火星链 火星链
Ctrl+D收藏火星链
首页 > Gate.io > 正文

OLE:近4亿美元损失,Solana的黑客攻击都有什么共同点?

作者:

时间:1900/1/1 0:00:00

原文作者:sec3

原文编译:ChinaDeFi

自一年前以来,Solana生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),这些黑客攻击总共造成了近4亿美元的损失。

重要的是,这些黑客攻击(SlopeWallet除外)大多是由于智能合约漏洞,即链上协议的编码缺陷:

Wormhole:3.2亿美元被盗,原因是缺少帐户验证;

CashioApp:由于缺少账户验证,导致5000万美元被盗;

Coinbase盘前上涨近4%:8月8日消息,加密货币交易所Coinbase(COIN.O)盘前上涨近4%。上周全球最大资管公司贝莱德(BLK.N)宣布与Coinbase达成合作关系,为机构客户提供比特币的相关服务。[2022/8/8 12:09:53]

CremaFinance:1000万美元被盗(返还800万美元),原因是缺少账户验证;

Nirvana:通过闪贷操纵价格,350万美元被盗;

Slope钱包:由于助记词被泄露,400万美元被盗。

在本文中,我们回顾了这些攻击的本质,并旨在找到有效的解决方案,以防止未来发生此类攻击。

2020年因犯罪被盗加密货币总值可能将接近45亿美元:根据数字资产情报公司CipherTrace发布的新报告,在今年的前五个月中,通过加密货币犯罪吸纳的不良资金高达14亿美元。报告继续指出,如果以同样速度继续下去,2020年被盗加密货币的总量有可能接近2019年设定的45亿美元大关。犯罪分子利用正在蔓延的COVID-19病,通过各种与加密相关的网络钓鱼活动、勒索软件和黑暗市场欺诈诱使毫无戒心的个人进入。(Cointelegraph)[2020/6/7]

Wormhole:黑客创建了两个假的sysvar帐户来跳过密钥验证。

CashioApp:黑客创建了8个假账户来通过有效性检查。

动态 | OKEX平台BSV季度合约2小时内成交额近4000万美元:据AICoin数据显示,OKEX平台BSV季度合约价格最高达到138.48美元,在2个小时内出现大量爆仓单。20:00-21:00时间段,有84396.76个BSV完成交易;21:00-22:00时间段,有192343.67个BSV完成交易,2小时内合计成交20669单,总计276740.43个BSV。按照最高季度合约价138.48美元计算,2小时内成交额达到了3832.02万美元。[2019/5/22]

CremaFinance:黑客创建了一个虚假的帐户,并使用闪贷窃取费用。

Nirvana:黑客精心制作了一个闪贷账户来操纵代币价格。

链塔智库:全球数字货币总市值近4000亿美金;交易金额最高的交易所为BITMEX:链塔智库今日发布2018年第一季度数字货币交易所研究报告。截止2018年4月24日,全球共有1200余种数字货币,总市值近4000亿美金,单日交易额超过200亿美金。全球交易金额最高的交易所为BITMEX,OKEX跌至第二。全球存177家数字货币交易所,其中仅6家交易所支持法币交易。因我国政策出台等原因,数字货币交易所转战海外,竞争力提高。[2018/4/25]

SlopeWallet:黑客通过泄露的助记词直接获取了用户钱包的私钥。

2.所有黑客攻击都涉及多次交易

Wormhole:整个攻击用了6个交易来完成:第一个tx创建第一个假sysvar帐户,最后一个tx调用complete_wrapped。

CashioApp:整个攻击从创建所有的假账户到发送最后的攻击交易,期间进行了超过10笔的交易。

CremaFinance:每次攻击至少需要进行3笔交易;创建一个虚假的帐户,部署一个闪贷程序,发起窃取费用的攻击;此外,黑客还多次发起10笔闪贷交易,从不同的代币池中进行窃取。

Nirvana:攻击至少进行了2笔交易;部署一个精心设计的闪电贷款接收程序,并调用Solend闪贷。

SlopeWallet:整个攻击抽干了9000多个钱包,涉及9000多个SOL或SPL代币转账交易。

3.所有攻击至少持续几分钟(几个小时甚至几天)

Wormhole:从创建第一个假sysvar账户的tx到完成转账的tx之间的时间跨度为6个小时。

CashioApp:黑客的第一个假账户是在交易发生前5天创建的。

CremaFinance:这个假账户是在第一次攻击前一个多小时创建的。

Nirvana:两个交易(部署闪贷接收方和调用Solend闪贷)之间的时间窗口跨度为4分钟。

Slope钱包:广泛的攻击持续至少8个小时。

4.最大的损失是由于缺少帐户验证

前三次黑客攻击(Wormhole、CashioApp和CremaFinance)的根源在于缺少正确的账户验证。

无论是否是巧合,这些攻击都造成了很大的经济损失。

5.闪贷牵涉到两次黑客攻击

CremaFinance和Nirvana的黑客攻击都涉及直接闪贷交易,而且都是通过Solend进行的。

在CremaFinance,闪贷被用来引导存款流动性。

在Nirvana中,其内部价格预言机被闪贷操纵。

安全措施:

账户所有权

账户签名者

帐户之间的关系(或逻辑约束)

根据协议逻辑,还应该检查:

如果任何内部价格预言机操纵闪电贷款(与大量转移),需增加约束以防止差异。

如果可以计算任何异常状态(如费用或奖励),需添加约束以防止差异。

监控SOL或SPL代币的大规模转移;

监控针对你的智能合约的闪贷交易;

通过升级依赖程序来监控潜在的漏洞;

监控异常状态(例如,计算费用);

监控往返交易事件例如deposit-claim-withdraw在单个tx中);

监控来自同一签名者的重复交易;

任何针对协议特定属性的自定义监控。

如果任何被监控的交易导致了在随后的黑客攻击中使用的异常状态,及早发现它们可能有助于阻止黑客攻击。

标签:OLEAFINANCMAFOLE价格AFIN价格XDEFI Governance TokenMafagafo

Gate.io热门资讯
DEF:DeFi衍生品潜力还没释放出来——GMX前路几何?

最近看很多人都在聊,都在问GMX这个项目,那么我们就简单的说一下。自DEFI之夏以来,陷入了沉寂,很少出现让人眼前一亮的项目了,而且DEFI还有好多潜力没有被挖掘,尤其是衍生品的潜力还没释放出来.

1900/1/1 0:00:00
CHI:BKEX 关于下架部分币种交易对的公告

尊敬的用户:?本着保护用户的宗旨,BKEX为保证交易币种的高标准,将定期对平台内的代币进行综合性审查;如项目方出现对投资者不利因素,我们将采取对应措施,并下架对应项目.

1900/1/1 0:00:00
NFT:欧易关于支持SKL高息赚币的公告

尊敬的欧易用户:欧易赚币将于2022年09月09日11:00(HKT)正式上线SKL高息赚币服务,您可以一键质押,参与锁仓获得SKL收益.

1900/1/1 0:00:00
COI:Hotcoin關於開放FLA交易的公告

尊敬的用戶:Hotcoin將於(GMT8)2022年9月14日11:18在ALTS交易區開放FLA/FPA交易業務,2022年9月13日12:00開放FLA充值業務.

1900/1/1 0:00:00
ATO:Shiba Inu 「SHIB」 可以在这里提供短期交易机会

ShibaInu的市值为67亿美元,尽管被称为meme硬币。加密货币的长期投资者不太可能对ShibaInu的前景充满热情。短期交易者仍然可以从SHIB的价格走势中获利.

1900/1/1 0:00:00
BAL:Huobi Global Will List USN (Decentral Bank) on September 8, 2022

DearValuedUsers,HuobiGlobalisscheduledtolistUSN(DecentralBank)onSeptember8.

1900/1/1 0:00:00