时间:2022-01-06|浏览:446
2021 年对于区块链来说是一个巨大的里程碑,无论是对于用户量还是对于机构接受程度。链资产比重都远超历史上的任何其他时期。
与此同时,兴起了许多多元化的事物如号称终极未来的元宇宙、边玩边赚的 GameFi 以及链链互信的跨链等。而各类传统 Defi Dapp 也加速了步伐迎来了全新的升级,如 Uniswap V3, Aave V3 等新版协议问世。
种种这些,不仅为区块链生态带来了活力,同时也带来了全新的安全挑战。现在请跟随 知道创宇区块链安全实验室 的视角一起回顾2021区块链安全生态以及各月份的典型安全事件。
2021各月份典型安全事件回顾
Ⅰ:挑 战 伊 始
关键词:权限控制,手续费
安全月度风险评估:低
月度评价:新年伊始,但不应该是新漏洞的开始
Ⅱ:风 雨 初 现
关键词:闪电贷,无限授权
安全月度风险评估:中
月度评价:同类型漏洞相继爆发,需做好安全预警
Ⅲ:花 式 危 险
关键词:双花交易,错误铸币,权限控制
安全月度风险评估:高
月度评价:漏洞类型花样百出,但核心都是资金安全
Ⅳ:经 典 重 现
关键词:重入攻击,协议兼容性
安全月度风险评估:低
月度评价:经典漏洞以全新方式体现,说明安全理念并不会停滞,需要时刻进步
1月27日,SushiSwap 因收取手续费的函数存在权限控制缺陷,被黑客利用操控了 DIGG/WETH 交易对的滑点,从而套取了 WBTC/DIGG 交易对的手续费。
Yearn Finance 被攻击,黑客利用闪电贷操控 3pool 代币平衡,并通过y Dai保险库放大差异,获利 280 万美元,而保险库损失 超1100 万美元。
以太坊协议组合工具 Furucombo 智能合约被爆出存在请求授权权限过高问题,黑客可通过向 Furucombo 代理添加攻击合约,从而获得影响用户账户的权限,该漏洞影响超 1400 万美元。
去中心化交易所 DODO 因未对init进行权限控制,导致黑客在进行闪电贷归还操作时通过init函数将需要归还的代币修改为自己提前加入pool的垃圾代币,从而规避校验以次充好,损失超 200 万美元。
Paid Network 铸币功能存在漏洞,被利用铸造超 6000 万枚PAID代币。
Filecoin 由于节点特性出现“双花交易”漏洞。
Uniswap 上的 imBTC 池遭到黑客攻击,漏洞原因是 Uniswap 与 ERC777 协议出现兼容性问题,当交易产生时,ERC777 中的迭代调用 tokensToSend 可以被用来实现重入攻击,损失超 30 万美元。
Ⅴ:八 方 风 雨
关键词:重入攻击,协议冲突,滑点,闪电贷
安全月度风险评估:高
月度评价:本月是闪电贷攻击多发月份,造成的损害也及其重大,所以必须不放过任意可能存在漏洞的细节,避免无法挽回的结果。
Ⅵ:风 雨 依 旧
关键词:薅羊毛,错误变量,address(this),闪电贷
安全月度风险评估:中高
月度评价:本月闪电贷攻击依然多发,其提醒着控制变量值得反复审计。
Ⅶ:逻 辑 理 性
关键词:私钥,双花攻击,tx.origin,逻辑漏洞
安全月度风险评估:中高
月度评价:本月存在各类型的逻辑漏洞,涉及私钥、转账已经功能特性等,需做更全面的考虑。
Ⅷ:危 险 之 最
关键词:年度损失之最,重入攻击,同类型协议攻击,闪电贷
安全月度风险评估:高
月度评价:本月各类攻击损失都十分巨大,还有着堪称全年损失之最的Poly Network攻击,该月份攻击不仅影响到新兴的跨链项目也对同类型的协议敲响警钟,这份影响持续着整个区块链安全生态。
Ⅸ:问 题 依 旧
关键词:初始化攻击,恒定乘积校验,预言机操控,闪电贷
安全月度风险评估:高
月度评价:本月各类攻击损失依然巨大,但相较于新型漏洞,大多数漏洞都属于可追溯漏洞即已经出现过的漏洞。
Ⅹ:漏 洞 多 样 化
关键词:价值描述,修补方案,多次攻击
安全月度风险评估:高
月度评价:各种漏洞产生的情况也是各有不同,有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等,但是 Cream Finance 该年度已经多次遭受攻击实属应该做好防护。
Ⅺ:问题多元化
关键词:预言机操控,治理攻击,私钥泄露
安全月度风险评估:高
月度评价:该月份同样问题严重,有传统的预言机安全问题、私钥泄露问题甚至还有着项目方反撸矿工的操作。
Ⅻ:经 典 再 现
关键词:闪电贷,重入
安全月度风险评估:中
月度评价:传统的预言机安全问题与重入安全问题,但是杀伤力依旧巨大
在这些攻击中,DeFi 仍是区块链安全的重灾地,由于各种项目方实现的多样性和复用代码造成的理解差异,导致了如此多的经济损失值得每一个人深思。这不是某一个人或者某一个组织的事,而是需要整体行业大众普遍安全意识的提升。
用戶喜愛的交易所
已有账号登陆后会弹出下载