CER:CertiK安全分析:8月数字货币相关攻击事件分析总结

「币圈一天,人间一年」,「DeFi一天,币圈一年」。近期的链圈币圈,热度已几乎都被DeFi掠夺。伴随着项目的层出不穷,大量用户的涌入,DeFi协议总锁仓量已高达103.8亿美元。极高的投资收益吸引了大量币民加入,而8月,更是流动性挖矿项目如火如荼的一个月。从实验性流动性挖矿项目Yam到目前仍旧具有极高话题度的SushiSwap,整个区块链社区都在持续讨论着其中的巨额利润以及隐藏其下的安全隐患。在这一个月中,大量新的挖矿项目出现,其中绝大多数项目都直接复制其他类似项目的代码,在未进行安全审计的情况下匆忙上线。因此导致了发现的智能合约安全漏洞数量众多而且性质类似。如今,确定一个项目是否可以投资的首要条件应该是检查项目及其合约是否由著名安全团队进行过专业审计并取得较高安全评价。据CertiK安全技术团队统计,8月份发生与区块链相关的安全事件盘点如下:8月11日,基于以太坊的代币项目NUGS出现安全问题,其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。8月12日,流动性挖矿项目Yam爆出智能合约漏洞,该漏洞将预留巨大数目的代币,导致对项目进行治理所需要的代币数目随之增长,最终由于社区没有足够的代币,任何治理行为都无法进行。8月14日,流动性挖矿项目Based存在智能合约安全漏洞并遭到攻击者攻击,该项目中一号池智能合约中函数被错误设置为可以被外部任意调用,造成其被外部攻击者抢先初始化,导致一号池中任何质押行为都无法完成。8月28日,Sushiswap智能合约中被发现存在多个安全漏洞,该漏洞允许智能合约拥有者在无任何社区授权情况下,任意进行取款。同时,该合约还存在重入攻击漏洞,会导致潜在恶意代码被执行多次。8月31日,用户由于使用存在漏洞的旧版本electrum钱包应用,导致1400枚比特币被盗。8月31日和9月1日,Sushiswap仿盘Yuno和Kimchi两个项目智能合约均被发现存在安全漏洞,该漏洞允许智能合约拥有者无限增发项目对应代币,可能导致项目中代币产生巨大通胀。列表如下:

Balancer宣布新Boosted Aave矿池上线:金色财经报道,Balancer 刚刚发布了基于 Aave V3 市场的新 Boosted Pools。Aave V3 是对 Aave 协议最重要的升级,确保了数十亿美元的无许可智能合约。团队可以通过将 bb-a-USD 用作 Balancer 上的基础对来构建新的创新矿池和金融 dApp。通过使用 Aave 增强池构建,集成商继承了 Aave 协议中内置的高安全性标准。[2023/4/6 13:47:00]

事件详情

以下是8月安全典型事件的具体分析:1号事件是一个非常典型的,由于逻辑实现上失误而造成的漏洞。NUGS项目的商业实现模型是一个彩票抽奖的系统,彩票抽奖以轮为单位,在每一轮抽奖中,投资者可以向该轮奖池中存入资金。经过一段时间后,NUGS智能合约中的开奖函数可以被外部调用,从而确定本轮彩票抽奖的赢家。赢家获得奖池奖金,而来自外部调用开奖函数的调用者也会获得一小部分奖励。该轮抽奖结束,奖池中数额清零,因此每一轮抽奖开始时,奖池内的初始数额应当为“零”。然而NUGS智能合约中存在一个关于奖池奖金初始数额的逻辑实现漏洞:当一轮抽奖结束后,奖池中数额未被清零,导致了下一轮抽奖开启后,奖池中的初始数额为上一轮的总奖金。因此奖池中的奖金会越来越多,最终导致通胀、币值飞快贬值。2号事件发生在Yam流动性挖矿项目上,也是一个由于逻辑实现上的失误导致的安全漏洞。在Yam智能合约中存在一个rebase函数,其目的是在确保代币的价格稳定,而由于在代码层面的疏忽,对每一次rebase执行时,代币总共供给量totalSupply的数值被错误的进行计算,导致totalSupply的数目只能持续增加,因此最终同样导致了通胀发生。以上两个事件中的漏洞都是属于逻辑实现层面出现的漏洞。逻辑实现上的漏洞虽然非常直观,但依靠任何现有的自动检测工具均无法检查,需要依靠专业的安全审计和/或严谨的数学证明才能够避免该类漏洞。3号事件发生于流动性挖矿项目Based。其智能合约在进行部署时,Based官方仅通过调用智能合约中的renounceOwnership函数声明了所有者,而并没有对智能合约初始化。而一名外部攻击者在Based官方之前,抢先调用initialize函数对智能合约进行了初始化。这使得智能合约的所有者和初始化的操作者不一致,最终任何质押行为都无法完成。该安全漏洞是由“智能合约自身调用安全风险”和“部署智能合约风险”两者同时影响产生的。对该种智能合约的部署应该确保发送部署智能合约的交易和对智能合约的初始化等操作交易的原子性,即该两者交易应该相互关联,确保没有第三方利用时间差进行恶意攻击操作。4号和6号事件相同:存在多个智能合约漏洞,其上线前均未进行安全审计,对于项目拥有者过大权利的问题,均缺乏相应社区监管机制。这两个事件的主角项目分别是SushiSwap以及其仿盘Yuno和Kimchi。SushiSwap项目智能合约中,智能合约拥有者有权利在无监管的情况下,使用setMigrator函数任意修改migrator的值,然后通过调用migrator.migrate来调用任意智能合约外部代码。该外部代码对于智能合约本身是未知的,因此智能合约拥有者可以通过该操作执行恶意代码。Yuno和Kimchi项目中也存在着类似的漏洞:智能合约拥有者有权利通过mint函数来进行无限制数量的铸币操作。最初,该类漏洞的解决方法是将任何来自智能合约拥有者的操作使用timelock智能合约加入延迟锁,SushiSwap、Yuno和Kimchi都通过该种方法为自身加入了48小时的操作延迟。其初衷是给予投资者48小时的窗口,对任何来自智能合约拥有者的疑似恶意交易,都有足够的时间进行撤资等操作。虽然SushiSwap项目中的ChefNomi成功转走的大笔代币后来返还了,但最终SushiSwap项目还是采用了多签名钱包来确保项目的去中心化。可以说,延迟锁并没有办法根本解决智能合约本身的漏洞。5号事件是由于受害者使用了旧版本的Electrum钱包,攻击者利用存在于旧版本中的软件漏洞进行钓鱼攻击。此软件漏洞会对Electrum节点服务器返回的交易错误信息进行HTML渲染。攻击者可以搭建一个恶意的节点,当该节点接收到来自用户发起的交易请求时,让用户钱包弹出一个包含钓鱼信息的窗口,让用户去下载一个所谓的“钱包更新”。而这个”新版钱包“实际上是一个包含恶意代码的假的钱包。一旦用户将自己钱包导入,该假钱包会将其中所有代币转移至攻击者的钱包中。安全建议

Balancer警告有630万美元的资金面临风险,督促部分池的 LP 尽快提取流动性:金色财经报道,Balancer已警告其流动性提供商从五个资金池中撤出资金,其中有630万美元面临风险。部分 Balancer 池的协议费用已设置为 0,以避免即将公开披露的一个问题,该问题已得到缓解。该举措是由紧急多重签名完成的。这些池继续正常运行,因此这些池的流动性提供者不需要采取任何行动,他们将继续收取掉期费用,但协议不会进行扣除。

随后,Balancer 又督促部分池的 LP 尽快提取流动性,因为紧急 DAO 无法缓解该相关问题。这五个池分别位于以太坊、Polygon、Optimism和Fantom。最大的资金池是DOLA / bb-a-USD,目前管理着360万美元的资金。[2023/1/6 10:58:44]

综上所述,8月安全事件频发,CertiK安全团队提出以下建议:对于区块链项目的安全风险不仅需要从代码漏洞层面观察,同时也应该仔细了解项目的逻辑实现与其逻辑设计是否一致。区块链项目需要为其整个部署流程规划详细的设计与实施流程,确保部署操作的原子性。面对区块链项目智能合约拥有者权利过大的问题,不应仅仅依靠外部强制机制来限制,更是应该从智能合约代码实现以及社区治理等多角度综合,从而确保项目不会被任意一方滥用。DeFi热度持续上升,区块链作为时代颠覆性的核心技术,也已在各个领域得到了广泛的应用,隐藏在收益和利好之下的安全隐患也不应被忽视。CertiK致力于构建区块链健康安全生态,利用业内领先的技术解决区块链与智能合约的安全痛点。

Balancer收到白帽黑客披露的Synthetix生态代币等相关漏洞报告,目前用户资金安全:5月14日消息,Balancer Labs发推表示,今日某白帽黑客通过Web3漏洞赏金平台Immunefi披露Balancer相关漏洞,Balancer官方收到一个潜在可利用场景的通知,没有用户资金处于危险之中。

其中漏洞场景涉及double entry-point ERC20代币,包括但不限于Synthetix生态代币(SNX 和 sBTC 等)以及Balancer闪电贷。Synthetix团队正考虑在下周升级合约,以成功移除double entry-point,并允许代币返回金库,而无需 LP 的任何干预。此中等严重性错误报告将导致资金因从 V2 Vault 转出而被暂时冻结,没有看到这种漏洞导致实际盗窃的途径。[2022/5/14 3:16:03]

CertiK宣布融资6000万美元,投资方包括SoftBank Vision Fund II与Tiger Global:金色财经消息,Web3和区块链安全公司CertiK宣布融资6000万美元,投资方包括软银愿景基金2(SoftBank Vision Fund II)和Tiger Global,标志着软银首次涉足Web3安全领域。这也意味着该公司在9个月的时间里总共融资2.9亿美元,进一步巩固了其独角兽地位。

此次融资正值区块链社区围绕Web3应用程序开发引领增长,并为虚拟生态系统创建新的用例,特别是在游戏、NFT和DeFi方面之际。CertiK的营销副总裁Monier Jalal表示:“随着Web3开发和随之而来的黑客攻击趋势的增加,这种巨大的影响推动了对Web3安全的需求。”

4月7日消息,CertiK宣布近日完成8800万美元B3轮融资,估值达到20亿美元,此次融资由Insight Partners、Tiger Global和Advent International领投,高盛、 Sequoia Capital和Lightspeed Venture Partners等参投。(Cointelegraph)[2022/4/22 14:42:04]

Balancer Labs将向在Balancer V2中发现漏洞的白帽黑客提供赏金:金色财经报道,Balancer Labs将向任何在其去中心化金融协议Balancer V2版本中发现漏洞的人提供最高达1000 ETH(约200万美元)的赏金。根据该公司的网站,漏洞的级别设置为“严重”到“低”,高严重性报告将获得1000 ETH的赏金,低严重性将获得5 ETH。[2021/4/21 20:42:01]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

KuCoinSODA:CertiK:Soda项目智能合约安全漏洞分析

判断一个人到底属于什么资产阶级,只需要看他的负债率。简而言之,借的钱越多,代表你越有钱。所以借钱从某种角度上来讲,是属于富人的游戏。通过借贷手段合理分配资产从而达到收益也是理财的精髓.

[0:15ms0-0:978ms