10月13日,全球领先的区块链数据与技术服务提供商欧科云链在TwitterSpace上举办了一场主题为“安全事件频发,小白用户如何保护钱包安全?”的线上交流会,本次活动欧科云链首次对外公开了链上卫士产品线及目前在链上安全领域的布局。此外,本场活动还邀请到了三位深耕链上安全领域的嘉宾共同探讨近期层出不穷的跨链桥安全事件,普通用户该采取哪些策略、养成哪些习惯,来保障自身资产安全?
以下为本次TwitterSpace文字版回顾:
BNBChainBSC跨链桥遭黑客攻击,价值5.6亿美金200万枚BNB被凭空增发,对此安全事件的分析众多,但是都较为晦涩难懂,请审计师帮我们分析一下...
OKLink安全研究员Raymond:
这次BNBChainBSC跨链桥遭黑客攻击,是黑客利用了BNBSmartChain校验代码的一个漏洞。按照正常流程,在校验IAVL提交的数据过程中,会根据用户提供的证明路径,计算各层哈希值,但是校验代码少处理了一种情况,实际也就是少了三行代码,它没有处理一个节点左右都有字节点情况,黑客在正常数据里面,添加了个右节点,这个右节点由于前面说的代码漏洞,没有参与哈希计算,从而绕过了验证,BNBSmartChain的TokenHub按照数据请求,直接给黑客增发200w个BNB,黑客拿BNB去Venus抵押,借出了大量的稳定币,然后调用Stargate跨链桥,将资产转移到ETH,AVAX,Fantom等链,转价值近一个亿美金的链上资产。事后币安协调BNBSmartChain各个节点紧急停链,黑客被冻结在BNBSmartChain上的资产大概还有4.2个亿美金。后来,BNBSmartChain各个节点将黑客地址加入黑名单,禁用了0x65预编译合约的调用,并对链进行了重启。据最新消息,BNBSmartChain已对校验代码进行了修改,节点重新进行硬分叉重启,并重新开启了跨链功能。
Solana基金会就Mailchimp安全事件发出警告:金色财经报道,Solana的非营利组织Solana Foundation在1月14日披露了一起涉及其电子邮件服务提供商Mailchimp的安全事件。
根据Cointelegraph看到的发给用户的一封电子邮件,Mailchimp于1月12日通知基金会,“一个未经授权的行为者从Solana基金会的Mailchimp实例访问并导出了某些用户数据。”
事件中访问和导出的信息包括用户名和Telegram用户名。Solana基金会表示:“根据我们从Mailchimp收到的信息,受影响的信息可能包括,除其他外,电子邮件地址、姓名和Telegram用户名,在每种情况下,仅在用户提供任何此类信息的范围内。Mailchimp表示,该事件并未影响密码或信用卡信息。”
受此事件影响的用户数量尚不清楚。在发布时,Solana或Mailchimp没有就此事件发布官方公告。Solana没有立即回应Cointelegraph的置评请求。[2023/1/15 11:12:49]
Q2:以太坊的创始人V神此前也发推讨论了对多链未来的信念,但对跨链生态系统表示怀疑。各位大佬对跨链桥或者层出不穷的跨链桥安全事件有何看法?底层原因是什么呢?
库币安全事件更新:PAZZI已通过更换合约追回约56万美元资金:PAPARAZZI Platform于推特上表示,针对此次库币热钱包异常转账事件涉及到的1900万枚PAZZI代币(约56万美元),PAPARAZZI Platform已配合库币完成PAZZI代币1:1 替换,约56万美元资金被追回,交易及充提服务现已开放。[2020/10/3]
数据分析师Phyrex:
由于跨链桥本身并不是原生资产,用户在参与一些跨链桥项目时,需考虑项目方自身作恶的可能性。建议用户尽量不要使用非官方的跨链桥,针对不熟悉的项目不要贪图APY。送给广大用户DeFiSummer阶段常用的一句话“当你不知道项目收益从何处来时,你就是收益本身。”
OKLink安全研究员Raymond:
跨链桥实现整体业务逻辑复杂,信息传递链条很长,因此跨链桥在安全风险方面极易出现问题。对黑客而言,跨链桥规模巨大的TVL比普通协议更具吸引力。最常见的比如私钥安全问题、智能合约漏洞或者操作错误都可能导致跨链桥的大部分或全部资金损失。
库币安全事件更新:现已开放KardiaChain (KAI) 充提服务:据库币交易所公告,针对于此次库币热钱包异常转账事件涉及到的5.25亿枚KAI代币(约1020万美元),KAI已联合库币完成代币1:1更换,Swap映射后的地址为:0xd9ec3ff1f8be459bb9369b4e79e9ebcf7141c093
充提服务已于9月30日重新开放。据悉,KAI在Pool-X平台的锁仓收益并未受到影响,将正常发放。此外ORN提现服务已于9月29日正式开放。库币表示更多项目充提服务将于近期陆续开放。[2020/9/30]
建议用户在选择跨链桥时,安全应首先考虑。此外除关注用户体验、低滑点高效率外,安全性是评估跨链桥的重中之重。
OKLinkAuditPMUna:
目前就跨链桥来说,首先是跨链桥数量多,光以太坊上就有100个跨链桥配套设施,其次是跨链资产多,以BTC为例,你应该看到过很多和BTC相关的资产,如WBTC、anyBTC、VBTC等等,其实这些都是基于BTC生成的跨链资产。同时跨链渗透到各种各样的生态和DAPP中。目前光是以太坊生态中的桥锁仓量就达到了78亿美元,当然这也就吸引了黑客的注意。
安全公司:7月发生较典型安全事件超19起:据成都链安安全态势感知系统数据监测,7月发生较典型安全事件超19起。交易所发生1起安全事件。跑路/加密局发生2起安全事件。勒索软件/挖矿木马发生5起安全事件。暗网发生3起安全事件。其他发生8起安全事件。
从总体上看,7月区块链安全事件与6月持平。另外,所曝出的交易所漏洞较多。广大用户及交易所不可放松警惕。因为即使是一个微不足道的漏洞,也可能会造成巨大损失。因此,在日常工作中一定要保持良好的安全习惯。[2020/7/31]
所以用户在使用跨链桥产品时,一定要仔细甄别判断跨链桥的安全性。目前跨链桥主要有3种技术方案:锁定铸造/销毁类,资金池类和原子置换类。不同的技术方案,其安全设置也是各有不同,比如“锁定铸造/销毁”这一类的跨链桥通常来说如果在验证者去中心化分布、验证者被要求质押资产、作恶有罚没机制、资产由智能合约托管的情况下还是相对安全的。
数据派交易员链研社:
可以通过可靠的中心化平台进行资产跨链。在完成跨链后,需要注意相关DApp的授权,如无必要建议解除授权。
动态 | 8 月共发生 12 起较典型的安全事件,假充值漏洞给交易所造成巨大损失:据 SlowMist Hacked 统计,8 月共发生 12 起较典型的安全事件,累计造成近千万美元损失。慢雾区块链威胁情报(BTI)系统监测发现,多家交易所遭受假充值漏洞攻击,使用的攻击手法有:USDT(Omni)假充值漏洞、ERC20 Token 假充值漏洞、EOS 假充值漏洞、XRP 假充值漏洞以及门罗币(XMR)转账锁定漏洞,给交易所造成巨大损失。同时慢雾 BTI 系统也发出预警,近期针对交易所的 APT(Advanced Persistent Threat)攻击也愈演愈烈,慢雾安全团队在此提醒各交易所,提前做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。[2019/9/1]
星球日报资深作者秦晓峰:
跨链项目寻求创新又各自为战,难免会留下一些代码的安全漏洞,已经导致了非常多安全事件的发生。
Q3:根据各位的经验,分享一下,平时我们应该采取哪些策略、养成哪些习惯,以便普通用户进一步提升交易安全?
数据分析师Phyrex:
可以配置三个钱包:
首先是“签名钱包”,钱包里不要存放资产只在一些需要签名授权的场景下使用。
其次是“交互钱包”,钱包里尽量只放一些gas费。交互过后,也及时解除授权。
最后是“资产钱包”,只存放资产使用。
另外也提醒大家,一定要管理好自己的设备,不要给其他人保管。
数据派交易员链研社:
针对大部分普通用户而言,选择大平台产品存储资产是最简单、也是最省心的。如果一定要自我保存,建议用户可从提升自身安全意识、不盲目相信项目方、断网式资产存储三个维度来避免账户被黑、提升自身交易安全。具体来说,用户需要监控钱包和合约的授权行为,和陌生网站的交互需要多加小心。另外,私钥的生成步骤和保存环境也要足够安全,尽量使用经过大量用户验证过的钱包应用。
OKLink安全研究员Raymond:
在提升链上交互安全方面,除以上嘉宾所说的使用大平台产品、取消不必要的资产授权外,我这边建议用户善用区块链工具来降低链上交互风险。比如通过OKLink多链浏览器,提前判断交互地址是否存在“负面地址标签”:如hack、phishing等,降低与黑灰地址交互带来的隐藏风险;通过链上卫士“风险代币扫描”工具,避免落入貔貅盘的圈套。
OKLinkAuditPMUna:
钱包安全是离用户最近的一环,对于普通用户来说,钱包安全主要分为防盗和防丢。在防盗层面,我们发现很多风险事件都是在授权那一步出现的,黑客通过设置一个钓鱼网站走用户的授权,再将用户资金转移。针对此类情况,卫士目前正在开发针对不同代币标准的授权检测接口,后面这个接口检测能力也会对外开放,不过这个这一点也从侧面说明授权动作是风险极高的,在钱包授权时候,一定要仔细阅读钱包的授权信息,如果没有宁可换一个钱包,如果是一个盲签信息,不要冒险,一旦私钥被盗所有资产都可能会丢失。而防丢层面遇到最多的就是“助记词丢失”,因此建议广大用户尽量用硬件钱包、保存好助记词,私钥、助记词尽可能通过web0的方式保存,不要通过网络传输。
星球日报资深作者秦晓峰:
大家普遍比较认同大型中心化平台在跨链时速度更快、更安全,即使出现安全漏洞平台也会承担这部分损失。这种跨链的原理是通过用户从A链将资产充入平台的A链充币地址,再从同一账号的B链地址提币至用户在B链的钱包地址,但这种做法也有限制:需要平台在B链提供该资产,且不容易参与跨链桥项目并获得额外收益。
Q4:OKLink链上卫士有什么重要布局吗?类似于这次的攻击类型,您认为可以在哪些方面帮到用户?
OKLinkAuditPMUna:
我们之所以选择启动链上卫士产品线,主因是虽然区块链的发明让「信任」这种宝贵的东西得以部分解决。但在区块链代码世界里,人们对区块链的理解会存在许多误区。这些误区导致了坏人轻易钻了空子,频繁将黑手伸进了人们的钱包,造成了大量的资金损失。近年来在被攻击的项目中,70%由第三方审计机构审计。然而,在剩下的30%未经审计的项目中,因攻击而遭受的损失占总损失额的60%以上。
而链上卫士审计团队致力于开发基于安全和数据的产品。我们的核心能力可以分为数据安全能力和代码安全能力。一方面,我们为商业客户提供服务。另一方面,寻求安全需求的客户和区块链初学者也可以享受帮助。我们坚持以用户需求为导向,打造低门槛、全面、有效的产品,扩大区块链用户的认知。
就好比我们刚开放的链上卫士产品:TokenScanner,支持对貔貅盘、交易税等30风险项检测。针对C端用户已开放风险扫描、安全评分、代币分类器3大功能,能够帮助用户快速洞察代币的风险程度;而针对B端用户开发的「API功能」,预计将于年底覆盖支持9条EVM链的风险代币检测能力,目前首期仅支持ETH/BSC两条公链,截至目前已检测超353万代币资产,其中通过风险扫描功能,确认约有10.6万个代币存在风险。
TwitterSpace回看链接:https://twitter.com/oukeyunlian/status/1580106713134297089
金色财经报道,美国圣路易斯联储主席布拉德周五表示,一份“比预期更热”的9月通胀报告并不一定意味着美联储需要的利率比官员们在最近一次政策会议上预测的更高.
1900/1/1 0:00:00尊敬的AMGEX用户:AMGEX举办的合约交易大狂欢活动已于2022年10月13日23:59(UTC8)圆满结束,感谢用户的大力支持!活动奖励即将发放.
1900/1/1 0:00:00CurveDAO提案启用更容易的CRV奖励通证,获得96%选票支持通过Odaily星球日报讯Curve治理论坛的民意调查结果显示,一项在第三方应用程序上启用来自Curve奖励的提案获得通过.
1900/1/1 0:00:00当资金开始返回加密市场时,通常有明确的潜在原因。关键要点在全球宏观经济压力下,加密货币市场目前陷入低迷。越来越多的金融科技采用可能会吸引下一波加密用户,这可能有助于价格飙升.
1900/1/1 0:00:00富爸爸穷爸爸作家罗伯特清崎发出可怕的警告,称投资者必须保护他们的财富免受即将到来的经济崩溃的影响.
1900/1/1 0:00:00Binance研究团队对Arbitrum进行了仔细研究,以下是团队在研究后发现的情况:只要L1足够强大,大部分交易就可以在L2上进行,从而实现进一步的可扩展性,并以较低的Gas成本进行快速交易.
1900/1/1 0:00:00