詳情

以下是8月安全典型事件的具體分析：1號事件是一個非常典型的，由于邏輯實現上失誤而造成的漏洞。NUGS項目的商業實現模型是一個彩票抽獎的系統，彩票抽獎以輪為單位，在每一輪抽獎中，投資者可以向該輪獎池中存入資金。經過一段時間后，NUGS智能合約中的開獎函數可以被外部調用，從而確定本輪彩票抽獎的贏家。贏家獲得獎池獎金，而來自外部調用開獎函數的調用者也會獲得一小部分獎勵。該輪抽獎結束，獎池中數額清零，因此每一輪抽獎開始時，獎池內的初始數額應當為“零”。然而NUGS智能合約中存在一個關于獎池獎金初始數額的邏輯實現漏洞：當一輪抽獎結束后，獎池中數額未被清零，導致了下一輪抽獎開啟后，獎池中的初始數額為上一輪的總獎金。因此獎池中的獎金會越來越多，最終導致通脹、幣值飛快貶值。2號事件發生在Yam流動性挖礦項目上，也是一個由于邏輯實現上的失誤導致的安全漏洞。在Yam智能合約中存在一個rebase函數，其目的是在確保代幣的價格穩定，而由于在代碼層面的疏忽，對每一次rebase執行時，代幣總共供給量totalSupply的數值被錯誤的進行計算，導致totalSupply的數目只能持續增加，因此最終同樣導致了通脹發生。以上兩個事件中的漏洞都是屬于邏輯實現層面出現的漏洞。邏輯實現上的漏洞雖然非常直觀，但依靠任何現有的自動檢測工具均無法檢查，需要依靠專業的安全審計和/或嚴謹的數學證明才能夠避免該類漏洞。3號事件發生于流動性挖礦項目Based。其智能合約在進行部署時，Based官方僅通過調用智能合約中的renounceOwnership函數聲明了所有者，而并沒有對智能合約初始化。而一名外部攻擊者在Based官方之前，搶先調用initialize函數對智能合約進行了初始化。這使得智能合約的所有者和初始化的操作者不一致，最終任何質押行為都無法完成。該安全漏洞是由“智能合約自身調用安全風險”和“部署智能合約風險”兩者同時影響產生的。對該種智能合約的部署應該確保發送部署智能合約的交易和對智能合約的初始化等操作交易的原子性，即該兩者交易應該相互關聯，確保沒有第三方利用時間差進行惡意攻擊操作。4號和6號事件相同：存在多個智能合約漏洞，其上線前均未進行安全審計，對于項目擁有者過大權利的問題，均缺乏相應社區監管機制。這兩個事件的主角項目分別是SushiSwap以及其仿盤Yuno和Kimchi。SushiSwap項目智能合約中，智能合約擁有者有權利在無監管的情況下，使用setMigrator函數任意修改migrator的值，然后通過調用migrator.migrate來調用任意智能合約外部代碼。該外部代碼對于智能合約本身是未知的，因此智能合約擁有者可以通過該操作執行惡意代碼。Yuno和Kimchi項目中也存在著類似的漏洞：智能合約擁有者有權利通過mint函數來進行無限制數量的鑄幣操作。最初，該類漏洞的解決方法是將任何來自智能合約擁有者的操作使用timelock智能合約加入延遲鎖，SushiSwap、Yuno和Kimchi都通過該種方法為自身加入了48小時的操作延遲。其初衷是給予投資者48小時的窗口，對任何來自智能合約擁有者的疑似惡意交易，都有足夠的時間進行撤資等操作。雖然SushiSwap項目中的ChefNomi成功轉走的大筆代幣后來返還了，但最終SushiSwap項目還是采用了多簽名錢包來確保項目的去中心化。可以說，延遲鎖并沒有辦法根本解決智能合約本身的漏洞。5號事件是由于受害者使用了舊版本的Electrum錢包，攻擊者利用存在于舊版本中的軟件漏洞進行釣魚攻擊。此軟件漏洞會對Electrum節點服務器返回的交易錯誤信息進行HTML渲染。攻擊者可以搭建一個惡意的節點，當該節點接收到來自用戶發起的交易請求時，讓用戶錢包彈出一個包含釣魚信息的窗口，讓用戶去下載一個所謂的“錢包更新”。而這個”新版錢包“實際上是一個包含惡意代碼的假的錢包。一旦用戶將自己錢包導入，該假錢包會將其中所有代幣轉移至攻擊者的錢包中。安全建議

CertiK宣布融資6000萬美元，投資方包括SoftBank Vision Fund II與Tiger Global:金色財經消息，Web3和區塊鏈安全公司CertiK宣布融資6000萬美元，投資方包括軟銀愿景基金2（SoftBank Vision Fund II）和Tiger Global，標志著軟銀首次涉足Web3安全領域。這也意味著該公司在9個月的時間里總共融資2.9億美元，進一步鞏固了其獨角獸地位。

此次融資正值區塊鏈社區圍繞Web3應用程序開發引領增長，并為虛擬生態系統創建新的用例，特別是在游戲、NFT和DeFi方面之際。CertiK的營銷副總裁Monier Jalal表示：“隨著Web3開發和隨之而來的黑客攻擊趨勢的增加，這種巨大的影響推動了對Web3安全的需求。”

4月7日消息，CertiK宣布近日完成8800萬美元B3輪融資，估值達到20億美元，此次融資由Insight Partners、Tiger Global和Advent International領投，高盛、 Sequoia Capital和Lightspeed Venture Partners等參投。（Cointelegraph）[2022/4/22 14:42:04]

綜上所述，8月安全事件頻發，CertiK安全團隊提出以下建議：對于區塊鏈項目的安全風險不僅需要從代碼漏洞層面觀察，同時也應該仔細了解項目的邏輯實現與其邏輯設計是否一致。區塊鏈項目需要為其整個部署流程規劃詳細的設計與實施流程，確保部署操作的原子性。面對區塊鏈項目智能合約擁有者權利過大的問題，不應僅僅依靠外部強制機制來限制，更是應該從智能合約代碼實現以及社區治理等多角度綜合，從而確保項目不會被任意一方濫用。DeFi熱度持續上升，區塊鏈作為時代顛覆性的核心技術，也已在各個領域得到了廣泛的應用，隱藏在收益和利好之下的安全隱患也不應被忽視。CertiK致力于構建區塊鏈健康安全生態，利用業內領先的技術解決區塊鏈與智能合約的安全痛點。

區塊鏈安全公司CertiK完成8800萬美元融資 TigerGlobal等領投:金色財經消息，區塊鏈安全公司CertiK完成8800萬美元融資，估值達到20億美元，此次融資由Insight Partners、Tiger Global和Advent International領投，高盛、 Sequoia Capital和Lightspeed Venture Partners等參投。

這筆資金將用于構建新產品和Web3世界的一站式安全平臺。迄今為止，CertiK共籌集到2.3億美元。（TechCrunch）[2022/4/7 14:10:53]

MDEX去中心化交易協議完成Certik全方位安全審計:據MDEX官方消息稱，目前已通過區塊鏈審計公司Certik進行的全方位安全審計，各項審計指標均優異，無任何環節需要代碼更新，審計報告將添加到官方GitHub存儲庫。詳情見原文鏈接。[2021/3/25 19:18:30]

區塊鏈數據智能平臺SixPencer支持合規穩定幣HUSD數據查詢:據官方消息，區塊鏈數據智能平臺SixPencer已經正式支持合規穩定幣HUSD的數據查詢。用戶可以一鍵輕松獲得HUSD相關知識圖譜，同時系統會匹配與搜索詞對應的最佳可視化圖表。目前，平臺已經支持HUSD最新的用戶量、鏈上交易、以及市場數據查詢。

SixPencer是一家區塊鏈數據智能平臺。致力于實現區塊鏈數據智能大眾化，打造一個人人都可通過搜索獲取鏈上數據的開放平臺，通過創新的搜索和分析工具，改變用戶訪問、理解和分析區塊鏈數據的方式。

HUSD是由Stable Universal 發行的合規穩定幣，與美元1:1錨定。HUSD對應的美元資產由美國信托機構托管，由知名的獨立美國審計公司每月對資金進行審計。HUSD團隊竭誠為用戶提供安全、穩定、便捷的數字資產服務。[2020/7/7]

Tags：區塊鏈CERTIKERT區塊鏈是騙局嗎DEFILANCER價格Tikky InuRobert F Kennedy Jr

比特幣最新價格