WBT:慢雾：区块链安全 永无止境的战争

10 月 29 日，Web3 大会在上海外滩茂悦隆重举行！本次大会持续两天，至 30 日结束。除了数十位来自全球学术界、互联网、开源社区、风险投资、数字艺术和媒体社区的嘉宾，大会还集结了数百名开发者、研究人员和创业者，齐聚上海外滩茂悦，分享新思潮，为大家带来一场数字资产行业的"饕鬄盛宴”。

这是一场真正的 Web3.0 盛会

这是 Web3 大会首次来到中国上海举办，旨在为去中心化项目团队搭建协作与交流的桥梁。Web3 大会围绕着一句号召组织而成：促进运转良好的、用户友好的 Web3.0 网络。这也是 Web3.0 的愿景 —— 创造新一代互联网，让每个用户掌握自己的数据、身份和命运。

慢雾：过去一周Web3因安全事件损失约265万美元:7月17日消息，慢雾发推称，2023年7月10日至7月16日期间，Web3发生5起安全事件，总损失为265.5万美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

Web3 大会由 Web3 基金会主办，Web3 基金会旨在促进加密和去中心化软件、协议、创新技术和应用，开发第三代互联网 Web3.0。核心是研究、开发、部署、资助和维护 Web3 技术。

本次大会嘉宾的邀请沿袭了“Web3 大会”价值观：欢迎所有协议项目、所有开发者、所有来自不同背景和持有各色观点的人参与其中。本次大会主题讲座主要围绕区块链技术与 Web3 相关倡导计划。

余弦：区块链安全，永无止境的战争

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

作为区块链安全技术领域的资深专家，中国计算机学会计算机安全专委会委员，知名黑客，网络空间搜索引擎 “ZoomEye(钟馗之眼)” 创建者，Joinsec 创始人、前知道创宇技术副总裁、404 团队 Leader，慢雾科技创始人余弦受邀于 10 月 30 日进行《区块链安全，永无止境的战争》的主题演讲，与现场的各位业界先锋共同围绕『区块链安全』这一话题，开展了一场深度的探讨。

慢雾：Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报，Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下：

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件，慢雾给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

慢雾：2021年上半年共发生78起区块链安全事件，总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计，2021年上半年，整个区块链生态共发生78起较为著名的安全事件，涉及DeFi安全50起、钱包安全2起，公链安全3起，交易所安全6起，其他安全相关17起，其中以太坊上27起，币安智能链(BSC)上22起，Polygon上2起，火币生态链(HECO)、波卡生态、EOS上各1起，总损失金额超17亿美元(按事件发生时币价计算)。

经慢雾AML对涉事资金追踪分析发现，约60%的资金被攻击者转入混币平台，约30%的资金被转入交易所。慢雾安全团队在此建议，用户应增强安全意识，提高警惕，选择经过安全审计的可靠项目参与；项目方应不断提升自身的安全系数，通过专业安全审计机构的审计后才上线，避免损失；各交易所应加大反监管力度，进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]

余弦指出，DeFi 安全不仅仅是指智能合约安全，还包括区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合规安全。他还表示，在区块链的世界里，作恶成本低到令人发指。目前已披露的被盗数字资产价值已超 135.67 亿美元，未披露的数量可能比已披露的多一倍。

声音 | 慢雾：使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息，近日，注意到撞库攻击导致用户数字货币被盗的情况，具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测，同时用户在这些中心化服务里并未开启双因素认证。分析认为，被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全，但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系，且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致，这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

具体可参考慢雾 Hacked 档案库：https://hacked.slowmist.io/

值得一提的是，余弦认为 “代码即法律” 是一句不切实际且不负责任的话。他认为区块链安全远不止发生在区块链上，矿池、交易所、钱包等都存在被攻击的风险。他最后强调，信息边界在哪，战争就在哪。

以下为余弦关于《区块链安全，永无止境的战争》演讲内容：

参考来源：

https://forum.web3.foundation/

https://mp.weixin.qq.com/s/wMHpocjXaV1DPME329nwyw

标签：WEBWEB3区块链WBTWeb 3 DevelopmentWEB3ALLBI价格区块链个人怎么买wbtc币的最低价格

币赢热门资讯