前言
从Defi安全角度来看9月安全事件相较于较8月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。
知道创宇区块链安全实验室?总结了9月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。
9月安全事件盘点
以下是9月发生的各领域的安全事件:
9月4日
NFT赛马项目DeRac针对DAO公共买家在未来解锁领取代币的合约DAOMaker分发系统被攻击。
美联储:某些稳定币暴跌及加密货币近期表现表明加密市场结构的脆弱性:6月17日消息,美联储在其货币政策报告中指出,某些稳定币暴跌及加密市场近期表现,表明了加密市场结构的脆弱性。
此外,越来越多地使用稳定币来满足其他加密货币杠杆交易的保证金要求,可能会放大稳定币需求的波动性,并增加赎回风险。[2022/6/18 4:36:10]
其漏洞原理是:Vesting合约未进行init未初始化保护,从而让黑客初始化了init的关键参数,也变更了owner,导致黑客通过紧急提款函数提取了合约资金,损失约400万美元。
加密市场分析师Willy Woo:现在是购买比特币的绝佳时机:据The Daily Hodl消息,加密市场分析师Willy Woo认为,现在是购买比特币的“绝佳时机”。他在播客中提到,BTC的网络价值与交易比率(NVT比率)会根据网络上相对于价格的交易量来衡量比特币的效用价值,该指标显示出自3月份价格崩盘以来从未见过的买入信号。Willy Woo表示,当你看到许多投资者活动还没有反映在币价上时,这是一个看涨的指标。他指出,目前的投资者活动已经达到顶峰,这使得NVT比率下降,表明BTC的价值被低估了。[2020/10/24]
9月
徐坤:减半后加密市场在相对周期内比传统市场更有优势:OKEx首席战略官徐坤刚刚发微博称,很多人关心大环境的变化下减半效应是否存在,我也分享一下我的观点:从市场情绪而言,减半所带来的消息面上的刺激已经基本消化完,在减半时点前后大概率不会出现极端行情,我们可能仍会经历一个横盘的过程。减半之后产出与需求的平衡会趋向新的稳态,而全球流动性也将逐渐宽松,当所有曲线叠加碰到一个中轴线的时候,才会对这个市场形成大的刺激,这个时间点可能在减半完成之后半年左右到来。加密市场在相对周期内比传统市场会更有优势。我个人坚定看多下半年的行情。[2020/4/23]
NFT市场OpenSea出现漏洞导致30笔交易受到影响,至少42个NFT被销毁,损失约9.7万美元。
9月12日
Avalanche链上ZabuFinance由于其defi协议与代币协议之间不兼容被黑客利用,通过攻击获取45亿ZABU代币,损失约60万美元。
9月15日
去中心化交易所NowSwap遭到黑客攻击,由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效,攻击者返还部分闪电贷金额即被认为是完全归还,从而实现了攻击,损失金额超100万美元。
9月17日
9月17日,SushiSwap平台MISO上的DONA代币拍卖遭到攻击,黑客通过向MISO前端插入了恶意代码,将拍卖钱包地址改为了自己的钱包地址获利,损失超300万美元。
9月20日
跨链协议pNetwork因代码漏洞遭攻击,损失约1308万美元。
9月21日
借贷协议Vee.Finance,超3500万美元资产被盗,据官方调查,极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。
9月
OpenZeppelin的TimelockController合约修复了一个可重入漏洞,这是OpenZeppelin在其开源智能合约库中唯一存在的严重漏洞。
9月30日
去中心化借贷协议Compound出现漏洞错误地允许一些用户索取额外的COMP代币,该漏洞损失约28万枚COMP代币。
总结
各链上项目问题依然十分严峻,智能合约层面的漏洞导致的损失一般都十分巨大,相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞,希望各方在开发项目或者审计项目时多做考虑。
关于OpenZeppelin出现的漏洞则再一次提醒我们,没有绝对的权威,任何项目都需要多方验证保证其安全性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。