2020攻擊事件總結:900億人民幣不翼而飛,2021我們如何遠離黑客?
本文约4704字,阅读全文需要约19分钟
CertiK安全專家盤點了2020年較為典型的多個區塊鏈項目,分析了其受攻擊的原因和黑客使用的攻擊方式,以作為業內安全事故警示的參考。
“如果那東西看上去像鴨子,走起路來也像鴨子,我們就說它是鴨子。”
如同我們每一個人,很多時候我們對外界釋放出的信息都會再通過外界評價反饋和影響到自身。這個道理不僅僅應用於某一個特殊領域,相反,它在所有事情上都可以找到痕跡。
區塊鏈發展日久,但對於很多人來說,它依舊是一個暗藏著騙局、跑路、黑客的法外之地。
人們心中的認知很難被其他信息所影響,當然,這也的確需要歸因於目前區塊鏈項目所受的攻擊愈發猛烈。在鋪天蓋地的黑客事件中,想要扭轉人們對於區塊鏈的不安和抗拒只有依靠提高區塊鏈的安全標準,建立安全健康的區塊鏈生態。同理,當整個區塊鏈不再受負面新聞所纏身時,這個“鴨子”也會變成有利的那一隻。經統計,2020年傳統領域的網站及軟件安全率達到了97.5%,其中損失最大的一筆資產僅僅是接近5萬人民幣。
而區塊鏈領域內,智能合約及相關節點的安全率只有89%,且損失往往處於600萬至6,000萬人民幣之間,這是需要幾個大卡車都運不下的天價資產。一次來自於區塊鏈領域的損失資產,也許就是傳統網絡損失資產的千倍以上。因此,CertiK安全專家盤點了2020年較為典型的21個區塊鏈項目,分析了其受攻擊的原因和黑客使用的攻擊方式,以作為業內安全事故警示的參考。在分析的這23個區塊鏈項目中,其中實現邏輯錯誤所導致的攻擊事件8起,價格預言機操縱事件4起,項目方欺詐事件3起,重入攻擊事件3起,閃電貸攻擊事件2起,錢包攻擊事件1起。
表1:2020年區塊鏈重大事故項目列表
一級標題
Cover Protocol
2020年12月28日晚, CertiK安全驗證團隊發現Cover Protocol發生代幣無限增發漏洞攻擊。Warp Finance
2020年12月17日,攻擊者利用Warp Finance項目使用的oracle計算質押的LP代幣資產價格錯誤的漏洞,從Warp finance項目中獲利約1462枚ETH代幣,總價值約615萬人民幣。Compounder.Finance
2020年12月1日下午3點,CertiK安全技術團隊通過Skynet發現Compounder.Finance項目智能合約發生數筆大量代幣的交易。SushiSwap
Compound
Pickle Finance
2020年11月22日凌晨2點37分,CertiK安全驗證團隊通過Skynet發現Pickle Finance項目遭到攻擊。Origin Protocol
Cheese Bank
2020年11月16日,DeFi項目Cheese Bank遭到閃電貸攻擊。Value DeFi
2020年11月15日,DeFi項目Value Defi遭到閃電貸攻擊。Eminence
GemSwap
Soda Finance
2020年9月21日,CertiK安全研究團隊發現soda區塊鏈項目中存在智能合約安全漏洞。BASED
2020年8月14日,流動性挖礦項目Based出現初始化失誤造成的漏洞。YAM
NUGS
2020年8月11日,CertiK安全研究團隊發現基於以太坊的代幣項目NUGS出現安全問題。Opyn
2020年8月4日,DeFi項目Oypn發生攻擊事件。攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。Cashaa
第一次攻擊發生於7月10日北京時間晚6點57分,Cashaa的比特幣錢包之一被盜用並向攻擊者賬戶轉移了1.05977049個BTC。根據Cashaa報告中描述,攻擊者通過控制受害者電腦,操作受害者在Blockchain.info上的比特幣錢包,向攻擊者賬戶轉移BTC。Balancer
2020年6月29日凌晨2點03分,攻擊者利用從dYdX閃電貸中藉到的WETH,大量買進STA代幣,使得STA與其他代幣的兌換價格急劇上升。然後使用最小量的STA(數值為1e-18)不斷回購WETH,並在每次回購後,利用Balancer的合約漏洞重置其內部STA的數量(數值為1e-18),以此穩住STA的高價位。攻擊者不斷利用漏洞,用高價的STA將某一種代幣完全買空(WETH,WBTC, LINK和SNX),最終用WETH償還閃電貸,並剩餘大量STA,WETH,WBTC, LINK和SNX,並通過uniswap將非法所得轉移到自己賬戶中。繼6月29日凌晨2點CertiK捕獲Balancer攻擊事件後,2020年6月29日20點與23點23分,Balancer項目再次遭到攻擊。攻擊者從dYdX閃電貸中藉到代幣並鑄幣後,通過uniswap閃貸獲得cWBTC和cBAT代幣,然後將藉得的代幣在Balancer代幣池中大量交易,從而觸發Compound協議的空投機制,獲得空投的COMP代幣,再使用Balancer有漏洞的gulp()函數更新代幣池數量後,取走所有代幣並歸還閃電貸。Hegic
Lendf.Me
Uniswap
總結
從上文的數據統計裡可以看出,這21次重大攻擊事件,損失總金額高達約13億人民幣。這13億人民幣被包括價格預言機操縱、重入攻擊、實現邏輯錯誤、閃電貸攻擊、項目方欺詐、錢包攻擊在內的各種攻擊方式所盜取,讓人防不勝防。計算機領域中早有統計,平均每1000行代碼中,會有1-25個bug。也就是說,這個概率的區間是千分之一(0.1%)至百分之二點五(2.5%)。獲取答案後可以在CertiK官方微信公眾號底部對話框留言哦。
如需觀看本文視頻講解,請於微信視頻號右上角搜索【CertiK】
區塊鏈領域內,任何一個小bug都可能會給項目或者投資者造成無法挽回的損失。
想要改變“鴨子”的偏見和刻板印象,建立起安全有保障的區塊鏈健康生態,離不開每一個項目和個人對於安全的堅持與付出。
安全審計對於區塊鏈項目來說,其重要性毋庸置疑,然而經過靜態審計的項目也並非可以百分之百的保證其靜態與動態安全。CertiK安全專家統計,業內經過審計的智能合約及節點的安全率是92.6%,但是經過CertiK使用形式化驗證技術審計過後的安全率可以高達99.6%!剩下的0.4%大多是由於智能合約在交互過程中產生了變動,從而導致靜態審計失效。在這個時候,一個隨時可以監測安全狀況的安全預言機以及事故發生後可以獲得理賠的去中心化資金池將是所有項目最堅固的後盾與保障。 
