Thành Đô Liên Nam: Báo cáo nghiên cứu chuyên sâu về tình hình bảo mật Web3 trong nửa đầu năm 2022

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

Thành Đô Liên Nam: Báo cáo nghiên cứu chuyên sâu về tình hình bảo mật Web3 trong nửa đầu năm 2022

成都链安

2022-08-22 03:04

本文约8065字，阅读全文需要约32分钟

Trong nửa đầu năm 2022, sẽ có khoảng 79 sự cố bảo mật lớn trong lĩnh vực Web3, với thiệt hại lên tới 1,91287 tỷ USD.

Tổng quan về tình hình bảo mật Web3 trong nửa đầu năm 2022

Trong nửa đầu năm 2022, tổng số sự cố bảo mật lớn đã được phát hiện trong lĩnh vực Web 3khoảng 79 trường hợp, thiệt hại do các cuộc tấn công khác nhauMô tả hình ảnh。

Chúng ta có thể thấy tình hình chung của lĩnh vực bảo mật Web3 trong nửa đầu năm từ bộ dữ liệu sau:

Trong nửa đầu năm, đã có 7 cuộc tấn công cầu xuyên chuỗi, với tổng thiệt hại là 1,13599 tỷ đô la Mỹ;
53% các cuộc tấn công là khai thác hợp đồng;
Khoảng 26,6% các phương pháp tấn công là các khoản vay chớp nhoáng;
Nửa đầu năm xảy ra 5 sự cố về an ninh, thiệt hại trên 100 triệu;
TVL của toàn bộ thị trường DeFi đã giảm từ 276 tỷ USD vào đầu tháng 1 xuống còn 80 tỷ USD vào cuối tháng 6, giảm 71%;
Tin tặc đã rửa tổng cộng 1.140,7 triệu USD thông qua Tornado Cash;
Khoảng 71% các cuộc tấn công xảy ra trong lĩnh vực DeFi.

Trong các báo cáo bảo mật của quý đầu tiên và quý thứ hai, chúng tôi đã chỉ ra và phân tích tình hình chung trong lĩnh vực bảo mật chuỗi khối từ nhiều khía cạnh khác nhau,Đọc thêm:

Đọc thêm:

1. Theo báo cáo sinh thái bảo mật blockchain toàn cầu quý 1 năm 2022, thiệt hại do các sự cố bảo mật tấn công gây ra lên tới 1,2 tỷ đô la Mỹ

2. Theo báo cáo sinh thái bảo mật Web3 toàn cầu quý 2 năm 2022, tổng thiệt hại do các sự cố tấn công là khoảng 718,34 triệu đô la Mỹ

Trong nửa đầu năm 2022, đã xảy ra tổng cộng 7 cuộc tấn công cầu xuyên chuỗi

dữ liệu một

Trong nửa đầu năm 2022, đã xảy ra tổng cộng 7 cuộc tấn công cầu xuyên chuỗi

Mô tả hình ảnh

Trong số tất cả các lỗ hổng bị khai thác,

dữ liệu hai

53% các cuộc tấn công là khai thác hợp đồng

Trong nửa đầu năm 2022, tổng cộng 42 vụ tấn công lớn do lỗ hổng hợp đồng đã được phát hiện và khoảng 53% vụ tấn công được khai thác bởi lỗ hổng hợp đồng.

Theo thống kê,Trong nửa đầu năm 2022, tổng cộng 42 vụ tấn công lớn do lỗ hổng hợp đồng đã được phát hiện, với tổng thiệt hại là 644,04 triệu USD.

Trong số tất cả các lỗ hổng bị khai thác,Mô tả hình ảnh

, Lỗ lũy kế khoảng 326 triệu đô la Mỹ. Tin tặc đã khai thác lỗ hổng xác minh chữ ký trong hợp đồng Wormhole cho phép tin tặc giả mạo tài khoản sysvar để đúc wETH.

Khoản lỗ lớn nhất là lỗ hổng xác minh chữ ký. Vào ngày 3 tháng 2 năm 2022, dự án cầu xuyên chuỗi SolanaLỗ sâu bị tấn công, Lỗ lũy kế khoảng 326 triệu đô la Mỹ. Tin tặc đã khai thác lỗ hổng xác minh chữ ký trong hợp đồng Wormhole cho phép tin tặc giả mạo tài khoản sysvar để đúc wETH.

Chuỗi Lian'an Thành Đô phải kiểm tra-Nền tảng xác minh chính thức hợp đồng thông minhRari Fuse PoolBị flash loan cộng với cuộc tấn công vào lại, gây thiệt hại tổng cộng 80,34 triệu đô la Mỹ.

Các sự cố phổ biến nhất trong quá trình kiểm toán thường được chia thành bốn loại: 1. Tấn công vào lại ERC721/ERC1155 2. Lỗ hổng logic 3. Thiếu xác thực 4. Thao túng giá.

dựa theoNền tảng nâng cao nhận thức tình huống bảo mật chuỗi khối Thành Đô Lianan Eagle EyeTheo số liệu thống kê về sự cố bảo mật được ghi nhận, hầu hết tất cả các lỗ hổng xuất hiện trong quá trình kiểm toán đều đã bị tin tặc khai thác trong các tình huống thực tế và việc khai thác các lỗ hổng logic hợp đồng vẫn là phần chính.

vượt quaChuỗi Lian'an Thành Đô phải kiểm tra-Nền tảng xác minh chính thức hợp đồng thông minhCác chuyên gia kiểm tra và bảo mật kiểm tra và kiểm tra thủ công, các lỗ hổng trên có thể được tìm thấy trong giai đoạn kiểm tra và các chuyên gia bảo mật có thể đưa ra các đề xuất sửa chữa bảo mật liên quan sau khi đánh giá bảo mật để khách hàng sử dụng làm tài liệu tham khảo sửa chữa.

Trong nửa đầu năm 2022, số vụ tấn công sử dụng khoản vay chớp nhoáng lên tới 21

Được quét bởi công cụ ChainBitCheck, có một lỗ hổng đăng nhập lại trong hợp đồng

dữ liệu ba

Trong nửa đầu năm 2022, số vụ tấn công sử dụng khoản vay chớp nhoáng lên tới 21

Mô tả hình ảnh

Sau cuộc tấn công, những kẻ tấn công Ronin đã chuyển một số tiền bị đánh cắp sang Huobi, FTX, Binance, Crypto.com và các sàn giao dịch khác, nhưng tất cả các sàn giao dịch lớn đều đưa ra tuyên bố rằng họ sẽ hỗ trợ đầy đủ trong việc lấy lại số tiền bị đánh cắp.

1) Vào ngày 17 tháng 4 năm 2022, Beanstalk Farms, một dự án stablecoin thuật toán, đã bị tấn công bằng cách cho vay và quản trị chớp nhoáng, hacker đã kiếm được 76 triệu đô la Mỹ và tổn thất giao thức lên tới 182 triệu đô la Mỹ.

2) Vào ngày 28 tháng 4 năm 2022, nền tảng phái sinh đa chuỗi DEUS Finance đã gặp phải một cuộc tấn công cho vay nhanh cộng với thao túng giá, gây thiệt hại khoảng 15,7 triệu đô la Mỹ.

3) Vào ngày 30 tháng 4 năm 2022, Rari Fuse Pool chính thức của Fei Protocol đã bị một khoản vay nhanh cộng với tấn công vào lại và tin tặc đã kiếm được 28.380 ETH, trị giá khoảng 80 triệu USD.

Các cuộc tấn công cho vay chớp nhoáng xảy ra thường xuyên, vậy bên dự án nên làm thế nào để ngăn chặn hoặc làm chậm lại các cuộc tấn công cho vay chớp nhoáng? Dưới đây là một vài gợi ý có thể:

Yêu cầu các giao dịch quan trọng để mở rộng hai khối

Nếu một giao dịch thâm dụng vốn cần kéo dài ít nhất hai khối và người dùng cần rút khoản vay trong ít nhất hai khoảng thời gian khối, thì cuộc tấn công cho vay chớp nhoáng sẽ thất bại. Nhưng để điều này hoạt động, giá trị của người dùng phải được khóa giữa hai khối, ngăn họ trả nợ.

Định giá trung bình theo trọng số theo thời gian (TWAP)

Trong trường hợp thao túng giá, đề xuất sử dụng giá trung bình theo thời gian (TWAP) để tính giá trong nhóm thanh khoản trên nhiều khối. Bởi vì toàn bộ chuỗi giao dịch tấn công cần được xử lý trong cùng một khối, nhưng không thể thao túng TWAP mà không thao túng toàn bộ chuỗi khối, do đó tránh được sự bất thường về giá tức thời do các khoản vay chớp nhoáng gây ra.

Cơ chế cập nhật giá thường xuyên hơn

Ngoài ra, trong trường hợp thao túng giá, tần suất mà nhóm thanh khoản truy vấn nhà tiên tri và cập nhật giá có thể được tăng lên một cách thích hợp.Khi số lượng cập nhật tăng lên, giá của các mã thông báo trong nhóm sẽ được cập nhật nhanh hơn, khiến cho việc thao túng giá không hiệu quả.

Logic quản trị chặt chẽ hơn

Khi nói đến quản trị dự án, sự chặt chẽ của logic quản trị cần được xem xét trên nhiều phương diện để tránh những sơ hở logic như Beanstalk Farms, một khi có một sơ hở nhỏ, nó có thể được phóng đại vô hạn thông qua các khoản vay chớp nhoáng và cuối cùng gây ra tổn thất lớn.

Đảm bảo an toàn và độ tin cậy trong quá trình thiết kế và triển khai logic nghiệp vụ

Khi bên dự án thiết kế logic nghiệp vụ và các nhà phát triển triển khai nó, họ nên xem xét đầy đủ tính toàn vẹn và bảo mật của logic nghiệp vụ và chú ý đến các tình huống cực đoan. Khi cần thiết, nên thành lập các tổ chức kiểm toán chuyên nghiệp để tiến hành kiểm toán và nghiên cứu nhằm ngăn ngừa các rủi ro có thể xảy ra.

dữ liệu bốn

Nửa đầu năm xảy ra 5 sự cố an ninh, thiệt hại hơn 100 triệu

Trong nửa đầu năm 2022, đã xảy ra tổng cộng 5 sự cố bảo mật với thiệt hại trên 100 triệu đồng, đó là:

Mạng Ronin: 625 triệu USD
Lỗ sâu: 326 triệu USD
Nông trại Beanstalk: 182 triệu USD
Elrond: 113 triệu USD
Hài hòa: 100 triệu USD

Tổng thiệt hại do 5 sự cố hack này gây ra lên tới 1,346 tỷ đô la Mỹ, chiếm 70% tổng thiệt hại trong nửa đầu năm 2022.

Trong báo cáo hàng quý của Q2, chúng tôi thấy rằng TVL của một số dự án đã trực tiếp trở về 0 sau khi bị tấn công và không có sự khởi động lại nào sau đó. Vậy điều gì đã xảy ra với những dự án đã mất hơn 100 triệu nhân dân tệ sau khi chúng bị tấn công?

Ronin: Khoản lỗ 625 triệu đô la, tài sản được chuyển sang Tornado Cash

Vào ngày 29 tháng 3, Mạng lưới Ronin sidechain Ethereum của Axie Infinity đã bị tấn công, dẫn đến thiệt hại khoảng 625 triệu USD. Chuỗi bên Ronin bao gồm 9 nút của trình xác thực và để xác nhận một khoản tiền gửi hoặc rút tiền, cần có năm chữ ký của trình xác thực. Những kẻ tấn công đã kiểm soát được bốn trình xác thực Ronin của Sky Mavis và trình xác thực bên thứ ba do Axie DAO điều hành.

Sau đó, kẻ tấn công đã phân phối tài sản bị đánh cắp đến nhiều địa chỉ và làm sạch chúng theo đợt thông qua Tornado Cash.sử dụng

sử dụngLianbizhui-Nền tảng nghiên cứu và phán quyết thông minh cho các trường hợp tiền ảoHarmony cho biết họ đã bắt đầu một cuộc điều tra toàn cầu về tin tặc với các cơ quan thực thi pháp luật và tất cả các nền tảng giao dịch. Đồng thời, Harmony cũng đã tăng số tiền bị hacker đánh cắp từ 1 triệu USD ban đầu lên 10 triệu USD. Tuy nhiên, tin tặc đã rửa số tiền bị đánh cắp thông qua Tornado Cash.

Harmony: 42.000 ETH được chuyển sang Tornado Cash

Vào ngày 24 tháng 6, cây cầu xuyên chuỗi Horizon Bridge của Harmony đã bị tấn công, gây thiệt hại hơn 100 triệu USD.

Vào ngày 26 tháng 6, người sáng lập Harmony tuyên bố rằng cuộc tấn công vào Horizon không phải do lỗ hổng hợp đồng thông minh gây ra mà do rò rỉ khóa riêng. Tiền đã bị đánh cắp từ phía Ethereum của cầu nối chuỗi chéo. Mặc dù Harmony lưu trữ các khóa riêng được mã hóa, nhưng kẻ tấn công đã giải mã một số trong số chúng và ký một số giao dịch trái phép.

Harmony cho biết họ đã bắt đầu một cuộc điều tra toàn cầu về tin tặc với các cơ quan thực thi pháp luật và tất cả các nền tảng giao dịch. Đồng thời, Harmony cũng đã tăng số tiền bị hacker đánh cắp từ 1 triệu USD ban đầu lên 10 triệu USD. Tuy nhiên, tin tặc đã rửa số tiền bị đánh cắp thông qua Tornado Cash.

Kể từ ngày 30 tháng 6, số tiền bị đánh cắp đã được phân tích thông qua Nền tảng phán quyết và nghiên cứu thông minh trường hợp tiền tệ ảo Lianbizhui.Toàn bộ DeFi TVL đã giảm từ 279,8 tỷ đô la vào đầu tháng 1 xuống còn 82,4 tỷ đô la vào cuối tháng 6, giảm 70,5%

dữ liệu năm

Toàn bộ DeFi TVL đã giảm từ 279,8 tỷ đô la vào đầu tháng 1 xuống còn 82,4 tỷ đô la vào cuối tháng 6, giảm 70,5%

Toàn bộ DeFi TVL đã giảm từ 279,8 tỷ USD vào đầu tháng 1 xuống còn 82,4 tỷ USD vào cuối tháng 6, mức giảm 70,5% trong nửa năm.Trong số đó, mức giảm tích lũy của TVL trong tháng 5 và tháng 6 lên tới 63,2% và giảm 44,5% chỉ trong vài ngày từ ngày 5 tháng 5 đến ngày 13 tháng 5.

Từ góc độ toàn diện về số lượng thiệt hại trong các hoạt động tấn công và số lượng các cuộc tấn công, tháng 3 và tháng 4 là những tháng có mức độ hoạt động của hacker cao nhất và TVL trong tháng 3 và tháng 4 cũng ở mức tương đối cao trong nửa năm . Trong tháng 5, TVL giảm mạnh, tần suất bị hack và số tiền bị đánh cắp giảm đáng kể.Mặc dù TVL trong tháng 1 ở mức cao nhất trong nửa năm, nhưng hoạt động của tin tặc tương đối thấp. Bằng cách so sánh dữ liệu vào tháng 1 năm 2021, chúng tôi thấy rằng tổn thất do hoạt động hack vào tháng 1 năm 2021 là khoảng 250.000 đô la Mỹ, cũng là mức tương đối thấp trong cả năm. Do đó, nguyên nhân hoạt động của hacker thấp vào tháng 1 năm 2022 có thể là do tháng 1 không phải là mùa của các hoạt động hack.

Mặc dù TVL trong tháng 1 ở mức cao nhất trong nửa năm, nhưng hoạt động của tin tặc tương đối thấp. Bằng cách so sánh dữ liệu vào tháng 1 năm 2021, chúng tôi thấy rằng tổn thất do hoạt động hack vào tháng 1 năm 2021 là khoảng 250.000 đô la Mỹ, cũng là mức tương đối thấp trong cả năm. Do đó, nguyên nhân hoạt động của hacker thấp vào tháng 1 năm 2022 có thể là do tháng 1 không phải là mùa của các hoạt động hack.

Mô tả hình ảnh

Các cuộc tấn công DeFi và xu hướng TVL trong nửa đầu năm

Mô tả hình ảnh

Tin tặc đã rửa 1.140,7 triệu đô la thông qua Tornado Cash

Dữ liệu sáu

Tin tặc đã rửa 1.140,7 triệu đô la thông qua Tornado Cash

Mô tả hình ảnh

Mặc dù công nghệ trộn tiền giúp tăng cường tính ẩn danh và quyền riêng tư của các giao dịch trên chuỗi, nhưng nó cũng bị lạm dụng cho tội phạm như rửa tiền.Công nghệ trộn tiền làm tăng khó khăn trong việc theo dõi tài sản tội phạm trên chuỗi. Tuy nhiên, khi tin tặc sử dụng Tornado Cash để rửa tiền, một số dấu vết dữ liệu cũng sẽ bị lộ. Thông qua tổng hợp số tiền của tất cả các địa chỉ và số tiền được chuyển từ tin tặc sang Tornado và tổng hợp số tiền của tất cả các địa chỉ đích và số tiền được chuyển ra khỏi Tornado Cash mỗi đơn vị thời gian, số lượng tiền tệ hỗn hợp được nạp vào và số lượng tiền tệ hỗn hợp được rút ra được liên kết Đối sánh, để đạt được việc theo dõi các khoản tiền bất hợp pháp bằng cách liên kết địa chỉ gửi vàng của tin tặc với địa chỉ rút vàng.

Thống kê cho thấy trong nửa đầu năm 2022, tổng cộng 95.000 Ethereum (khoảng 2,34 tỷ USD) đã được gửi vào Tornado Cash. Nói cách khác, ít nhất 48,7% số tiền gửi vào Tornado Cash đến từ tin tặc. Điều này giả định rằng các chủ sở hữu còn lại sử dụng Tornado Cash làm công cụ bảo mật giao dịch. Trên thực tế, một số lượng đáng kể người sử dụng Tornado Cash để thực hiện các giao dịch tội phạm tiền điện tử, dữ liệu đó không nằm trong phạm vi của báo cáo này.

Thành Đô Liên Nam đồng thờiCam kết toàn chuỗi hệ thống nâng cao năng lực phòng chống tội phạm tiền ảo, cung cấp toàn bộ chuỗi dịch vụ + sản phẩm phòng chống tội phạm tiền ảo, có kinh nghiệm trong quy định và chống rửa tiền ảo,Khoảng 71% các cuộc tấn công xảy ra trong lĩnh vực DeFi

Dữ liệu bảy

Khoảng 71% các cuộc tấn công xảy ra trong lĩnh vực DeFi

Mô tả hình ảnh

Đầu tiên, DeFi hoạt động rất tích cực. Là lĩnh vực blockchain nóng nhất, DeFi đã thu hút nhiều sự chú ý kể từ khi ra đời. Hoạt động càng cao, càng có nhiều dự án và người dùng tham gia thì càng dễ trở thành mục tiêu của tin tặc.

Vậy tại sao DeFi lại trở thành khu vực bị tin tặc tấn công nặng nề nhất trong thế giới web3.0?

Thứ ba, logic kinh doanh của DeFi rất phức tạp. Ngày nay, hệ sinh thái DeFi ngày càng lớn hơn và độ phức tạp trong kinh doanh của nó ngày càng cao hơn. Và do khả năng kết hợp mạnh mẽ giữa các sản phẩm DeFi, điều này đã dẫn đến tính thanh khoản và chia sẻ tài sản giữa các sản phẩm DeFi khác nhau. Do đó, sự phức tạp của logic nghiệp vụ DeFi, cùng với sự kết hợp và tương tác giữa các sản phẩm, có khả năng dẫn đến một số vấn đề bảo mật, sẽ bị tin tặc nắm giữ.

Hệ sinh thái DeFi

Mô tả hình ảnh

Có 10 sự cố bảo mật lớn trong lĩnh vực NFT, với thiệt hại khoảng 64,9 triệu USD;

Kiểm tra bảo mật bên ngoài toàn diện, mã tuân thủ các thông số kỹ thuật bảo mật và thử nghiệm mô phỏng trong môi trường mạng thử nghiệm là những cách triển khai tốt nhất để đảm bảo tính bảo mật của các dự án DeFi.

Đối với các vấn đề về thông số kỹ thuật cấp mã được đề cập ở trên, nếu kiểm tra bảo mật của bên thứ ba được chấp nhận trước khi dự án trực tuyến, thì vấn đề có thể bị tiêu diệt ngay từ trong trứng nước. Có lẽ chính vì sự cân nhắc này mà nhiều dự án DeFi đã dần bắt đầu nhận ra tầm quan trọng của kiểm tra bảo mật và chọn các công ty bảo mật có trình độ cao để thực hiện chúng.

dữ liệu tám

Có 10 sự cố bảo mật lớn trong lĩnh vực NFT, với thiệt hại khoảng 64,9 triệu USD;

Mô tả hình ảnh

DiscordCâu cá

Bảo mật hợp đồng NFT

Trong nửa đầu năm, đã xảy ra một số sự cố bảo mật liên quan đến hợp đồng NFT, nguyên nhân chính là do không tiến hành kiểm toán bảo mật toàn diện. Vậy những vấn đề phổ biến nào sẽ phát sinh trong quá trình kiểm toán hợp đồng NFT?

Khi kiểm toán các hợp đồng chuỗi NFT, nhóm kiểm toán Thành Đô Lian nhận thấy rằng các vấn đề chính của hợp đồng NFT bao gồm các loại sau:

(1) Giả mạo và tái sử dụng chữ ký:

Dữ liệu chữ ký thiếu xác minh thực thi lặp lại (ví dụ: thiếu nonce của người dùng), dẫn đến khả năng sử dụng lại dữ liệu chữ ký để đúc NFT;

Việc kiểm tra chữ ký là không hợp lý (ví dụ: người ký không được kiểm tra địa chỉ bằng 0), để bất kỳ người dùng nào cũng có thể chuyển séc để đúc tiền;

(2) Lỗ hổng logic:

Người quản lý hợp đồng có thể đúc tiền thông qua các phương pháp đặc biệt như phát hành riêng lẻ mà không bị giới hạn bởi tổng số lượng, dẫn đến lượng NFT thực tế vượt quá mong đợi;

Khi đấu giá NFT, người chiến thắng có thể dựa vào cuộc tấn công theo thứ tự nhận giao dịch để sửa đổi giá đấu giá, để người chiến thắng trong cuộc đấu giá có thể nhận được NFT với giá thấp;

(3) Tấn công vào lại ERC721&ERC1155

Khi hợp đồng sử dụng chức năng thông báo chuyển nhượng (chức năng onERC721Received), hợp đồng NFT sẽ chủ động gửi lệnh gọi đến hợp đồng mục tiêu của quá trình chuyển nhượng, điều này có thể dẫn đến các cuộc tấn công vào lại;

(4) Phạm vi ủy quyền quá lớn

Người dùng chỉ cần ủy quyền một mã thông báo duy nhất khi đặt cược hoặc đấu giá, nhưng hợp đồng yêu cầu ủy quyền _operatorApprovals. Sau khi người dùng ủy quyền thành công, sẽ có nguy cơ NFT bị đánh cắp.

(5) Thao túng giá

Giá của NFT phụ thuộc vào số lượng mã thông báo được giữ trong một hợp đồng nhất định, khiến những kẻ tấn công sử dụng các khoản vay nhanh để tăng giá mã thông báo, khiến các NFT cầm cố bị thanh lý bất thường.

Đánh giá từ các sự cố bảo mật hợp đồng NFT xảy ra trong nửa đầu năm, các lỗ hổng thường xuất hiện trong quá trình kiểm toán cũng sẽ bị tin tặc khai thác trong thực tế. Do đó, việc tìm kiếm các công ty bảo mật chuyên nghiệp để kiểm toán các hợp đồng NFT cũng là điều cần thiết.

bảo mật ví

Tầm quan trọng của bảo mật ví trong chuỗi khối là hiển nhiên. Đối với người dùng cá nhân, một số lượng lớn tài sản ví của người dùng đã bị đánh cắp do các sự cố lừa đảo thường xuyên xảy ra trong năm nay; đối với các bên dự án, cũng đã có nhiều sự cố liên quan đến rò rỉ khóa riêng năm nay. , dẫn đến trộm cắp một số lượng lớn tài sản của dự án. Phần sau đây sẽ giới thiệu các cuộc tấn công lừa đảo gây nguy hiểm cho người dùng cá nhân và các sự cố rò rỉ khóa cá nhân gây nguy hiểm cho các bên tham gia dự án.

đánh bắt cá

Các phương thức lừa đảo hiện nay thường lừa người dùng cấp quyền cho ví bằng nhiều cách khác nhau, do đó gây nguy hiểm cho tính bảo mật của ví. Sau đây là một số phương thức lừa đảo phổ biến:

airdrop giả

Loại trang web lừa đảo này chủ yếu sử dụng các phương pháp như airdrop giả để lừa người dùng truy cập trang web lừa đảo. Sau khi người dùng kết nối với ví sẽ có các nút như "CLAIM NOW" để dụ người dùng nhấp vào, sau khi người dùng nhấp vào thì địa chỉ đen của trang web lừa đảo sẽ được cấp quyền.

Lừa người dùng điền vào các cụm từ dễ nhớ

Loại trang web lừa đảo này chủ yếu lừa người dùng nhấp vào trang web được kết nối với ví hoặc những nơi khác, sau đó bật lên một trang web giả mạo, nhắc người dùng thông tin như "Phiên bản trình cắm MetaMask cần được nâng cấp" . Nếu người dùng tin tưởng và điền vào bản ghi nhớ ví của mình, khóa cá nhân của người dùng sẽ được tải lên máy chủ của kẻ tấn công và ví của người dùng sẽ bị đánh cắp.

Ví giả APP

Loại ví APP giả này thường lừa người dùng tải xuống theo 3 cách sau: Cách thứ nhất là lừa người dùng truy cập trang web chính thức giả mạo của ví để tải xuống bằng cách mua không gian quảng cáo trên công cụ tìm kiếm; cách thứ hai là gửi email, áp phích cho nạn nhân... để dụ người dùng tải xuống ví giả, cách thứ ba là sử dụng nhân viên xã hội để lấy lòng tin của nạn nhân trước, sau đó lừa họ tải xuống ví APP giả.

DiscordCâu cá

Plugin chống lừa đảo

Làm thế nào để ngăn chặn hiệu quả các cuộc tấn công lừa đảo?

Plugin chống lừa đảo

Do sự phổ biến của các dự án NFT, các trang web lừa đảo khác nhau xuất hiện vô tận và rất khó để ngăn chặn chỉ bởi chính người dùng. Do đó, người dùng nên cài đặt các plugin chống lừa đảo trên trình duyệt của mình. Loại plug-in này có thể xác định xem trang web3 mà người dùng hiện đang truy cập có phải là một trang web độc hại chẳng hạn như lừa đảo hoặc lừa đảo hay không.

phần kết

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

phần kết

Đánh giá từ xu hướng thị trường của toàn bộ thị trường tiền điện tử trong nửa đầu năm, xu hướng chung về sự phát triển của các đường đua chính như DeFi, NFT và GameFi tiếp tục giảm. Tổng khối lượng khóa của DeFi đã giảm từ 279,8 tỷ đô la Mỹ vào đầu tháng 1 xuống còn 82,4 tỷ đô la Mỹ vào cuối tháng 6, giảm 70,5% trong nửa năm.Phân tích cho thấy có một mối tương quan nhất định giữa tần suất tấn công của tin tặc và xu hướng thị trường.Với việc TVL giảm mạnh vào tháng 5 và tháng 6, các vụ hack đã giảm so với các tháng trước và nhiều tiền hơn trên chuỗi sẽ thu hút nhiều tin tặc hơn.

Trong nửa đầu năm, đã có 7 cuộc tấn công cầu xuyên chuỗi, với tổng thiệt hại là 1,13599 tỷ đô la Mỹ. Các phương thức tấn công của cầu nối chuỗi chủ yếu là khai thác lỗ hổng hợp đồng, rò rỉ khóa riêng và lỗi chương trình ngoại tuyến.Đối với phía dự án, kiểm toán bảo mật, kiểm soát rủi ro ngoại tuyến, kiểm tra thường xuyên máy chủ chữ ký, xem xét nghiêm ngặt người ký, đánh giá lại bảo mật khi phiên bản được cập nhật và xây dựng chương trình tiền thưởng lỗi đều là những phương tiện hiệu quả để đảm bảo hoạt động an toàn của chéo -Dự án cầu chuỗi.

Trong số các sự cố tấn công trong nửa đầu năm, khoảng 53% phương thức tấn công là khai thác lỗ hổng hợp đồng. Bằng cách so sánh các lỗ hổng phổ biến trong quá trình kiểm toán với các lỗ hổng bị khai thác thực tế, có thể thấy rằng,Hầu hết các lỗ hổng có thể được phát hiện trong giai đoạn kiểm tra, chẳng hạn như lỗ hổng logic, lỗ hổng truy cập lại, v.v.thành đôLianan Chain Bitest-Nền tảng xác minh chính thức hợp đồng thông minhTrong giai đoạn phát triển hợp đồng dự án, mã có thể được xác minh chính thức một cách tự động, bao gồm phát hiện đặc tả mã, phát hiện đặc tả tiêu chuẩn, phát hiện lệnh gọi chức năng và phát hiện bảo mật logic nghiệp vụ.

Nửa đầu năm có 5 sự cố bảo mật thiệt hại hơn 100 triệu, điều đáng mừng là 5 dự án bị tấn công này đều đưa ra biện pháp khắc phục sau một thời gian và hoạt động trở lại. Ngược lại, trong các sự cố vừa qua, một số bên dự án vừa và nhỏ với số tiền lớn sẽ khó khởi động lại sau một cuộc tấn công lớn.https://vaas.lianantech.com

Ngoài ra, 26,6% các cuộc tấn công flash loan gây thiệt hại 332,91 triệu đô la Mỹ, ngoài việc áp dụng một số biện pháp như định giá trung bình theo thời gian (TWAP), cơ chế cập nhật giá tần suất cao hơn và logic quản trị chặt chẽ hơn, v.v. cũng là những công cụ để theo dõi các khoản vay chớp nhoáng trong thời gian thực.

Trong nửa đầu năm 2022, khoảng 1,1407 tỷ đô la tiền bị đánh cắp đã bị tin tặc chuyển sang Tornado Cash, chiếm khoảng 60% tổng thiệt hại. Mặc dù công nghệ trộn tiền tệ tăng cường tính ẩn danh và quyền riêng tư của các giao dịch trên chuỗi, nhưng nó cũng bị tin tặc lạm dụng cho các tội danh như rửa tiền.Trong các trường hợp trước đây, Thành Đô Lianan đã phân tích thành công dấu vết dữ liệu của hacker và theo dõi Tornado Cash nhiều lần.Là công ty bảo mật chuỗi khối hàng đầu thế giới chuyên xây dựng hệ sinh thái bảo mật chuỗi khối và cũng là công ty đầu tiên áp dụng công nghệ xác minh chính thức vào bảo mật chuỗi khối, Thành Đô Lianan đã thiết lập quan hệ đối tác với các công ty chuỗi khối hàng đầu trong và ngoài nước. đã cung cấp các dịch vụ triển khai phòng thủ và kiểm toán bảo mật cho hơn 2.000 hợp đồng thông minh, hơn 100 nền tảng chuỗi khối và hệ thống ứng dụng đích trên khắp thế giới. Nền tảng dịch vụ bảo mật chuỗi khối một cửa "Lianbian" tự phát triển có thể cung cấp kiểm tra an ninh, bảo vệ an ninh, giám sát an ninh, cảnh báo an ninh, tư vấn bảo mật và vòng đời đầy đủ khác cho các cơ quan quản lý thực thi pháp luật, tổ chức tài chính, doanh nghiệp chuỗi khối, v.v. các giải pháp.Tornado Cashđưa vào danh sách xử phạt.

Là công ty bảo mật chuỗi khối hàng đầu thế giới chuyên xây dựng hệ sinh thái bảo mật chuỗi khối và cũng là công ty đầu tiên áp dụng công nghệ xác minh chính thức vào bảo mật chuỗi khối, Thành Đô Lianan đã thiết lập quan hệ đối tác với các công ty chuỗi khối hàng đầu trong và ngoài nước. đã cung cấp các dịch vụ triển khai phòng thủ và kiểm toán bảo mật cho hơn 2.000 hợp đồng thông minh, hơn 100 nền tảng chuỗi khối và hệ thống ứng dụng đích trên khắp thế giới. Nền tảng dịch vụ bảo mật chuỗi khối một cửa "Lianbian" tự phát triển có thể cung cấp kiểm tra an ninh, bảo vệ an ninh, giám sát an ninh, cảnh báo an ninh, tư vấn bảo mật và vòng đời đầy đủ khác cho các cơ quan quản lý thực thi pháp luật, tổ chức tài chính, doanh nghiệp chuỗi khối, v.v. các giải pháp.