从6月底到现在,一个月不到的时间,业界发生了多起较为重大的攻击事件:
6月29日,THORChain受到恶意攻击,损失估计达14万美元。
7月3日,跨链项目Chainswap合约遭到攻击,部分用户代币被主动从与 ChainSwap 交互的钱包中取出,总损失约为80万美元,跨链桥暂停使用。
7月11日,跨链项目Chainswap发布推文表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取,总损失价值400万美元。
7月12日,跨链项目Anyswap新推出的V3跨链流动性池也遭到黑客攻击,总计损失超过787万美元。
7月16日,THORChain再次受到攻击,损失约为1.3万ETH,价值约为2500万美元。
独家 | Aave锁仓量超越Compound升至第二:据DappBirds DeFi Data专题数据显示,Aave锁仓量超越Compound升至第二,DeFi中锁定资产总价值达42.05亿美元,较昨日上涨6.94%,其中Maker,Aave,Compound,Synthetix,Curve分别以7.57亿美元,5.58亿美元,4.80亿美元,5.58亿美元,3.65亿美元位列前五名[2020/7/24]
从上面这些案例,我们明显发现这些攻击事件表现出四个鲜明的特点:
1.都是针对跨链项目展开的攻击。
2.多个项目在一个月内反复受到攻击。
3.项目因攻击受到的损失金额越来越大。
4.不仅被攻击项目本身的运作受到影响,而且部署在跨链项目的其它项目方的运作也受到影响。
独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,3月30日,Bakkt比特币月度期货合约单日交易额为680万美元,环比上升27%,未平仓合约量为406万美元,环比下降4%。[2020/3/31]
纵观这些被攻击的项目,绝大多数都是因为在资产跨链的过程中,缺乏对资产、签名等的验证导致黑客抓住了其中的漏洞对项目进行攻击。
这些问题中有一类(比如通过相同的签名能够反推出私钥)是圈内早已知晓的问题,但在跨链这个新场景下,缺乏先例,导致开发团队可能会因为疏忽而遗漏对这类问题的排查。另一类则是因为跨链应用涉及的场景复杂导致团队在代码逻辑的设计中稍有不慎就会遗漏一些对关键点的检查。
任何一个新应用登场,项目方都要必须面对这样的挑战。
独家 | ETC缩量拉升 可能减半前的最后一波冲锋:分析师K神表示,前期提示,ETC三角末端整理,随时迎来变盘,今日选择向上突破,价格创出新高,前面这一波三角整理为前期直线拉升后的上涨中继形态,目前距离3月份的减半还有不到一个月时间,根据以往减产行情走势,一般会在减半前见顶,这一波上涨之后,就要考虑逢高减仓了,目前拉升量能和前期相比明显看出,不是一个档次的,量价出现背离态势,需要注意冲高回落的风险,周线我们可以看出,价格已涨至前期多重顶下方颈线位附近,目前量能直接上破的难度较大,需要一段时间盘整消化上方阻力,才有继续向上得可能,压力14美元。[2020/2/6]
此外,跨链项目受攻击还给业界带来了一个新的安全挑战:以往项目受到攻击时,受损失的仅仅是项目方自己;而在跨链领域,由于跨链应用本身成为了平台,它会承载其它的应用,因此一旦跨链应用本身受到攻击,则连带受到损失的就不仅仅是跨链项目本身而且还包括跨链应用承载的项目了。
独家 | Joseph (Joe) Fanelli:应对闪电网络持有质疑态度:针对近日闪电网络遭受Diar诟病无法处理大额交易事宜,EOS Asia co-founder Joseph (Joe) Fanelli 乔峰在接受金色财经独家采访时表示:“在我看来,如果比特币核心团队计划将比特币作为某种支付系统,那么他们离现在的比特币发展蓝图还遥遥无期,这样的系统所导致的问题也会多于它所能解决的。况且,真正的问题是:为什么他们会以这种方式来定位比特币呢?很多业内和支持比特币的人都没有读过中本聪的白皮书,但仍然采纳这个领域重要人物的建议和看法,并将其视为真理的唯一来源。但是,在下定论之前,我们始终应该质疑一切,哪怕它可能是错的,因为至少这样一来,我们将所有能促成最终那个决定的可能因素都考虑了个遍。对待闪电网络,我们应持有同样的质疑态度。”
乔峰进一步解释:Diar 分析了闪电网络的问题, 指出在交易运行的每个通道中必须有足够的比特币加载,并且人们想要发送的比特币越多,成功的概率就越小。因此闪电网络必须另辟蹊径。[2018/7/2]
在这些攻击案例中,Chainswap第二次受到攻击时,就导致部署在上面的超过20个项目连带受到损失并不得不重新部署合约。恐怕这一点是此前很多项目方都没有意识到的新动向和新问题。
这说明安全隐患涉及的问题无论在广度还是在深度上都上升到了一个前所未有的高度。
我们相信这个问题只会越来越显现:因为区块链生态的丰富必然导致跨链应用成为刚需,成为一个无法阻挡的趋势。这意味着未来跨链应用只会越来越多,同时也意味着资产跨链也会越来越频繁,因此未来的项目方也在部署应用时不可能仅仅只考虑某个区块链而要考虑应用的跨链场景。由此带来的状况就是安全问题必然越来越突出,攻防矛盾越来越尖锐。
面对这个新形势,从应用的角度看:不仅跨链应用项目方本身要高度重视项目代码的安全,对代码的审查要比以往更加重视,而且部署在跨链应用上的第三方项目方未来除了注重项目自身的安全以外也也必须重视跨链应用的安全。
从代码的角度看:跨链项目的代码为了因应新的安全挑战必然越来越复杂;部署在跨链应用上的项目也必然会越来越复杂,比如要增加处理紧急状况的功能和接口,以便在事发的第一时间及时提取其部署在不同区块链上的流动性。
从项目方的角度看:未来面对更加复杂的应用场景和更高的代码难度,对代码的审计必然要更加重视。
从用户的角度看:一定要更加慎重地对自己投资或者有意向投资的项目进行详细的审查,重点审阅项目方的审计报告。
从审计公司的角度看:面对越来越复杂的系统,审计的难度也将越来越大,审计的要求也会越来越高。对此作为从业者的灵踪安全不仅将一如既往地在审计过程中做好代码的审计,更已经准备好全面的保驾护航方案,随时应对项目方受到攻击后在事发的第一时间为项目方提供完备的补救措施和全面的改进方案。
关于灵踪安全:
灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
作者:
灵踪安全CEO 谭粤飞
美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。
标签:区块链比特币CHAChain怎么做区块链比特币红包怎么用dogechain币如何释放anticounterfeitchain
要说最近在加密世界最火爆的概念,NFT绝对是当仁不让。上个月末(6月23日),阿里巴巴与敦煌美术研究所联合发布了两款 NFT非同质化Token,分别为敦煌飞天和九色鹿皮肤,全球限量发行共1600.
1900/1/1 0:00:00随着区块链游戏发展,会逐渐出现收益率降低,可玩性提高的趋势,最终达到平衡。我们在 7 月 5 日发布的《Axie Infinity 带动 NFT 板块逆势上涨 | Foresight Ventu.
1900/1/1 0:00:00以太坊正在经历其有史以来最大的升级,这是以太坊持有者和用户疯狂释放价值的开始。伦敦硬分叉如何有效地将以太坊作为区块链和投资。我们将看看以太坊以及一些将为投资者和用户带来难以置信的价值的升级.
1900/1/1 0:00:00Uniswap V3于今日在Optimistic Ethereum主网上启动其Alpha版本,这意味着以太坊的layer2又向前推进了一大步.
1900/1/1 0:00:00美联储正在进行的关于央行数字货币(CBDC)的研究,已经扩大到包括稳定币以及它们是否能得到有效监管的问题.
1900/1/1 0:00:007 月 14 日,布局在 BSC 和 Polygon 链上的收益聚合器 Aperocket 在不到 12 小时的时间内先后遭到闪电贷攻击.
1900/1/1 0:00:00