2020년 공격 사건 요약: 900억 RMB가 누락되었습니다. 2021년에 우리는 어떻게 해커로부터 벗어날 수 있습니까?
本文约4704字,阅读全文需要约19分钟
CertiK 보안 전문가들은 2020년 몇 가지 대표적인 블록체인 프로젝트를 살펴보고 공격을 받은 이유와 해커가 사용하는 공격 방법을 분석하여 업계의 보안 사고 경고를 위한 참고 자료로 삼았습니
"그것이 오리처럼 보이고 오리처럼 걷는다면 우리는 그것을 오리라고 말합니다."
어떤 정치인의 이 말은 많은 사람들에게 지지를 받고 있습니다.
우리 각자와 마찬가지로 우리가 외부 세계에 공개하는 정보는 외부 평가를 통해 피드백을 받고 자신에게 영향을 미칠 때가 많습니다.이 원리는 특정 분야에만 적용되는 것이 아니라 오히려 모든 것에서 흔적을 찾을 수 있다.
블록체인은 오랜 시간 동안 발전해 왔지만 많은 사람들에게 여전히 사기, 도피, 해커가 숨어 있는 초법적인 장소입니다.
사람들의 인지가 다른 정보에 의해 영향을 받기 어렵다는 것은 물론 블록체인 프로젝트에 대한 공격이 날로 치열해지고 있기 때문임에 틀림없다.범람하는 해킹 사건 속에서 블록체인에 대한 사람들의 불안과 저항을 뒤집을 수 있는 유일한 길은 블록체인의 보안 수준을 높이고 안전하고 건강한 블록체인 생태계를 구축하는 것입니다.마찬가지로 전체 블록체인이 더 이상 부정적인 뉴스에 얽매이지 않게 되면 이 "오리"도 유리한 뉴스가 될 것입니다.통계에 따르면 2020년 전통 분야의 웹 사이트 및 소프트웨어 보안률은 97.5%에 달했으며 가장 큰 손실을 입은 자산은 50,000 RMB에 불과했습니다.
블록체인 분야에서 스마트 계약 및 관련 노드의 보안률은 89%에 불과하고 손실액은 종종 600만~6000만 위안에 달하는데 이는 대형 트럭 몇 대가 운반할 수 없는 하늘 높은 자산이다.블록체인 분야의 자산 손실은 기존 네트워크 자산 손실의 천 배 이상일 수 있습니다.이에 CertiK 보안 전문가들은 2020년 대표적인 블록체인 프로젝트 21개를 살펴보고, 공격을 받은 이유와 해커들이 사용하는 공격 방법을 분석해 업계 보안사고 경고의 참고 자료로 삼았다.분석된 23개의 블록체인 프로젝트 중 구현 논리 오류로 인한 공격 사건 8건, 가격 오라클 조작 사건 4건, 프로젝트 당사자 사기 사건 3건, 재진입 공격 사건 3건, 플래시론 공격 사건 3건, 지갑 2건, 1건 공격.
표 1: 2020년 주요 블록체인 사고 프로젝트 목록
그림 1: 2020년 블록체인 주요 사고 프로젝트 손실 맵
표 1과 그림 1은 2020년 주요 블록체인 사고 프로젝트의 손실을 보여줍니다.
첫 번째 레벨 제목
Cover Protocol
2020년 12월 28일 저녁, CertiK 보안검증팀은 Cover Protocol의 무제한 토큰 발행에 대한 취약점 공격을 발견했습니다.공격자는 프로젝트의 스마트 컨트랙트를 반복적으로 약정하고 회수하여 토큰 발행 작업을 트리거하고 Cover 토큰을 무한히 발행하여 Cover 토큰의 가격을 폭락시켰습니다.Warp Finance
2020년 12월 17일, 공격자는 Warp Finance 프로젝트에서 사용하는 오라클을 이용하여 약정된 LP 토큰 자산의 잘못된 가격을 계산하고 Warp Finance 프로젝트에서 약 1,462개의 ETH 토큰을 얻었으며 총 가치는 약 6.15입니다. 백만 위안.또한 공격자는 약 3,990만 RMB 상당의 DAI-ETH LP 주식도 발행했고, 약 650만 RMB의 수익이 유니스왑과 스시스왑의 LP로 유입되었습니다.Compounder.Finance
2020년 12월 1일 오후 3시, CertiK 보안 기술팀은 Skynet을 통해 Compounder.Finance 프로젝트의 스마트 컨트랙트에서 다수의 토큰의 거래가 여러 번 발생한 것을 발견했습니다.이러한 거래가 내부 작업임을 신중하게 확인한 후 프로젝트 소유자는 많은 양의 토큰을 자신의 계정으로 이체했습니다.SushiSwap
Compound
2020년 11월 26일, Compound 프로젝트에서 가격 오라클 토큰의 가격 오류가 발생했습니다.Pickle Finance
2020년 11월 22일 오전 2시 37분, CertiK 보안 검증팀은 Pickle Finance 프로젝트가 Skynet을 통해 공격을 받은 것을 발견했습니다.공격자는 외부 Jar 계약이 합법적인지 여부를 확인하지 않는 계약의 허점을 악용합니다.Origin Protocol
2020년 11월 17일, Original Protocol 프로젝트 OUSD는 플래시 론과 재진입 공격의 조합에 의해 공격을 받았습니다.Cheese Bank
2020년 11월 16일, DeFi 프로젝트인 치즈 은행이 플래시 론의 공격을 받았습니다.공격자는 유동성 풀의 토큰 수를 조작하고 재설정 오라클을 사용하여 Uniswap LP 유동성 인증서의 가격을 높이는 방식으로 공격합니다.Value DeFi
2020년 11월 15일 DeFi 프로젝트 Value Defi가 플래시론의 공격을 받았습니다.공격자는 공격에 대한 플래시 대출을 통해 오라클 머신 토큰의 가격 계산 취약성을 조작하기 위해 프로젝트에서 Curve 가격 오라클 머신을 사용했습니다.Eminence
GemSwap
2020년 9월 26일, DeFi 프로젝트 GemSwap은 프로젝트 소유자로부터 백도어 공격을 받았습니다.Soda Finance
2020년 9월 21일 CertiK 보안 연구팀은 소다 블록체인 프로젝트에서 스마트 컨트랙트 보안 취약점을 발견했습니다.이 취약점을 통해 외부 호출자는 피해자의 부채에 있는 토큰 수를 무시하고 스마트 계약 기능을 호출하여 피해자의 부채를 강제로 청산하고 결제 작업에서 발생한 수익금을 자신의 지불 주소로 이체할 수 있습니다.BASED
2020년 8월 14일, 유동성 채굴 프로젝트 기반에서 초기화 오류로 인해 취약점이 발생했습니다.기지 관계자는 스마트 계약을 전개할 때 스마트 계약에서 renounceOwnership 함수를 호출하여 소유자를 선언했을 뿐 스마트 계약을 초기화하지 않았습니다.YAM
NUGS
2020년 8월 11일, CertiK 보안 연구팀은 이더리움 기반 토큰 프로젝트인 NUGS에 보안 문제가 있음을 발견했습니다.토큰 시스템에 막대한 인플레이션을 일으킨 스마트 계약에 보안 결함이 있었습니다.Opyn
2020년 8월 4일 DeFi 프로젝트 Oypn에 공격이 발생했습니다.공격의 이유는 스마트 컨트랙트 oToken에서 Opyn의 행사 기능에 허점이 있기 때문입니다.공격자가 일정량의 ETH를 스마트 컨트랙트로 보내면 스마트 컨트랙트는 공격자가 보낸 ETH의 양이 동적으로 확인하는 것이 아니라 ETH의 양이 선물 거래를 완료하는 데 필요한 양과 일치하는지 여부만 확인합니다. 각 거래 내에서 한 번의 거래 후에도 여전히 선물 거래를 완료하는 데 필요한 수량과 동일합니다.Cashaa
첫 번째 공격은 7월 10일 베이징 시간 오후 6시 57분에 발생하여 Cashaa의 비트코인 지갑 중 하나가 손상되어 1.05977049 BTC가 공격자의 계정으로 전송되었습니다.Cashaa 보고서의 설명에 따르면 공격자는 피해자의 컴퓨터를 제어하고 Blockchain.info에서 피해자의 비트코인 지갑을 운영하며 공격자의 계정으로 BTC를 전송했습니다.두 번째 공격은 7월 11일 베이징 시간 오전 8시 10분에 발생했다. 총 335.91312085 비트코인이 있는 Cashaa의 8개 비트코인 지갑은 공격자에 의해 동일한 수단을 통해 동일한 주소로 전송되었다.Balancer
공격자는 2020년 6월 29일 오전 2시 3분경 dYdX 플래시 론에서 빌린 WETH를 사용하여 STA 토큰을 대량 구매하여 STA 및 기타 토큰의 교환 가격이 급격히 상승했습니다.그런 다음 최소 STA 수량(값 1e-18)을 사용하여 WETH를 지속적으로 재구매하고 각 재구매 후 Balancer의 계약 허점을 사용하여 내부 STA 수(값 1e-18)를 재설정하여 STA를 안정화합니다. 높은 가격.공격자는 허점을 계속 악용하고 고가의 STA를 사용하여 특정 토큰(WETH, WBTC, LINK 및 SNX)을 완전히 구매하고 최종적으로 WETH를 사용하여 플래시 대출을 상환하여 많은 양의 STA, WETH, WBTC를 남깁니다. , LINK, SNX, uniswap을 통해 불법 수익을 자신의 계정으로 이체합니다.CertiK는 2020년 6월 29일 오전 2시, 2020년 6월 29일 20:00 및 23:23에 Balancer 공격을 포착한 후 Balancer 프로젝트를 다시 공격했습니다.공격자는 dYdX 플래시론에서 토큰을 빌리고 발행한 후 유니스왑 플래시론을 통해 cWBTC 및 cBAT 토큰을 획득한 후 빌린 토큰을 Balancer 토큰 풀에서 대량으로 거래함으로써 컴파운드의 에어드랍 메커니즘을 촉발시켰다. 에어드랍된 COMP 토큰을 획득한 다음 Balancer의 취약한 gulp() 함수를 사용하여 토큰 풀 수량을 업데이트한 다음 모든 토큰을 가져가 플래시 대출을 반환합니다.공격자는 컴파운드 프로토콜의 재무 모델, 플래시 론, 밸런서 코드 취약점을 이용하여 무에서 COMP를 생성하는 것과 같습니다.Hegic
Lendf.Me
Uniswap
2020년 4월 18일 DeFi 프로젝트 Uniswap이 공격을 받았습니다.요약하다
위의 통계에서 이러한 21개 주요 공격의 총 손실액이 약 13억 위안에 달한다는 것을 알 수 있습니다.가격 오라클 조작, 재진입 공격, 구현 논리 오류, 플래시 론 공격, 프로젝트 당사자 사기, 지갑 공격 등 다양한 공격 방식으로 13억 위안을 탈취해 방어하기 어려웠다.컴퓨터 분야에는 오랫동안 통계가 있어 평균적으로 1000줄의 코드마다 1-25개의 버그가 있습니다.즉, 이 확률의 범위는 천분의 일(0.1%)에서 2.5%(2.5%)입니다.답변을 받은 후 CertiK 공식 WeChat 계정 하단의 대화 상자에 메시지를 남길 수 있습니다.
이 글의 동영상 설명을 보고 싶으시면 위챗 동영상 계정 우측 상단에 [CertiK]를 검색해주세요.
블록체인 분야에서는 작은 버그 하나라도 프로젝트나 투자자에게 돌이킬 수 없는 손실을 입힐 수 있습니다.
"오리"에 대한 편견과 고정관념을 바꾸고 안전하고 안전한 블록체인 생태계를 구축하기 위해서는 보안을 위한 모든 프로젝트와 개인의 끈기와 헌신이 불가분의 관계입니다.
블록체인 프로젝트에 대한 보안 감사의 중요성은 의심의 여지가 없지만 정적 감사를 거친 프로젝트는 100% 정적 및 동적 보안을 보장할 수 없습니다.CertiK 보안 전문가들의 통계에 따르면 업계에서 감사된 스마트 계약 및 노드의 보안률은 92.6%이지만 정식 검증 기술을 사용하여 CertiK가 감사한 보안률은 99.6%까지 높아질 수 있습니다!나머지 0.4%는 대부분 상호 작용 프로세스 중 스마트 계약의 변경으로 인해 정적 감사가 무효화됩니다.이 때 보안 상황을 언제든지 모니터링할 수 있습니다.보안 오라클사고 후 보상탈중앙화 자금 풀모든 프로젝트에 대한 가장 강력한 지원 및 보증이 될 것입니다. 
