WEB:慢雾:区块链安全 永无止境的战争

10 月 29 日,Web3 大会在上海外滩茂悦隆重举行!本次大会持续两天,至 30 日结束。除了数十位来自全球学术界、互联网、开源社区、风险投资、数字艺术和媒体社区的嘉宾,大会还集结了数百名开发者、研究人员和创业者,齐聚上海外滩茂悦,分享新思潮,为大家带来一场数字资产行业的"饕鬄盛宴”。

这是一场真正的 Web3.0 盛会

这是 Web3 大会首次来到中国上海举办,旨在为去中心化项目团队搭建协作与交流的桥梁。Web3 大会围绕着一句号召组织而成:促进运转良好的、用户友好的 Web3.0 网络。这也是 Web3.0 的愿景 —— 创造新一代互联网,让每个用户掌握自己的数据、身份和命运。

慢雾:过去一周Web3生态因安全事件损失约2400万美元:6月19日消息,据慢雾发推称,过去一周Web3生态系统因安全事件损失约2400万美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT与LEV/USDC、Midas Capital,总计23,795,800美元。[2023/6/19 21:46:18]

Web3 大会由 Web3 基金会主办,Web3 基金会旨在促进加密和去中心化软件、协议、创新技术和应用,开发第三代互联网 Web3.0。核心是研究、开发、部署、资助和维护 Web3 技术。

本次大会嘉宾的邀请沿袭了“Web3 大会”价值观:欢迎所有协议项目、所有开发者、所有来自不同背景和持有各色观点的人参与其中。本次大会主题讲座主要围绕区块链技术与 Web3 相关倡导计划。

慢雾:Nomad事件中仍有超过9500万美元被盗资金留在3个地址中:8月2日消息,慢雾监测显示,Nomad攻击事件中仍有超过9500万美元的被盗资金留在3个地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120万枚DAI、103枚WBTC等约800万美元的加密资产,该地址也负责将1万枚WETH转移到另一地址以及将其他USDC转移;第二个地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28万枚ETH、1.02万枚WETH、80万DAI等约4700万美元的加密资产;第三个地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6万USDC后兑换为了DAI,目前有约3970万美元的加密资产。

目前慢雾经过梳理后,无法将地址3与其他两个地址连接起来,但这些攻击具有相同的模式。[2022/8/2 2:53:04]

余弦:区块链安全,永无止境的战争

慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

作为区块链安全技术领域的资深专家,中国计算机学会计算机安全专委会委员,知名黑客,网络空间搜索引擎 “ZoomEye(钟馗之眼)” 创建者,Joinsec 创始人、前知道创宇技术副总裁、404 团队 Leader,慢雾科技创始人余弦受邀于 10 月 30 日进行《区块链安全,永无止境的战争》的主题演讲,与现场的各位业界先锋共同围绕『区块链安全』这一话题,开展了一场深度的探讨。

慢雾:Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害:据慢雾区情报反馈,Moonbirds 发布安全公告,Nesting Contract 存在安全问题。当用户在 OpenSea 或者 LooksRare等NFT交易市场进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止NFT售卖,而是要在交易市场中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在nesting(筑巢)时不能交易的限制。慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢)的 NFT 是否还在 NTF 市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

慢雾:去中心化期权协议Acutus的ACOWriter合约存在外部调用风险:据慢雾区消息,2022年3月29日,Acutus的ACOWriter合约遭受攻击,其中_sellACOTokens函数中外部调用用到的_exchange和exchangeData参数均为外部可控,攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗风险。[2022/3/29 14:25:07]

余弦指出,DeFi 安全不仅仅是指智能合约安全,还包括区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合规安全。他还表示,在区块链的世界里,作恶成本低到令人发指。目前已披露的被盗数字资产价值已超 135.67 亿美元,未披露的数量可能比已披露的多一倍。

具体可参考慢雾 Hacked 档案库:https://hacked.slowmist.io/

值得一提的是,余弦认为 “代码即法律” 是一句不切实际且不负责任的话。他认为区块链安全远不止发生在区块链上,矿池、交易所、钱包等都存在被攻击的风险。他最后强调,信息边界在哪,战争就在哪。

以下为余弦关于《区块链安全,永无止境的战争》演讲内容:

参考来源:

https://forum.web3.foundation/

https://mp.weixin.qq.com/s/wMHpocjXaV1DPME329nwyw

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:46ms