火星链 火星链
Ctrl+D收藏火星链
首页 > KuCoin > 正文

DEFI:首发 | 解读DeFi典型漏洞及其安全风险

作者:

时间:1900/1/1 0:00:00

本文由Certik原创,授权金色财经首发。

自DeFi兴起以来,在短短9个月时间内迅速风靡全球。

BSC凭借低廉的gas和高速壮大的生态应用建立起了日渐完整的生态系统,成功成为了领先的公链平台之一。

数据来源:https://bscscan.com/

如今每天,都有数百个项目在BSC上进行数千万的交易。

图片来自https://twitter.com/BinanceChain/status/1395060714390315008

但是链上交易的热度将另外一个隐患带到了我们面前——安全隐患。

目前可被黑客所利用的不同级别漏洞越来越多。

CertiK安全专家将这些漏洞分为四大类?,下文将为各位读者带来DeFi相关安全风险讲解。

在智能合约中,某些功能受到函数修改器(modifier)的保护——只有特定的操作者才能调用特定的功能。

在大多数情况下,这些功能是用于修改合约配置或管理智能合约中持有的资金。因此如果攻击者破坏了管理密钥,他们可以完全控制智能合约,调用该功能从而窃取用户资产。

首发 | imKey正式支持Filecoin,成为首批Filecoin硬件钱包:12月1日,随着imToken2.7.2版本上线,imKey同步支持Filecoin,成为业内首批正式支持FIL的硬件钱包。Filecoin作为imKey多链支持的优先级项目之一,成为继BTC、ETH、EOS和COSMOS四条公链后的第五条公链。

据悉,imKey团队已在Q4全面启动多链支持计划,计划实现imToken已经支持的所有公链项目,本次imKey升级更新,无需更换硬件,不涉及固件升级,通过应用(Applet)自动升级,即可实现imKey对Filecoin的支持及FIL的代币管理。[2020/12/2 22:52:32]

密钥泄露的原因

第一种可能性是计算机木马程序。?

攻击者可以使用木马程序来窃取存储在计算机上的私钥,或者进行网络钓鱼攻击,以诱用户将其私钥发送给攻击者。

对DeFi合约来说,往往是几个人共享一个管理密钥。

这就意味着如果有内部人员心怀不轨,那么他可以调用管理功能将项目的代币转移到自己的钱包地址中。

这里有两个案例:2021年3月5日,PAID Network因其私钥管理不当而遭受“铸币”攻击,经推测攻击者很可能是通过网络钓鱼攻击从管理员的计算机中窃取了密钥。

PAID代币合约位于可升级代理服务器之后,这意味着代币合约可以被代理服务器的所有者替换。

这类恶意代码有铸币功能,攻击者销毁6000万个PAID代币,然后为自己铸造了5900万枚代币。

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道,今日,中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为:非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等,联合社会治理、城市安全、前沿技术领域的行业专家,进行警协合作。

据公开报道,近期菏泽市下属机关刚破获一起特大电信网络案,打掉多个涉嫌以网贷和投资“比特币”为名的团伙,抓获犯罪嫌疑人83名,扣押冻结涉案资金2700万元。[2020/7/21]

当时2,501,203美元的PAID代币(约为2,040ETH)在Uniswap上被出售,代币价格也从2.8美元暴跌为0.3美元。

2021年4月19日,EasyFi创始人声称该黑客为获取管理密钥对管理员进行了针对性的攻击。298万个EASY代币(当时价值约7500万美元)被从EasyFi官方钱包中转移到了几个未知钱包中。

因此安全存储私钥对于项目安全的重要性可见一斑,管理者切忌将未加密的管理员密钥存储在电脑设备上,或将其无防备的放置于Metamask热钱包中。

CertiK安全专家建议管理者使用硬件钱包创建账户。

如果多人团队的每位管理者均使用硬件钱包,一旦其中一位管理者试图进行特权交易,也需获取大部分成员的签署同意,这样可以防止攻击者仅获取一个密钥访问权时就可以调用所有特权功能。

首发 | 此前18000枚BTC转账是交易所Bithumb内部整理:北京链安链上监测系统发现,北京时间10月24日,17:07分发生了一笔18000枚BTC的转账,经分析,这实际上是交易所Bithumb的内部整理工作,将大量100到200枚BTC为单位的UTXO打包成了18笔1000枚BTC的UTXO后转入其内部地址。通常,对各种“面值”的UTXO进行整数级别的整理,属于交易所的规律性操作。[2019/10/24]

代币合约应尽可能避免铸造新代币的功能。如果需要铸造新代币,应使用DAO合约或时间锁合约,而非EOA帐户。

大家一提到DeFi漏洞,往往会认为漏洞必然是很复杂的,其实并非总是如此。

有时一个小小的编码错误,就可以导致数百上千万美元的资产一朝蒸发。

一些常见的编码错误示例:

1. 函数权限, 修改器(modifier)缺失

2. 错别字

3. 数字位数不正确

4. 变量值分配缺失/不正确

有一个非常典型的例子就是Uranium Finance曾发生的受攻击事件:黑客攻击了Uranium Finance未受审计的合约,项目因此损失了5700万美元。

管理员在交换前后比较池中两个代币余额的乘积时使用了不一致的乘数,这使得攻击者可以仅用1 Wei就从池中换出大量代币。

Uranium finance的代码:

首发 | 《一起来捉妖》中玩家达到22级将会接触到专属猫的玩法 ?:今日腾讯上线首款区块链游戏《一起来捉妖》,经金色财经查证,游戏中玩家达到22级将会接触到专属猫的玩法,而非此前官方对外宣称的15级。除了诱猫铃铛召唤出的0代猫以及部分通过运营活动奖励的专属猫以外,游戏中所有的猫默认都是未上链状态。未上链的猫不能出售,也无法进入市场与其他玩家配对;但是你可以使用这些猫与你的QQ/微信好友进行配对,产出新的小猫。使用道具“天书笔”可以将你的猫记录到区块链。当猫被记录到区块链以后,这些猫就可以进入市场,通过配对赚取点券,或者出售赚取点券。专属猫是否上链,并不影响它的增益效果。但只有上链后,它才能面对全服务器所有的玩家进行繁殖、交易。

?

《一起来捉妖》中的专属猫玩法,基于腾讯区块链技术,游戏中的虚拟数字资产得到有效保护。此外,基于腾讯区块链技术,猫也可以自由繁殖,并且运用区块链技术存储、永不消失。[2019/4/11]

正确的代码:

另一个例子是Value DeFi,被黑客攻击导致损失了1000万美元。

此次事件发生的原因在于Value DeFi合约中的初始化函数缺少“initialized = true”,这意味着任何人都可以将资金池初始化并将自己设置为管理员。

2021年5月5日,攻击者将资金池初始化,将自己设置为管理员,然后使用“governanceRecoverUnsupported()”函数耗尽了已抵押的代币。

IMEOS首发 EOS Go公布新增两条复选条件 :据金色财经合作伙伴IMEOS报道:今日,EOS Go在 steemit上公布新增的两条复选条件为:

1. 保证安全的计划:候选节点是否在steemit上发布文章介绍该节点的安全方法和计划,“安全方法”标准是向EOS选民展示安全最佳实践知识和组织实施计划的机会;

2. 立场:描述该节点分享通胀奖励和/或向EOS代币持有人派发股息的立场(候选节点在steemit发布)。主要阐述以下两个问题:

该组织是否会出于任何原因向EOS令牌选民提供支付,包括BP选举和社区建议?

该组织是否有书面的无票付款政策?如果是这样,请提供一个链接。[2018/4/27]

Value DeFi中的易受攻击的代码:

解决方法:

只需通过适当的同行评审、单元测试和安全审计,这一类型的代码错误往往极易避免。

闪电贷可以在无需提供任何抵押的情况下进行贷款,当然所有操作必须在一个交易区块内完成。

开发人员可以从Aave或dYdX等协议中借贷,条件是在交易结束之前将流动资金返还到资金池中。

如果资金未能及时返回,则交易将被撤回,从而确保储备池的安全。

闪电贷的一般运行步骤如下:

1. 使用闪电贷借入大量代币A

2. 在DEX上将代币A交换为代币B(代币A的价格下降,代币B的价格上升)

3. 攻击一个依赖A/B价格的DeFi项目

4. 偿还闪电贷

上周PancakeBunny遭受了闪电贷攻击,攻击者窃取了11.4万BNB和69.7万Bunny(当时价值约为4000万美元)。

攻击者利用闪电贷操纵PancakeSwap?USDT-BNB V1池的价格,导致大量的BNB流入BNB-Bunny池,这使得该合约能够以虚高的BNB/Bunny的价格铸造Bunny。

PancakeBunny使用了以下函数来计算Bunny的价格:

大量的BNB流入BNB-Bunny池造成变量“ reserve0”变得更大,且价格计算公式存在缺陷,因此导致攻击者非法获取了69.7万Bunny。

闪电贷攻击的受害者很多,包括DeFi领域的一些知名项目:PancakeBunny(4000万美元损失),Harvest?Finance(2500万美元损失),Yearn(1100万美元损失),Value DeFi(700万美元损失),AKROPOLIS(200万美元损失),Cheese Bank,XToken,bZx?等等。

从这些实例中不难看出——项目方应着重预防价格被闪电贷恶意操纵。

为了防止这种情况的发生,CertiK安全专家建议①使用时间加权平均价格(TWAP,代表了指定时间段内代币的平均价格),因为攻击者只能在一个区块中操纵价格,因此平均价格并不会被影响,从而规避相关恶意操纵,②或使用可靠的链上价格预言系统,例如Chainlink。

许多项目,例如PancakeSwap和UniSwap都是独立运行的,用户并不与其他第三方协议进行交互。

在PancakeSwap中,用户可以通过提供流动性以获得奖励代币或将一个代币交换为另一个代币。

但其他项目(例如Yearn Finance)的运作方式并不同。

比如Yearn Finance是收集用户资金并将其放入第三方合约,通过投资用户代币以获取收益的。

第三种情况则是一些项目会从其他项目“借用”代码。

后两种情况下,如果第三方代码的来源安全风险较大,那么所有使用该代码的项目也会受到攻击。

假如项目的开发人员不熟悉他们使用的第三方代码,一旦代码存在漏洞,所导致的后果将是灾难性的。

2021年5月8日,Value DeFi vSwap AMM的非50/50池被攻击,损失总额约为1100万美元。

为了实现非50/50池,Value DeFi从属于Bancor协议的“ BancorFormula.sol”中复制了“ power()”函数。

在power()函数的用法说明中,已写明该函数并不支持“ _baseN <_baseD”的情况。

但Value DeFi并未注意到此注释,因此攻击者成功利用此漏洞,通过往函数中传入特定的参数来用少量的代币A交换代币B。

Value DeFi的代码:

DeFi领域中还有许多其他类似的情况。

2021年5月8日,一名攻击者通过利用集成在Rari Capital V2中的Alpha Homora V1的ibETH池Bank合约的功能,从Rari Capital Ethereum Pool中消耗了大约2600个ETH。

Bearn Finance使用BUSD的提款金额在其“ BvaultsStrategy”合约中提取ibBUSD,从而让攻击者轻易转移了池中10,859,319 枚BUSD。

这类问题较难检测,因此项目管理者应谨慎与任何第三方协议进行交互,更不应盲目地复制并部署开发人员不了解的代码。

CertiK安全专家建议:

1. 开发人员在集成第三方协议并将部署到生产运行过程中之前,应充分了解其及其分支项目的运行情况。

2. 开发人员应在项目上线前,先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。

总体而言,尽管项目难以保证100%的安全,但是以下几点可以尽可能提高项目的安全性:

1. 安全存储管理员密钥

2. 避免简单的编码错误

3. 参考可靠的链上价格

4. 进行安全审计并做好审计前的准备

对于终端用户来说,在使用个人资产与项目进行交互之前,有时很难找到有关项目的详细信息。

为了方便用户获取项目的安全性信息,CertiK开发了全球首个公开透明展示区块链项目安全数据的安全排行榜。

通过查看公开的安全数据,终端用户可以实时了解项目安全情况。

https://www.certik.org

除以上防范方式以外,所有项目均应意识到安全审计的重要性。

那么审计前为了充分利用发挥安全审计的作用,应该如何准备资料和代码?

以下有几个小tips:

1. 定义审计的确切范围并设定审计目标

2. 制作全面的审计代码文档

3. 确保良好的代码质量

4. 审计前测试代码

5. 冻结代码并在审核之前指定代码的commit hash

标签:ANCDEFDEFIEFIMUSO FinanceParadise DefiModefiDeFi.ch

KuCoin热门资讯
加密货币:读懂以太坊难度炸弹:它为何一再延期?

如果说今年比特币的大牛市和 shib 的热潮让大批圈外人认识并进入到这个市场,那么 520 前夜的「519 事件」就给所有人上了一课,让大家对这个市场认知更加全面,原来币圈除了暴涨.

1900/1/1 0:00:00
TWI:金色趋势丨牛市仍在延续 见顶还远

上图为BTC?2010-2020年至今的长期走势,通过研究可以发现,以三次产量减半为时间分割点,从之前每一轮熊市的最低点一直延伸至各自周期内的产量减半时间点这一段时间周期.

1900/1/1 0:00:00
ETH:金色趋势丨知史鉴今 市场疯狂阶段还未到来

上图为BTC?2010-2020年至今的长期走势,通过研究可以发现,以三次产量减半为时间分割点,从之前每一轮熊市的最低点一直延伸至各自周期内的产量减半时间点这一段时间周期.

1900/1/1 0:00:00
DEF:被称为“将颠覆现有金融”的DeFi究竟是什么 它有什么优势?(上)

编者注:智能合约的出现为区块链的发展提供了重要的必要条件,自此区块链世界开始有了丰富的应用。DeFi是区块链应用落地不可忽略的重要组成部分,很多大型机构和优秀的投资者围绕DeFi的讨论从未停歇.

1900/1/1 0:00:00
EFI:金色DeFi日报 | 歌手阿朵发行NFT数字音乐作品

DeFi数据1.DeFi总市值:946.5亿美元 市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:50.

1900/1/1 0:00:00
ENU:BSC最大借贷平台VENUS遭遇大额清算 1亿美元坏账谁来兜底?

5月19日消息,BSC最大借贷平台VENUS被曝出发生大额清算,影响极其恶劣。据社群反馈,有几个大户手中掌握了300多万XVS(Venus平台币),他们在昨天晚上在很短的时间内花了几千万美元把X.

1900/1/1 0:00:00