黑客的狂欢,限于技术掣肘的DeFi如何破局?_MPH:Pyrrho DeFi

2020年3月Compound推出“借贷挖矿”模式,让沉寂多时的币圈再次燥动起来。一位参与过DeFi挖矿的“矿工”表示,为了抢到头矿,他把注押在未经测试的代码上,“不管安不安全,先把头矿抢了。”开发者们更急,为了快速上线主网,从新发布的代码中获得最大收益,他们直接略过了安全审计的步骤。那些稳如泰山的黑客们,也开始把握机会,凭借自身技术实力,伺机攻击那些没有做好安全预防措施的DeFi们。进入11月,发生在DeFi协议上的攻击一起接着一起,DeFi们俨然沦为黑客的取款机。据PeckShield统计,截至目前共发生8起与DeFi相关的安全事件,包括YearnFinance、Percent.finance、CheeseBank、OriginProtocol、Akropolis、ValueDeFi、YFV、88mph,造成损失逾2100万美元。惊险时分:24小时发生两起攻击事件损失近800万美元

BitKeep CEO:已冻结黑客的部分金额并正全力追回用户剩余损失,将彻底重构升级技术方案:金色财经报道,BitKeep CEO Kevin 针对攻击事件表示,目前已冻结黑客的部分金额,追回用户剩余损失的工作也在全力推进中。BitKeep 团队目前非常稳定,我和其他核心骨干都会全力以赴为用户追回资产,这是目前最重要的事。此后,我们将彻底重构和升级技术方案,将安全作为整个业务的中心。请丢币的用户亦不用担心,我们一定会给大家一个满意的交待。

Kevin表示,BitKeep APK 7.2.9 安装包被黑客劫持替换,因此部分用户使用到了已被黑客植入代码的应用包以致私钥泄漏。再次呼吁用户,为了资产安全考虑,如果通过 Android APK 下载和更新 7.2.9 版本,都有一定的概率已经泄露私钥。请尽快把资产转移至新生成的钱包地址。[2022/12/28 22:11:28]

11月17日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击(Re-entrancyattack),造成价值770万美元的损失。随后,11月18日,PeckShield监控到DeFi固定利率借贷协议88mph存在代码漏洞,一名攻击者利用该漏洞铸造了价值10万美元MPH代币。据悉,88mph于11月16日上线主网,上线仅48小时就遭到了攻击。在88mph协议中,用户可通过存入加密资产赚取固定利息,并获得其原生代币MPH,也可通过购买浮动利率的债券来获取MPH代币。上线仅48小时后即遭伏击

Mango Markets 社区将批准 4700 万美元与黑客的交易:金色财经报道,Mango Markets 治理论坛正在通过投票,批准为通过该协议窃取1.14亿美元的黑客提供巨额漏洞赏金。根据提供的交易条款,黑客将返还大约6700万美元的代币,并保留剩余的 4700 万美元作为漏洞赏金。治理投票还规定,该项目将使用国库资金注销任何剩余的坏账,一旦返还部分代币,将不再进行刑事调查。治理投票有1.19亿个代币投票赞成,460万个反对该交易。投票已达到法定人数,这意味着投票可能会在10月15日早些时候结束时通过。?

金色财经此前报道,10月12日,Mango遭黑客攻击,损失约1.14亿美元。[2022/10/15 14:28:08]

PeckShield通过追踪和分析发现,首先,攻击者调用DInterest::deposit()函数将稳定币储存在资金池中,此时,存款者会收到一个新的depositID,它相当于非同质化通证,同时MPHMinter合约会开始铸造MPH代币;

声音 | 一名黑客的“独白”:盗取50万美元的加密货币非常容易:据chepicap消息,一位名为“Daniel”的黑客向一家加密媒体承认,对他来说,获得50万美元(加密货币)是多么容易。他找到了一个简单的方法来绕过双重身份认证,即通过SIM交换方法。这个局的简单性是众所周知的,它会导致很多恶意的人使用这种伎俩来快速赚钱。据Micky.com报道,使用这种方法,每年都有数千万美元的加密资产被盗。尽管电信供应商声称他们有标准的协议来防止这种行为,但Daniel透露,总有办法说服他们的客户服务人员。他说:“例如,你打电话假装在瑞典电信公司Tele2工作,请他们帮你转接一个号码。”一旦号码被重定向,他就会使用Gmail或Outlook中的“忘记密码”选项来获取帐户凭据。Daniel承认,他没有任何罪恶感,因为他从来没有见过他的受害者,事实上,他把责任归咎于他们没有使用更好的安全措施。而根据分析公司Cipher Trace的一份报告,SIM卡交换是一种越来越流行的技术。[2019/5/20]

金色财经独家采访 Usechain创始人兼CEO曹辉宁:EOS很容易受到黑客的攻击:今日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。对此, Usechain创始人兼CEO曹辉宁表示,区块链是一个分布式的多中心化的记账方法,这种记账方法保证了我们对系统的信任不是对某个人、某个超级节点的信任,而是整个社区相互全网广播来相互信任,所以是非常安全的。现在很多项目是“伪区块链”,要么没有币,要么没有多中心化的记账方法。EOS是一个伪区块链的概念,很容易受到黑客的攻击,每个节点是轮流做验证交易的。并且会存在黑客和超级节点联合攻击网络的可能,所以EOS网络是非常不可靠的。21个超级节点只要有一个子,就会对整个网络造成非常大的影响。此次漏洞是程序上的漏洞,超级节点的设计很容易被攻击,一旦掌握了超级节点,就掌握了整个系统。[2018/5/29]

随后,调用fundAll()函数购买浮动利率的债券,在此步骤中,用户可获得MPH代币和一个fundingID;

接下来,攻击者将步骤1和步骤2所获得的depositID及fundingID传入earlywithdraw()函数提取在这两步中所存入的资产。也就是说,攻击者将步骤1中原本要锁仓1年的加密资产被提前取出,此时攻击者不会获得任何利息,因此步骤2中提供的资金也原路退回,并且MPHMinter会销毁在步骤1中铸造的所有MPH代币。值得注意的是,在第2步中所铸的MPH代币并没有被销毁。攻击者利用这点,以0成本获得了步骤2所铸造的价值10万美元的MPH代币。

通过重复操作这三个步骤,攻击者铸造了价值10万美元的MPH代币,并将其存入UniswapV2:MPH4池中。利用另一漏洞侥幸逃过一劫

事实上,MPHMinter合约还有一个漏洞,而开发者利用此漏洞侥幸逃过一劫,使得此次攻击暂未造成任何经济损失。首先,开发者调用takeBackDepositorReward将所获MPH代币从UniswapV2:MPH4转移到govTreasury,该函数没有设置门槛,任何人都可调用此函数将MPH代币转移到govTreasury中。

由于攻击者将获得的MPH代币存入了UniswapV2:MPH4池子当中,而88mph项目方自己掏空了该池子,然后做了快照,因此暂未造成任何经济损失。

PeckShield相关负责人表示:“黑客们的攻击可能会毁灭或‘杀死’一个项目,DeFi们不要存在侥幸心理,应该做好充分的预防措施。如果对此不了解,应该找专业的审计机构对代码进行彻底地审计和研究,防范各种可能发生的风险。”开发者编写的每一段代码,就如同工业生产中的螺丝钉一般,即使很微小,却与DeFi行业的兴衰成败紧密相连。DeFi的生态仍处于早期发展阶段,但区块链的核心价值在于普世的信任,如果DeFi们仍一味追求快速上线主网,忽视代码的审计安全,最终只能将社区成员的信任消磨殆尽,成为没有灵魂的躯壳。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:62ms0-1:352ms