2021年5月,加密资产市场颇为动荡,BTC从5万美元上方最低跌至29000美元,几近腰斩,大多数加密资产最大跌幅超过50%。
二级市场巨震之下,链上生态也不太平。5月份,DeFi市场发生至少13起黑客攻击事件,多集中在币安智能链上,折损资金达到2.7亿美元,超过了2020年所有DeFi安全事件的资产损失。BSC官方认为,一个有组织的黑客团队盯上了BSC。
为何BSC链上项目集中失窃?黑客又如何做到快速捕捉项目漏洞?区块链安全公司PeckShield发现,很多被攻击的项目都存在同源漏洞。
比如,在BSC收益聚合器PancakeBunny被攻击后,Fork自PancakeBunny的AutoShark和MerlinLabs在接下来的一周内接连失窃;而被攻击的BurgerSwap和JulSwap,代码都是Fork自Uniswap,但它们似乎在进行改动时产生了漏洞。
PeckShield相关安全负责人告诉蜂巢财经,这些Fork出的协议被攻击主要是在没有完全理解原协议背后的逻辑下,进行微创新,导致一个小的更新或小的组合就可能产生漏洞。
彭博社:Sky Mavis首席执行官在披露5.4亿美元的黑客攻击之前转移了资金:金色财经报道,区块链游戏Axie Infinity的开发商Sky Mavis的联合创始人兼首席执行官Trung Nguyen,在该公司披露5.4亿美元的细节之前,转移了大约300万美元的加密代币。Nguyen转移这些资金是为了在攻击事件发生后挽回公司资金的努力的一部分,这些资金转移是在Axie公开黑客信息之前进行的。
Sky Mavis发言人Kalie Moore表示,一旦黑客行为为公众所知,这对于防止卖空者抢先销售代币是必要的。
Nguyen的资金流动是Axie相关钱包的大量加密转移的一部分,该钱包由名为Asobs的化名Axie用户跟踪。在黑客事件发生后,这些钱包都将资金从 Ronin 侧链转移到了 Binance 等中心化交易所。然而,根据彭博社的报道,只有Sky Mavis首席执行官确认的那个人已经得到了公司的确认。[2022/7/29 2:44:45]
屡次发生的安全事件再度给协议开发者提了个醒,在进行DeFi的模式创新时,不应忽视底层代码的安全性。
动态 | 黑客攻击数位YouTube博主频道并利用加密大V形象进行加密:上周,YouTube博主Adam Jicha曾发推求助称,自己拥有超过31万订阅户的YouTube频道被黑了,频道中的视频也被悉数删除,他的网名“Wellden”已从该频道删除,取而代之的是币安首席执行官赵长鹏的形象。被黑的账户上只有一条直播:“BINANCELIVE:采访币安首席执行官,免费赠送BTC”。视频的制作者承诺向用户空投5000枚比特币,诱导用户向一个地址发送加密货币,并承诺会返还更多回报。除此之外,还有数个YouTube博主的频道被黑,被黑客打着Ripple首席执行官Brad Garlinghouse的名义进行。(Decrypt)[2020/1/5]
屋漏偏逢连夜雨。在加密资产市场跌势不止时,链上协议的安全事故频发。
5月30日,BSC上的稳定币兑换协议BeltFinance遭遇闪电贷攻击,损失620万美元。根据区块链安全公司PeckShield的追踪,此次攻击源于攻击者在PancakaSwap完成8笔闪电贷后,通过重复买入卖出BUSD,利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。
声音 | V神详述DAO黑客攻击事件细节:担心负面事件损害以太坊形象:以太坊创始人V神近期谈及Genesis DAO的黑客攻击事件时表示,当DAO获得的初始投资超过5000万美元时,V神担心负面事件会损害以太坊的形象,他并未第一时间意识到出现了黑客攻击。2016年6月17日,V神偶然间在Skype上看到了一条消息,促使他看了DAO一眼,从而发现了不对劲的地方,“所以我询问了核心开发者,‘嘿,这正常吗?一开始我在想,另一种结果(指黑客攻击)是不可想象的。对此一定有一个合理的解释……开发人员查看了问题,在接下来的半个小时里,越来越多的人开始议论这件事,很明显,不可想象的事情真的发生了。”作为一种补救策略,他开始向区块链进行“垃圾交易(spamming)”来减缓攻击者的活动。但在将近400万ETH被提走后决定停止操作。被盗取的ETH没有立即送达攻击者的钱包,而是被困在一份为期35天的“子智能合同”中。经过数次讨论后,团队最终决定进行硬分叉来解决问题。V神总结道:“当生态系统中如此大的一部分处于危险之中时,这是值得重新思考的事情……所以社区中出现了分裂,一部分人没有下载这些代码补丁并实现硬分叉,并继续运行旧链(即ETC)。”(AMBCrypto)[2019/11/24]
被攻击后,BeltFinance就闪电贷攻击事件发推致歉并发表报告,其表示将进行进一步审计,并将在48小时内发布用户补偿计划。
动态 | EOS竞猜游戏SKR EOS凌晨遭黑客攻击:今日凌晨00:01-01:31之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏SKR EOS发起连续攻击,获利近六千个EOS。PeckShield安全人员初步研究发现,黑客利用游戏服务器解析参数问题,使得投注未中奖的EOS可被退回,进而实现百分百投注中奖。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/10/11]
受此影响,BeltFinance治理代币BELT大幅下跌,从28日的58美元高点跌至27美元,短期跌幅达到53.44%。?
这已是5月份第12个被攻击的BSC链上项目。蜂巢财经统计,自5月2日以来,SpartanProtocol、ValueDeFi、BearnFi、Venus、PancakeBunny等项目接连失窃,共计损失2.7亿美元资金,ValueDeFi更是两次遭攻击。
动态 | 竞猜游戏接连遭黑客攻击 EOS DApp生态安全刻不容缓:据PeckShield态势感知平台数据显示:今晨08:59至09:00,不到一分钟时间,黑客共计向eos.win游戏合约(eosluckydice)发起125次攻击,获利超9,180个EOS。PeckShield安全人员跟踪分析发现,黑客先是于昨晚22:46实施了小额测试攻击,在掌握攻击方法后,于今晨采用多个关联账号实施快速攻击,并迅速将非法所得资金转至火币交易所。
近一个月内,已经有超5款EOS竞猜类游戏遭到了攻击,攻击原因大多和随机数漏洞有关。PeckShield分析认为,多个攻击团队在背后积极发现和利用漏洞,类似攻击有可能会愈加频繁,且他们的攻击效率有逐渐提升的迹象。[2018/11/11]
BSC被攻击项目一览
2.7亿美元的资产损失已经超过了2020年所有DeFi安全事件的损失。根据此前PeckShield发布的数据,2020年DeFi安全事件达到60起,损失逾2.5亿美元。?
短短一个月时间,BSC链上连续不断遭到黑客光顾,显得颇为蹊跷。压力之下,BSC官方不久前在社交平台发文称,最近已经接连发生超过8起针对BSC链上项目的闪电贷攻击,「我们认为现在有一个有组织的黑客团队盯上了BSC。」
BSC官方呼吁所有DApp防范风险,建议链上项目与审计公司合作进行健康检查,如果是分叉项目,需反复检查相对原始版本进行的更改;采取必要的风险控制措施,实时主动监控异常情况,一旦出现异常及时暂停协议;制定应急计划,以防出现最坏的情况;如果条件允许可设定漏洞赏金计划。
的确,复盘12起安全事件,闪电贷攻击是黑客最常用的手段。SpartanProtocol、PancakeBunny、BoggedFinance、BurgerSwap、JulSwap等项目都是闪电贷攻击的受害者。
需要明确的是,闪电贷本身并非是一种攻击手段,它只是一种高效的借贷模式,能够放大任何人的本金。正如ChainlinkCMOAdelynZhou所言,「闪电贷不会在DeFi内部产生漏洞——它只是揭示了已经存在的漏洞。」
在DeFi经过了高速发展后,BSC上仍有如此多项目在短时间内暴露出漏洞,令链上用户感到心惊。不禁要问,为什么这些安全事件集中爆发在BSC链上?又为何黑客能够快速找到这么多项目的漏洞并实施攻击?
今年以来,BSC异军突起,作为以太坊的侧链,它凭借更高效的交易处理效率和低廉的手续费,吸引了大量的项目和链上玩家入驻,巅峰时期,其链上总锁仓价值超过344亿美元,是仅次于以太坊的第二大DeFi集结地。
BSC生态的快速崛起,抢占链上先发红利,大量项目扎堆部署。由于此前,以太坊上大多项目已经开源,不少开发者采用了Uniswap、Curve等成熟项目的开源代码,经过简单修改后便在BSC上快速上架。而这种匆忙地Fork成了BSC链上项目成批量被黑客攻击的隐患。
据PeckShield披露,近期被攻击的BurgerSwap和JulSwap,代码都是Fork自Uniswap。PeckShield指出,「但它们似乎并没有完全理解Uniswap背后的逻辑。」
根据事发后BurgerSwap的报告,攻击者自发「假币」,随后与协议的原生代币BURGER形成交易对,改变了后者的价格。很显然,分叉自Uniswap的BurgerSwap在某些方面不够成熟,被黑客钻了空子。
Fork协议的来源不仅是以太坊,BSC链上一些早期协议应用也被后来者Fork上链。AutoShark和MerlinLabs两个聚合器协议,皆因Fork了PancakeBunny被黑客洗劫。从时间线来看,5月20日,PancakeBunny遭到闪电贷攻击,此次攻击源于攻击者利用该协议操纵了LPTokenBNB-BUNNY和BNB-BUSDT的价格。
看到PancakeBunny被攻击后,AutoShark发文强调自己的安全性,表示其做了4次代码审计,其中2次正在进行中。但打脸接踵而至,仅仅4天后,AutoShark遭遇闪电贷攻击,其代币SHARK瞬间下跌99%。根据PeckShield的分析,此次攻击手法与PancakeBunny被攻击的手段相似。
被打脸的还有MerlinLabs,在被攻击前,它也曾发文表示已经反复执行代码的审核,为潜在的可能性采取了额外的预防措施。但5月26日,黑客就「乘胜追击」,洗劫了MerlinLabs。
PeckShield认为,这是攻击PancakeBunny后的模仿案,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在Fork出的协议上重复试验,就能捞上可观的一笔。「Fork的DeFi协议可能尚未成为Bunny挑战者,就因同源漏洞损失惨重,被嘲笑为『顽固的韭菜地』。」?
此外,在BeltFinance被攻击的案例中,黑客利用了bEllipsisBUSD策略余额计算中的漏洞,操纵了beltBUSD的价格,而Ellipsis则Fork自以太坊知名协议Curve。
PeckShield相关安全负责人告诉蜂巢财经,这些Fork的协议被攻击主要是在没有完全理解原协议背后的逻辑,进行微创新,导致一个小的更新或小的组合就可能产生漏洞。
该负责人表示,从已知的漏洞下手是攻击者对尚处发展阶段的DeFi领域常用的「觅食」方法。对于项目方来说,对DeFi协议安全的重视,不是嘴上说说而已,而是要做到「吾日三省代码」:协议上线前有没有做静态审计?其他协议遭到攻击后,有没有自查代码,检查是否出现类似漏洞?交互的协议有没有安全风险?
从上述案例来看,BSC链上一批项目集中失窃,主要是黑客找到了多个协议的同源漏洞,只需模仿攻击手段,就能「举一反三」,在短时间内完成对多个项目的剽窃。
屡次发生的安全事件也给协议开发者提了个醒,在进行DeFi的模式创新时,不应忽视底层代码的安全性。
对此,PeckShield建议,新合约上线前要进行审计,也需要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞。同时要设计?定的风控熔断机制,引?第三?安全公司的威胁感知情报和数据态势情报服务,完善防御系统。「所有DeFi协议都存在变数,即使?个协议进行了多次审计,?个小的更新也会使审计变得无用,因此即使?个小的更新都要重新进行审计。」
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。