「币圈一天,人间一年」,「DeFi一天,币圈一年」。近期的链圈币圈,热度已几乎都被DeFi掠夺。伴随着项目的层出不穷,大量用户的涌入,DeFi协议总锁仓量已高达103.8亿美元。极高的投资收益吸引了大量币民加入,而8月,更是流动性挖矿项目如火如荼的一个月。从实验性流动性挖矿项目Yam到目前仍旧具有极高话题度的SushiSwap,整个区块链社区都在持续讨论着其中的巨额利润以及隐藏其下的安全隐患。在这一个月中,大量新的挖矿项目出现,其中绝大多数项目都直接复制其他类似项目的代码,在未进行安全审计的情况下匆忙上线。因此导致了发现的智能合约安全漏洞数量众多而且性质类似。如今,确定一个项目是否可以投资的首要条件应该是检查项目及其合约是否由著名安全团队进行过专业审计并取得较高安全评价。据CertiK安全技术团队统计,8月份发生与区块链相关的安全事件盘点如下:8月11日,基于以太坊的代币项目NUGS出现安全问题,其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。8月12日,流动性挖矿项目Yam爆出智能合约漏洞,该漏洞将预留巨大数目的代币,导致对项目进行治理所需要的代币数目随之增长,最终由于社区没有足够的代币,任何治理行为都无法进行。8月14日,流动性挖矿项目Based存在智能合约安全漏洞并遭到攻击者攻击,该项目中一号池智能合约中函数被错误设置为可以被外部任意调用,造成其被外部攻击者抢先初始化,导致一号池中任何质押行为都无法完成。8月28日,Sushiswap智能合约中被发现存在多个安全漏洞,该漏洞允许智能合约拥有者在无任何社区授权情况下,任意进行取款。同时,该合约还存在重入攻击漏洞,会导致潜在恶意代码被执行多次。8月31日,用户由于使用存在漏洞的旧版本electrum钱包应用,导致1400枚比特币被盗。8月31日和9月1日,Sushiswap仿盘Yuno和Kimchi两个项目智能合约均被发现存在安全漏洞,该漏洞允许智能合约拥有者无限增发项目对应代币,可能导致项目中代币产生巨大通胀。列表如下:
CertiK:自上周五以来记录了22起事件,造成约740万美元的损失:金色财经报道,据CertiK官方推特发布消息称,自上周五以来,CertiK记录了22起事件,造成约740万美元的损失。到目前为止,共发生17起Discord黑客攻击事件、3 起网络钓鱼攻击事件和4起Twitter黑客攻击事件。[2023/8/12 16:21:31]
事件详情
以下是8月安全典型事件的具体分析:1号事件是一个非常典型的,由于逻辑实现上失误而造成的漏洞。NUGS项目的商业实现模型是一个彩票抽奖的系统,彩票抽奖以轮为单位,在每一轮抽奖中,投资者可以向该轮奖池中存入资金。经过一段时间后,NUGS智能合约中的开奖函数可以被外部调用,从而确定本轮彩票抽奖的赢家。赢家获得奖池奖金,而来自外部调用开奖函数的调用者也会获得一小部分奖励。该轮抽奖结束,奖池中数额清零,因此每一轮抽奖开始时,奖池内的初始数额应当为“零”。然而NUGS智能合约中存在一个关于奖池奖金初始数额的逻辑实现漏洞:当一轮抽奖结束后,奖池中数额未被清零,导致了下一轮抽奖开启后,奖池中的初始数额为上一轮的总奖金。因此奖池中的奖金会越来越多,最终导致通胀、币值飞快贬值。2号事件发生在Yam流动性挖矿项目上,也是一个由于逻辑实现上的失误导致的安全漏洞。在Yam智能合约中存在一个rebase函数,其目的是在确保代币的价格稳定,而由于在代码层面的疏忽,对每一次rebase执行时,代币总共供给量totalSupply的数值被错误的进行计算,导致totalSupply的数目只能持续增加,因此最终同样导致了通胀发生。以上两个事件中的漏洞都是属于逻辑实现层面出现的漏洞。逻辑实现上的漏洞虽然非常直观,但依靠任何现有的自动检测工具均无法检查,需要依靠专业的安全审计和/或严谨的数学证明才能够避免该类漏洞。3号事件发生于流动性挖矿项目Based。其智能合约在进行部署时,Based官方仅通过调用智能合约中的renounceOwnership函数声明了所有者,而并没有对智能合约初始化。而一名外部攻击者在Based官方之前,抢先调用initialize函数对智能合约进行了初始化。这使得智能合约的所有者和初始化的操作者不一致,最终任何质押行为都无法完成。该安全漏洞是由“智能合约自身调用安全风险”和“部署智能合约风险”两者同时影响产生的。对该种智能合约的部署应该确保发送部署智能合约的交易和对智能合约的初始化等操作交易的原子性,即该两者交易应该相互关联,确保没有第三方利用时间差进行恶意攻击操作。4号和6号事件相同:存在多个智能合约漏洞,其上线前均未进行安全审计,对于项目拥有者过大权利的问题,均缺乏相应社区监管机制。这两个事件的主角项目分别是SushiSwap以及其仿盘Yuno和Kimchi。SushiSwap项目智能合约中,智能合约拥有者有权利在无监管的情况下,使用setMigrator函数任意修改migrator的值,然后通过调用migrator.migrate来调用任意智能合约外部代码。该外部代码对于智能合约本身是未知的,因此智能合约拥有者可以通过该操作执行恶意代码。Yuno和Kimchi项目中也存在着类似的漏洞:智能合约拥有者有权利通过mint函数来进行无限制数量的铸币操作。最初,该类漏洞的解决方法是将任何来自智能合约拥有者的操作使用timelock智能合约加入延迟锁,SushiSwap、Yuno和Kimchi都通过该种方法为自身加入了48小时的操作延迟。其初衷是给予投资者48小时的窗口,对任何来自智能合约拥有者的疑似恶意交易,都有足够的时间进行撤资等操作。虽然SushiSwap项目中的ChefNomi成功转走的大笔代币后来返还了,但最终SushiSwap项目还是采用了多签名钱包来确保项目的去中心化。可以说,延迟锁并没有办法根本解决智能合约本身的漏洞。5号事件是由于受害者使用了旧版本的Electrum钱包,攻击者利用存在于旧版本中的软件漏洞进行钓鱼攻击。此软件漏洞会对Electrum节点服务器返回的交易错误信息进行HTML渲染。攻击者可以搭建一个恶意的节点,当该节点接收到来自用户发起的交易请求时,让用户钱包弹出一个包含钓鱼信息的窗口,让用户去下载一个所谓的“钱包更新”。而这个”新版钱包“实际上是一个包含恶意代码的假的钱包。一旦用户将自己钱包导入,该假钱包会将其中所有代币转移至攻击者的钱包中。安全建议
Balancer决定裁员、削减运营预算并改革品牌战略:金色财经报道,在周四的社区电话会议上,DeFi流动性协议Balancer的服务提供商Orb Collective透露,他们正在削减运营预算并裁员,以全面改革Balancer的品牌战略。会议透露,管理Balancer协议前端的OpCo已经解雇了两名工程师,并减少了运营预算。该协议将重点转向改善其用户界面和营销,并将组建一个专门的营销团队,讨论Balancer如何与平台用户合作的机制。[2023/4/14 14:03:46]
综上所述,8月安全事件频发,CertiK安全团队提出以下建议:对于区块链项目的安全风险不仅需要从代码漏洞层面观察,同时也应该仔细了解项目的逻辑实现与其逻辑设计是否一致。区块链项目需要为其整个部署流程规划详细的设计与实施流程,确保部署操作的原子性。面对区块链项目智能合约拥有者权利过大的问题,不应仅仅依靠外部强制机制来限制,更是应该从智能合约代码实现以及社区治理等多角度综合,从而确保项目不会被任意一方滥用。DeFi热度持续上升,区块链作为时代颠覆性的核心技术,也已在各个领域得到了广泛的应用,隐藏在收益和利好之下的安全隐患也不应被忽视。CertiK致力于构建区块链健康安全生态,利用业内领先的技术解决区块链与智能合约的安全痛点。
CertiK:12月闪电贷攻击总额达760万美元:金色财经报道,据CertiKAlert数据显示,12月闪电贷攻击总额达760万美元,较11月的攻击总额520万美元有所增长。
其中,DeFi协议Lodestar Finance损失总额约650万美元。[2023/1/1 22:19:42]
Balancer V2将于下周正式上线:4月24日消息,AMM协议Balancer今日在推特上称,Balancer V2计划在下周到来,现在BAL持有人将投票决定是否授予Balancer Labs紧急暂停权限;授予Gauntlet Network设置swap费用的权限。[2021/4/24 20:53:46]
CertiK:Balancer遭黑客攻击损失约90万人民币,其他DeFi合约需警惕:6月29日北京时间凌晨2点03分,CertiK天网系统检查到在区块10355807处Balancer DeFi合约异常。此次攻击约获利90万人民币。
安全研究员迅速介入调查,攻击重现如下:
阶段0:攻击者从dYdX闪电贷处借款,获得初始WETH资金。
阶段1:攻击者使用WETH将Balancer中的STA尽可能买空,最大程度提高STA价格。
阶段2:攻击者用获得的STA多次买回WETH。每一次都用最小量的STA(数值为1e-18)进行购买,并利用Balancer内部漏洞函数gulp(),锁定STA的数目,控制STA对WETH的价格。重复多次该种买回操作,直到将Balancer中的WETH取空。
阶段3:换一种代币,用STA重复阶段2直到取空该种代币。阶段三重复了三次,一共有4种代币受到了损失WETH,WBTC, LINK和SNX。
阶段4:偿还dYdX闪电贷,离场。
CertiK判断攻击者是有经验的黑客团队在充分准备后的一次攻击尝试,有很大可能还会继续攻击其他DeFi合约。[2020/6/30]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。