前言
从Defi安全角度来看9月安全事件相较于较8月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。
知道创宇区块链安全实验室总结了9月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。
9月安全事件盘点
以下是9月发生的各领域的安全事件:
9月4日
NFT赛马项目DeRac针对DAO公共买家在未来解锁领取代币的合约DAOMaker分发系统被攻击。
路透社:尽管加密市场动荡,资产管理公司仍计划推出代币化基金:金色财经报道,最近几个月,加密货币的投资者经历了疯狂的波动,但这并没有吓倒那些准备利用区块链技术将基金代币化,出售给小型储户的资产管理公司。
私募市场投资管理公司Hamilton Lane和Partners Group在过去一年中已经将基金代币化,并表示他们正在考虑进一步的产品。据知情人士透露,英国资产管理公司Abrdn希望在今年推出一个代币化基金,而其竞争对手Schroders也在投资这一领域。在这类基金中,代币是通过证券发行的,投资者有权参与。支持者称,区块链让代币或基金得到安全管理,并能帮助小投资者购买像私募股权这样的非流动性资产,这些资产往往能提供更高的回报,但很难快速交易。(路透社)[2022/8/27 12:51:54]
其漏洞原理是:Vesting合约未进行init未初始化保护,从而让黑客初始化了init的关键参数,也变更了owner,导致黑客通过紧急提款函数提取了合约资金,损失约400万美元。
Metaco CEO:加密市场崩盘可能会带来新的机遇:金色财经报道,瑞士加密货币公司Metaco的首席执行官 Adrien Treccani表示,最近数字资产市场的调整可能会使该国的一部分初创企业倒闭。
市场崩盘将给该行业的企业带来灾难性后果,预计加密初创企业可能会在六个月内进入一个新阶段。然而,尽管预计会出现崩盘,但 Treccani 坚持认为,淘汰将有利于该行业,因为它将淘汰较弱的参与者。这位高管表示,当前的市场走势是泡沫破灭,可能会带来新的机遇。
尽管市场运动影响了加密业务的前景,但大多数初创企业在国内仍然具有弹性。值得注意的是,由于友好的法规,瑞士以拥有强大的区块链产业而闻名,这种情况正在吸引更多的参与者进入该国。 (finbold)[2022/7/14 2:13:19]
9月
声音 | ADA创始人:加密市场或需十余年才能重回2017价格高点:据Cointelegraph报道,Cardano(ADA)Charles Hoskinson近日表示,加密市场可能需要十多年的时间来重新站上2017年的价格高点,但加密行业将在那个时期会形成“截然不同的生态系统”。[2019/1/24]
NFT市场OpenSea出现漏洞导致30笔交易受到影响,至少42个NFT被销毁,损失约9.7万美元。
9月12日
Avalanche链上ZabuFinance由于其defi协议与代币协议之间不兼容被黑客利用,通过攻击获取45亿ZABU代币,损失约60万美元。
9月15日
去中心化交易所NowSwap遭到黑客攻击,由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超100万美元。
9月17日
9月17日,SushiSwap平台MISO上的DONA代币拍卖遭到攻击,黑客通过向MISO前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址获利,损失超300万美元。
9月20日
跨链协议pNetwork因代码漏洞遭攻击,损失约1308万美元。
9月21日
借贷协议Vee.Finance,超3500万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。
9月
OpenZeppelin的TimelockController合约修复了一个可重入漏洞,这是OpenZeppelin在其开源智能合约库中唯一存在的严重漏洞。
9月30日
去中心化借贷协议Compound出现漏洞错误地允许一些用户索取额外的COMP代币,该漏洞损失约28万枚COMP代币。
总结
各链上项目问题依然十分严峻,智能合约层面的漏洞导致的损失一般都十分巨大,相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞,希望各方在开发项目或者审计项目时多做考虑。
关于OpenZeppelin出现的漏洞则再一次提醒我们,没有绝对的权威,任何项目都需要多方验证保证其安全性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。