欢迎来到成都链安策划的『区块链10大攻击方式』系列文章。上周分享了区块链十大攻击方式系列——51%攻击,大家看的还过瘾吗?
闲话少说,今天,我们开启系列文章第二篇——DeFi黑客攻击,继续为大家讲解区块链安全生态领域的那些攻击套路、漏洞。
01?-?什么是DeFi?黑客为何偏爱攻击DeFi项目?
区块链技术的诞生,为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破。其中「去中心化金融」便是这两年最为火热的应用之一。
广州市出台数字经济创新发展文件 多项措施与区块链相关:近日,广州出台首份数字经济创新发展纲领性文件——《广州市加快打造数字经济创新引领型城市的若干措施》(以下简称《措施》)。《措施》提出了多项与区块链相关的措施,主要包括:
1.以“区块链+政务服务”打造高效便捷、稳定透明的营商环境,推进“减流程、减材料、减时间、减成本”,实现“零见面、零上门”,推动政务服务革命性流程再造。支持黄埔区打造政务服务区块链应用示范区,形成可复制经验在全国推广。
2.探索建立以区块链技术为核心的新型政务信息资源共享平台,制定政务信息资源目录和政务信息共享目录,逐步构建数据采集、汇聚、处理、共享、开放、应用及授权运营规则,实现信用、交通、医疗等领域政府数据集分级分领域脱敏开放。
3.大力推进利用区块链技术实现电子病历和电子处方的共享共用及医药产品溯源。
4.黄埔区(鱼珠片区)加快建设以区块链为特色的中国软件名城示范区,支持企业加快对区块链底层核心技术的自主研发。
5.加强区块链技术应用,支持安全运维、安全咨询、安全认证等安全服务商协同推进设备安全、控制安全、网络安全、平台安全、数据安全能力建设。
6.加速文化旅游、交通出行、商业零售、医疗卫生等场景与区块链等数字技术融合应用。(广州市人民政府官网)[2020/4/10]
DeFi是去中心化金融DecentralizedFinance的缩写,它指的是基于区块链的金融服务体系。
声音 | 山东工信厅副厅长:加强区块链等信息技术在工业领域的应用:山东省人民政府16日召开新闻发布会,专题解读该省近日印发的《关于加快推动软件产业高质量发展的实施意见》。山东省工业和信息化厅副厅长高方表示,根据《实施意见》,山东省将立足省内工业基础优势,推动软件企业和工业企业深度合作、融合互动,加强大数据、人工智能、5G、区块链等信息技术在工业领域的应用。(中国新闻网)[2020/1/16]
和现在的金融体系不同,用户的资金不会存放在第三方的金融机构中,而是通过各种智能合约去实现协议和信任,如此可以最大程度地减少风险。它是一个完整的开源生态系统,提供贷款、交易、资产管理和支付等金融服务。
声音 | 毕马威中国金融服务业合伙人:未来金融科技的发展方向包括区块链:金色财经报道,对于未来金融科技的发展方向,毕马威中国金融服务业合伙人陈思杰认为,从技术看,可能有四个创新方向。其一是区块链,其最重要的问题是商业场景运用。[2020/1/8]
DeFi攻击事件频发,最主要的原因还是其累计了巨额的资产。面对巨大的诱惑,黑客必然会想方设法去攻击。比如跨链项目不仅仅是链上智能合约,还有链下的代码,无论哪一部分出现了问题,都会被黑客所利用。
02?-?DeFi涉及到的安全问题都有哪些?
2022年第一季度,区块链领域共发生典型安全事件超过30起。总损失金额超12亿美元,与去年同期相比增长了823%。
动态 | 悉尼大学与韩国区块链创业公司建立了研究合作关系:据Tokenpost消息,韩国区块链创业公司Fantom已宣布与悉尼大学(USYD)建立研究合作伙伴关系。Fantom将资助大学奖学金和一个专门的区块链研究小组,通过开源研究和软件工艺为社区和Fantom构建新的编程工具链。[2018/11/28]
数据显示,DeFi项目仍为黑客攻击的重点领域,其中主要涉及到的安全问题包括:闪电贷攻击、私钥泄露、智能合约重入攻击、Rugpull等等。
闪电贷攻击
闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得攻击者可以在借款和还款间加入其它链上操作,以极低的成本撬动巨额资金,结合其他漏洞进行套利、价格操纵等攻击。
比如2022年4月17日,算法稳定币项目BeanstalkFarms遭黑客攻击,黑客获利近8000万美元,黑客通过闪电贷换取了350,000,000个DAI,500,000,000个USDC,150,000,000个USDT,32,100,950个BEAN和11,643,065个LUSD作为资金储备,再利用恶意提案,导致本次攻击的发生。
百度风投CEO刘维:在区块链的发展过程中,我们错过很多:近日,2018Demo China创新中国春季峰会在北京举行。会上,百度风投CEO刘维表示,我们在区块链的快速发展过程中错过很多,原因可能是当时对AI的过分关注,只把区块链当成数据底层架构当中的局部技术。无论从业务形态、人的区别,还是从投资交易心态上带来的变化,都没有给予足够的容忍。[2018/5/10]
详细分析可点击此处阅读:黑客获利近8000万美元,恶意提案如何防范?BeanstalkFarms被攻击事件分析
私钥泄露:
项目方由于遭受社会工程学或传统网络安全攻击,导致私钥泄露,从而项目方地址权限被盗取,从而攻击者可进行转账、提取等任意操作。
比如在2022年2月10日,DeFi应用DegoFinance遭到黑客攻击,成都链安安术团队进行分析时发现本次攻击由于项目方私钥泄露,黑客利用私钥提取了多个链上的资产。
详细分析可点击此处阅读:被盗约1700万美元,DeFi世界的乐高DegoFinance就这样“塌了”吗?
智能合约重入攻击:
在存在外部合约调用的项目中,如果外部合约调用发生在账本更新之前,且外部合约调用可以被用户控制,那么该项目可能存在重入风险。在项目未做重入防范的情况下,恶意的攻击者可以通过重入攻击威胁项目资金安全。
比如在2022年3月31日,OlaFinance遭遇智能合约重入攻击,损失约为467万美元。
详细分析可点击此处阅读:约467万美元的损失!OlaFinance被攻击事件简析
Rugpull:
“RugPull”是指项目方撤出支持、DEX流动性池或突然放弃一个项目,毫无征兆地就卷走投资者的资金。这是一个DeFi领域典型的退出局。
从黑客的角度来看,对区块链生态系统的攻击是一种理想的手段。因为这些系统是匿名的,而且行业暂时缺乏技术监管,这使得网络犯罪分子可以通过攻击安全性较低的DeFi项目或实施RugPull来获取金钱收益。
03?-?如何避免被黑客攻击?
经成都链安安全团队梳理和总结,2022年第一季度的安全事件中,尽管70%的被攻击项目经过了第三方安全公司的审计,但是30%未审计的项目,其被攻击之后的损失金额也达到了7.2亿美元,占第一季度总损失金额的60%。
可见?DeFi?项目上线之前的审计依旧重要。在我们研究之后,发现在未审计的项目中,50%的攻击手法都为合约漏洞利用。因此,尽早审计和及时修复代码漏洞,可以避免上线后项目被攻击造成的严重损失。
DeFi为许多机会打开了大门,特别是对于那些热衷于推动加密市场向前发展同时保持资金流动的去中心化模块的投资者和开发商。由于DeFi热潮的兴起,该领域也自然成为了黑客“大展拳脚”的重点对象。
安全性仍然是DeFi生态系统面临的重大挑战,因此DeFi项目方应做好前置预防工作,引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案,完善安全防护机制。作为用户,在选择项目时,应留意该项目是否经过安全审计,切不可掉以轻心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。