BTCV繁华资讯 > 货币新闻 > 8月份数字现金相关攻击分析与总结_btcv-繁华资讯

8月份数字现金相关攻击分析与总结_btcv-繁华资讯

作者:_btcv-繁华资讯来源:_btcv-繁华资讯 货币新闻 2020年09月20日

“货币圈一日,世界一年”,“DeFi一日,货币圈一年”。最近连锁币圈的人气几乎被DeFi掠夺一空。项目层出不穷,用户大量涌入,DeFi协议的总仓锁量达到103.8亿美元。极高的投资收益吸引了大量货币人的加入,8月份是流动性挖掘项目如

“货币圈一日,世界一年”,“DeFi一日,货币圈一年”。

最近连锁币圈的人气几乎被DeFi掠夺一空。

项目层出不穷,用户大量涌入,DeFi协议的总仓锁量达到103.8亿美元。

极高的投资收益吸引了大量的人加入,8月是流动性挖掘项目如火如荼的月份。

从移动采矿试验项目任,到目前仍是热门话题的SushiSwap,整个区块链社区都在讨论巨额利润和隐藏的安全风险。

这个月出现了大量新的矿业项目,大部分都是直接抄袭其他类似项目的代码,没有经过安全审核就匆匆上线。因此,在智能合同中发现了许多本质上相似的安全漏洞。现在,确定一个项目是否可以投资的首要条件应该是检查该项目及其合同是否经过著名安全团队的专业审计,并获得高度的安全评价。

根据CertiK安全技术小组的统计,8月份发生的与区块链有关的安全事件如下:

8月11日,基于以太网的令牌项目NUGS出现了安全问题,其智能合同存在安全漏洞,导致其令牌系统出现巨大膨胀。由于智能合同的安全漏洞无法修复,NUGS项目正式宣布将放弃该项目,存放在其中的令牌无法取出。

8月12日,移动矿业项目Yam爆出智能合同漏洞,将预留巨额代币,导致项目治理所需代币数量增加。最终,由于社区没有足够的代币,无法进行任何治理行为。

8月14日,流动性挖掘项目Based智能合同出现安全漏洞,遭到攻击者攻击。本项目1号池智能合同中的功能被错误设置为外部任意调用,导致首先被外部攻击者初始化,导致1号池中的任何质押行为都无法完成。

8月28日,在Sushiswap智能合同中发现了很多安全漏洞,允许智能合同所有者在没有任何社区授权的情况下随意取钱。同时,该契约中存在一个重入攻击漏洞,会导致潜在的恶意代码被多次执行。

8月31日,因用户使用旧版有漏洞的驻极体钱包,1400枚比特币被盗。

8月31日和9月1日,Sushiswap的Yuno和泡菜智能合同被发现存在安全漏洞,允许智能合同拥有者发放与项目对应的无限代币,可能导致项目中代币的巨大膨胀。

列表如下:

8月数字货币相关攻击事件分析总结

事件详细信息

以下是对8月份典型安全事件的具体分析:

1号事件是典型的逻辑实现错误导致的漏洞。NUGS项目的商业实现模式是抽奖系统。抽奖以轮为单位。在每一轮抽奖中,投资者可以将资金存入奖金池。

一段时间后,可以从外部调用NUGS智能合同中的抽奖功能来确定本次抽奖的获胜者。获胜者获得奖金池奖金,而从外部调用彩票功能的呼叫者获得少量奖金。在这一轮抽奖结束时,奖池中的金额被清除,因此在每一轮抽奖开始时,奖池中的初始金额应该是“零”。

然而,NUGS智能合同中奖金池初始金额的逻辑实现存在一个漏洞:一轮抽奖后,奖金池中的金额没有被清空,导致下一轮抽奖开始后,奖金池中的初始金额为上一轮的总奖金。Th

二号事件发生在Yam流动性挖掘项目,也是逻辑执行失误导致的安全漏洞。

Yam智能合约中有一个rebase函数,其目的是保证代币的价格稳定。但是,由于代码级别的疏忽,每次执行rebase时,totalSupply令牌的totalSupply计算不正确,导致总供应的数量不断增加,最终导致通货膨胀。

以上两个事件中的漏洞属于逻辑实现层面的漏洞。虽然逻辑实现上的漏洞非常直观,但是任何现有的自动检测工具都无法检查到,只有专业的安全审计和/或严谨的数学证明才能避免。

第三个事件发生在移动采矿项目中。部署智能合同时,基础官员仅通过调用智能合同中的Renovate Overeign函数来声明所有者,但不初始化智能合同。一个外部攻击者调用了initialize函数,在正式的基础之前初始化智能契约。

这使得智能合同的所有者与初始化操作者不一致,最终任何质押行为都无法完成。

这种安全漏洞是由“调用智能合同本身的安全风险”和“部署智能合同的风险”同时影响造成的。这种智能契约的部署要保证发送部署智能契约和初始化智能契约的事务的原子性(原子操作可以是一个步骤,也可以是多个操作步骤,但其顺序不能被打乱或剪切,只能执行其中的一部分),即两个事务要相互关联,以保证没有第三方利用时间差进行恶意攻击操作。

4号和6号事件是一样的:智能合同漏洞很多,上线前没有进行安全审核。对于项目业主权利过大的问题,没有相应的社区监督机制。

这两个事件的主要事件是寿司交换(4号事件)及其模仿Yuno和泡菜(6号事件)。在SushiSwap项目智能合同中,智能合同所有者有权在没有监督的情况下任意修改migrator的值,然后通过调用Migrator调用智能合同的任何外部代码。智能合同本身不知道外部代码,因此智能合同所有者可以通过此操作执行恶意代码。

Yuno和泡菜项目也有类似的漏洞:聪明的合同主有权通过造币功能进行无限造币操作。

最初,解决此类漏洞的方法是使用timelock智能契约将智能契约所有者的任何操作添加到延迟锁中。SushiSwap、Yuno和泡菜都用这种方法为自己增加了48小时的操作延迟。本意是给投资者48小时的窗口,有足够的时间从聪明的合同所有人那里剥离任何疑似恶意交易。虽然主厨Nomi在sushishap项目中成功转账的大量代币后来被退回,但sushishap项目最终还是采用了多签名钱包,保证了项目的去中心化。可以说延迟锁并不能从根本上解决智能合同本身的漏洞。

事件5是受害者使用旧版Electrum钱包导致的,攻击者利用旧版中存在的软件漏洞进行钓鱼攻击。

此软件漏洞将Electrum节点服务器返回的事务错误信息呈现在HTML中。攻击者可以构建一个恶意节点,当节点收到用户发起的交易请求时,在用户的钱包中弹出一个包含钓鱼信息的窗口,用户可以下载所谓的“钱包更新”。

而这个“新钱包”其实是一个含有恶意代码的假钱包。一旦用户导入钱包,假钱包会将所有代币转移到攻击者的钱包中。

安全建议

综上所述,8月份安全事件频发,CertiK安全团队提出以下建议:

区块链项目的安全风险不仅要从代码漏洞层面观察,还要仔细了解项目的逻辑实现是否与其逻辑设计一致。

区块链项目需要为其整个部署过程规划详细的设计和实现过程,以确保部署操作的原子性。

面对区块链项目中智能合同业主权利过大的问题,我们不仅要依靠外部强制机制对其进行约束,还要从智能合同代码执行和社区治理的角度进行整合,以确保项目不会被任何一方滥用。

DeFi的人气持续上升。区块链作为时代的核心技术,已经广泛应用于各个领域,隐藏在效益和利益下的安全隐患不容忽视。

CertiK致力于建设一个健康安全的区块链生态系统,并使用行业领先的技术来解决区块链和智能合同的安全痛点。

标签: btcv币