区块链安全公司CertiK:注意DeFi中的4大安全风险

时间:2021-07-16 18:29来源:www.adsbei.com作者:未知点击:

导读:
扫描关注公众号

去中心化的金融中,一些漏洞的复杂程度非常高,但状况并不一直这样。有时,智能合约中的一个我们码错误就会变成一场大灾难,致使价值数百万的资产遭到损害。

2021年5月8日,Value 去中心化的金融 vSwap AMM的非50/50资金池让人借助,总共损失了约1100万USD。为了达成非50/50资金池,Value 去中心化的金融从是Bancor协议的 "BancorFormula.sol "复制了 "power() "函数。在power()函数的描述中,写到这个函数不支持"_baseN <_baseD "的状况。然而,不幸的是,Value 去中心化的金融就是如此用这个函数的。攻击者通过向该函数发送了一个精心制作的有效载荷,将少量的代币A交换成了代币B。

用闪电贷借入很多的代币A

密钥怎么样被泄露?

假如一个项目需要价格参考,它也需要小心,由于闪电贷可能会操纵价格。为了预防这样的情况发生,大家推荐使用时间加权平均价格。TWAP代表了一个代币在特定时间范围内的平均价格。假如攻击者在一个区块中操纵价格,它是不会干扰平均价格的。另一个建议是,用一个靠谱的链上价格预言机,如Chainlink。

滥用第三方协议和商业逻辑错误

对于代币合约来讲,假如可能的话,应防止允许铸造新的代币。但假如没这个可能,也要尽可能用合约或时间锁合约作为所有者,而不是EOA竞价推广账户。

编码错误

区块链安全公司CertiK:注意DeFi中的4大安全风险 区块链安全公司CertiK:注意DeFi中的4大安全风险

一些容易见到的编码错误包括:

然而,巨大的成功也随着着巨大的风险。黑客借助在不同层面暴露出来的漏洞,越发频繁地进行了漏洞攻击。这部分漏洞可以分为4个大类,大家将对这部分漏洞进行介绍,以使读者更好地知道与去中心化的金融有关的安全风险。

管理密钥的泄露

比如,2021年3月5日,P人工智能D互联网就遭受了因私钥管理不善而引发的 "铸币"攻击。P人工智能D代币合约是置于一个可升级的加盟之后的,也就是说,合约可以被修改和替换。加盟人的私钥被用来交换部署在加盟背后的代码,其中包含攻击过程中用的销毁和铸造功能的恶意代码。攻击者销毁了6000万现有些P人工智能D代币,然后为自己铸造了5900万代币。瞬时,P人工智能D代币价格从2.8USD跌至0.3USD,由于2,501,203个P人工智能D代币在Uniswap上遭到抛售,总价约为2,040以太币。攻击者非常可能是通过互联网钓鱼攻击入侵了管理员的机器。

自9个月前推出以来,Binance智能链已成为全球领先的去中心化的金融平台之一。现在,有超越600个项目在BSC上天天产生数千万的买卖。

修复代码:

缺少/不正确的变量值赋值

维持管理密钥的安全

项目应该安全地存储私钥,而不应该在PC设施上以纯文本形式存储管理密钥,或依靠MetaMask热钱包。大家推荐使用硬件钱包创建一个多签竞价推广账户。比如,对于一个五人团队,每一个团队成员都要有我们的硬件钱包。当他们试图发送特权买卖时,应该需要五个团队成员中至少有三个人签署该买卖,从而预防攻击者在获得其中一个密钥时就可以调用任何特权功能。

区块链安全公司CertiK:注意DeFi中的4大安全风险 区块链安全公司CertiK:注意DeFi中的4大安全风险

用靠谱的链上价格馈送

闪电贷是一种从Aave或DyDx等协议中借入很多资金以获得肯定成本的方法。其需要是,贷款需要在同一买卖中归还。假如没,贷款就会被退回。这部分贷款的通常借助步骤如下:

在去中心化的金融范围中还有很多其他类似的案例。2021年5月8日,一名攻击者通过借助集成在Rari Capital V2中的Alpha Homora V1的ib以太币池的功能,从Rari Capital 以太坊池中抽走了大约2600个以太币。Bearn Finance则在其 "BvaultsStrategy "合约中允许用B美元的提款金额来提取ibB美元,使得攻击者从池中移除去10,859,319 B美元。

Uranium Finance代码:

相较于前几种问题,此类漏洞更难发现,在用与任何第三方协议通信的项目时,都要小心行事。大家不主张盲目地复制和部署开发职员不知道的代码。开发者应该在整理第三方协议并将其部署到生产中之前,充分知道第三方协议与分叉项目的工作方法。除此之外,大家还建议开发者先在测试网上部署他们的项目,并进行测试运行,以检查买卖记录的异常状况。

区块链安全公司CertiK:注意DeFi中的4大安全风险 区块链安全公司CertiK:注意DeFi中的4大安全风险

Value 去中心化的金融中的漏洞代码:

一个值得注意的例子是Uranium Finance的黑客事件,该事件发生在一个未经审计的合约上,最后致使了5700万USD的损失。这是因为在比较交换前后池中两个代币余额的乘积时,用了不同的乘数,使得攻击者可以从资金池中换出大多数代币,而本钱只有1 Wei。

其他项目,如Yearn Finance,运作方法则不同。Yearn Finance采集用户资金并将其投入第三方合约。它通过资金投入用户的代币获得收益。另一种状况是,一些项目从其他项目 "借用"代码。比如,PancakeSwap就引用了UniSwap的代码。在这两种状况下,假如第三方代码的源头有漏洞,那样用该代码的项目也会出现漏洞。假如一个项目的开发者不熟知他们所用的第三方代码,那样一旦漏洞被借助,就可能酿成大问题。

另一个例子是源于Value 去中心化的金融的黑客事件,该事件致使了1000万USD的损失。据了解,合约中的初始化函数漏掉了 "initialized = true",也就是说,其他人都可以重新初始化资金池并将自己设置为操作员。2021年5月5日,攻击者重新初始化了资金池,并将操作员的角色设置为了自己,然后用 "governanceRecoverUnsupported() "函数耗尽了池中的质押代币。

数字错误

借助一个依靠A/B买卖对价格的去中心化的金融项目

防止容易的编码错误

除此之外,遭受过闪电贷攻击的受害者还有不少,其中也不乏去中心化的金融范围的一些知名项目,包括PancakeBunny($4000万资金损失),Harvest Finance($2500万资金损失),Yearn($1100万资金损失),Value 去中心化的金融($700万资金损失),AKROPOLIS($200万资金损失),Cheese Bank,XToken,bZx等等。

区块链安全公司CertiK:注意DeFi中的4大安全风险 区块链安全公司CertiK:注意DeFi中的4大安全风险

很多项目,如PancakeSwap和UniSwap,是独立运行的。在PancakeSwap中,用户可以为收益耕种代币提供流动性,或者用一种代币交换另一种代币。用户不与其他第三方协议互动。

区块链安全公司CertiK:注意DeFi中的4大安全风险 区块链安全公司CertiK:注意DeFi中的4大安全风险

区块链安全公司CertiK:注意DeFi中的4大安全风险 区块链安全公司CertiK:注意DeFi中的4大安全风险

函数允许(修改)

上述两个例子都是由容易的编码错误引起的,而且都导致了重大损失。但,这部分种类的错误完全可以通过适合的同行评审、单元测试和安全审计来轻松消除。

闪电贷和价格操纵

区块链安全公司CertiK:注意DeFi中的4大安全风险 区块链安全公司CertiK:注意DeFi中的4大安全风险

伴随很多的BNB流入BNB-Bunny池,变量 "reserve0 "变得非常大。最后,因为价格计算存在缺点,攻击者共获得了697K Bunny。

偿还闪电贷

在DEX上将代币A换成代币B

日前,PancakeBunny就遭遇闪电贷攻击,攻击者共获得了114K 和697K Bunny。攻击者借助闪电贷操纵了PancakeSwap -BNB V1池的价格,致使很多的BNB流入BNB-Bunny池,从而使得该合约可以以虚高的BNB对Bunny的价格铸造Bunny。PancakeBunny则用以下函数来计算Bunny价格:

注:5月,去中心化的金融安全事故频发,据统计,约有15个项目遭到黑客攻击,包括Belt Finance、BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、 Nation、xToken、Rari Capital、Value 去中心化的金融、Spartan,涉及资金损失近3亿USD。值得注意的是,在这样多的攻击中,BSC上的去中心化的金融项目貌似成了黑客的集中攻击点,而闪电贷则是黑客主要的攻击方法。5月30日,Binance智能链官方还针对频发的安全事件发布twitter称:

此前,BSC还与安全公司CertiK举办了有关去中心化的金融风险的直播活动,本文将对其进行回顾以帮知道去中心化的金融中的4大安全风险。

拼写错误

在中,修改器限制了允许调用某些功能的人选。这部分功能一般是用于修改合约配置或管理智能合约中持有些资金的特权功能。假如攻击者获得了管理密钥,他们就可以完全控制智能合约,并窃取用户资金。

Value 去中心化的金融 代码:

近期已经接连发生超越8起针对BSC链上项目的闪电贷攻击,大家觉得目前有一个有组织的黑客团队盯上了BSC。大家呼吁所有DApp注意防范并采取防治手段。

同意安全审计并做好审计筹备

2021年4月19日,298万个EASY代币从EasyFi官方钱包转移到几个未知的钱包,这部分代币的当时价值为7500万USD。EasyFi开创者声称,黑客攻击是什么原因 "对开创者的机器/Metamask进行有针对性的攻击,以获得管理密钥"。

作为终端用户,在用个人资产与项目进行互动之前,有时非常难找出项目的详细情况。这个时候,便可以借用区块链安全企业的审计报告,来浏览项目的安全性。

总之,创建去中心化的金融项目可以非常有趣,但被黑客攻击就不好了。要使一个项目100%安全是困难的,但大家可以尽量地进行保护:

正确代码:

第一种可能性是通过计算机木马。攻击者可以用木马程序来窃取存储在计算机上的私钥。除此之外,攻击者也可以进行互联网钓鱼攻击,欺骗用户将私钥发送给攻击者。对于去中心化的金融项目而言,有时几个项目利益有关者将共享一个私钥。这就使得恶意的内部职员可以用该密钥调用管理功能,并将项目的转移到他们我们的钱包地址。

相关文章
推荐文章

热门标签

区块链入门教程_区块链技术攻略_区块链资料汇总_币圈网

Copyright © 2002-2021 币圈网 (http://yzycqj.com) 网站地图 TAG标签 备案号:

声明: 本站文章均来自互联网,不代表本站观点 如有异议 请与本站联系 本站为非赢利性网站