以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > BNB > Info

OLE:近4億美元損失,Solana的黑客攻擊都有什么共同點?

Author:

Time:1900/1/1 0:00:00

自一年前以來,Solana生態系統實現了超高速增長,同時見證了多次黑客攻擊(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),這些黑客攻擊總共造成了近4億美元的損失。重要的是,這些黑客攻擊(SlopeWallet除外)大多是由于智能合約漏洞,即鏈上協議的編碼缺陷:Wormhole:3.2億美元被盜,原因是缺少帳戶驗證;CashioApp:由于缺少賬戶驗證,導致5000萬美元被盜;CremaFinance:1000萬美元被盜(返還800萬美元),原因是缺少賬戶驗證;Nirvana:通過閃貸操縱價格,350萬美元被盜;Slope錢包:由于助記詞被泄露,400萬美元被盜。在本文中,我們回顧了這些攻擊的本質,并旨在找到有效的解決方案,以防止未來發生此類攻擊。這些黑客有什么共同之處?

馬斯克推文配圖中含“Floki”,相關Meme Token短時漲近40%:2月15日,馬斯克發布系列推文介紹關于“Twitter新CEO”,并配有柴犬圖片。由于圖片中帶有“Floki”字樣,相關Meme Token FLOKI短時漲近40%,現報價0.00003123美元。[2023/2/15 12:08:00]

1.幾乎所有黑客(SlopeWallet除外)都精心設計了一個或多個假賬戶。Wormhole:黑客創建了兩個假的sysvar帳戶來跳過密鑰驗證。CashioApp:黑客創建了8個假賬戶來通過有效性檢查。CremaFinance:黑客創建了一個虛假的帳戶,并使用閃貸竊取費用。Nirvana:黑客精心制作了一個閃貸賬戶來操縱代幣價格。SlopeWallet:黑客通過泄露的助記詞直接獲取了用戶錢包的私鑰。2.所有黑客攻擊都涉及多次交易Wormhole:整個攻擊用了6個交易來完成:第一個tx創建第一個假sysvar帳戶,最后一個tx調用complete_wrapped。CashioApp:整個攻擊從創建所有的假賬戶到發送最后的攻擊交易,期間進行了超過10筆的交易。CremaFinance:每次攻擊至少需要進行3筆交易;創建一個虛假的帳戶,部署一個閃貸程序,發起竊取費用的攻擊;此外,黑客還多次發起10+筆閃貸交易,從不同的代幣池中進行竊取。Nirvana:攻擊至少進行了2筆交易;部署一個精心設計的閃電貸款接收程序,并調用Solend閃貸。SlopeWallet:整個攻擊抽干了9000多個錢包,涉及9000多個SOL或SPL代幣轉賬交易。3.所有攻擊至少持續幾分鐘(幾個小時甚至幾天)Wormhole:從創建第一個假sysvar賬戶的tx到完成轉賬的tx之間的時間跨度為6個小時。CashioApp:黑客的第一個假賬戶是在交易發生前5天創建的。CremaFinance:這個假賬戶是在第一次攻擊前一個多小時創建的。Nirvana:兩個交易(部署閃貸接收方和調用Solend閃貸)之間的時間窗口跨度為4分鐘。Slope錢包:廣泛的攻擊持續至少8個小時。4.最大的損失是由于缺少帳戶驗證前三次黑客攻擊(Wormhole、CashioApp和CremaFinance)的根源在于缺少正確的賬戶驗證。無論是否是巧合,這些攻擊都造成了很大的經濟損失。5.閃貸牽涉到兩次黑客攻擊CremaFinance和Nirvana的黑客攻擊都涉及直接閃貸交易,而且都是通過Solend進行的。在CremaFinance,閃貸被用來引導存款流動性。在Nirvana中,其內部價格預言機被閃貸操縱。如何防止未來類似的黑客攻擊?

6月份美股上市礦業公司供賣出約1.46萬枚比特幣,環比增長近400%:7月16日消息,Arcane Research數據顯示,6月份美股上市礦業公司賣出了大約1.46萬枚比特幣,環比4月份增長近400%,同期僅挖出了3900枚比特幣。其中Core Scientific和Bitfarms賣出比特幣的數量最多,此外Marathon和Hut 8在5月和6月并未賣出,故現在持有最多的比特幣。[2022/7/16 2:17:36]

根據上面總結的這些攻擊的特點,我們推薦以下的安全措施:1.預部署:驗證智能合約的所有輸入帳戶

在編寫Solana智能合約時,要時刻牢記所有輸入都可能被攻擊者偽造,包括所有賬戶和外部程序(即用戶錢包賬戶、PDA賬戶和其他智能合約)。Solana的編程模型將代碼和數據解耦,因此程序中使用的所有帳戶都必須作為數據輸入傳遞。在幾乎所有情況下,都應該驗證:賬戶所有權賬戶簽名者帳戶之間的關系(或邏輯約束)根據協議邏輯,還應該檢查:如果任何內部價格預言機操縱閃電貸款(與大量轉移),需增加約束以防止差異。如果可以計算任何異常狀態(如費用或獎勵),需添加約束以防止差異。2.部署后:主動使用實時威脅監控

IDC:2020年全球區塊鏈支出將達到近43億美元:國際數據公司(IDC)指出,與2019新型冠狀病疫情前的預測相比,2020年區塊鏈支出將會下降。造成這種下降的原因是,近幾個月來,由于疫情,IT支出顯著減少,經濟增長乏力。預計到2020年,全球用于區塊鏈解決方案的支出將接近43億美元,比2019年的27億美元增長了57.7%。

IDC預計,在2018-2023年期間,區塊鏈的支出將溫和增長,亞太地區5年復合年增長率(CAGR)為55.3%,全球為57.1%——到2023年,全球的支出將達到144億美元。(IDC官網)[2020/6/23]

由于所有這些黑客攻擊都涉及跨越至少幾分鐘或幾小時的多個交易,因此可以提前主動檢測可疑交易,并在中間遏制攻擊。這是Solana的獨特屬性,它允許鏈上威脅監控技術作為一種防御解決方案,來幫助有效地預防和阻止安全攻擊:原則上,威脅監控解決方案可能會有幫助:監控SOL或SPL代幣的大規模轉移;監控針對你的智能合約的閃貸交易;通過升級依賴程序來監控潛在的漏洞;監控異常狀態(例如,計算費用);監控往返交易事件例如deposit-claim-withdraw在單個tx中);監控來自同一簽名者的重復交易;任何針對協議特定屬性的自定義監控。如果任何被監控的交易導致了在隨后的黑客攻擊中使用的異常狀態,及早發現它們可能有助于阻止黑客攻擊。原地址

動態 | 江蘇南京查獲近4000臺礦機盜電挖比特幣:據現代快報消息,最近江蘇南京鎮江破獲了一起盜電大案,犯罪嫌疑人使用近4000臺挖礦設備,盜電價值近2000萬元,這是江蘇破獲盜電數額最大的案件。據悉鎮江組織100余名警力,對先期查明的9處礦機放置點和4處主要嫌疑人居住地同時展開抓捕行動,當場抓獲涉案人員22人,查封礦機3000余臺,并現場查獲了盜電設施。[2019/7/12]

Tags:SOLOLEFINAANCMSOL價格blackholecoinWorld Stream FinanceInvox Finance

BNB
以太坊:ConsenSys:機構DeFi與以太坊的未來

本周是以太坊歷史上非常重要的一周。自上線以來最令人期待的升級,即轉向權益證明共識機制,已在9月15日完成.

1900/1/1 0:00:00
Curve:下一個市場敘事?為什么Aave、Curve等協議都在創建自己的穩定幣?

$GHO和$crvUSD的推出近在咫尺,那么特定于協議的穩定幣是下一個大敘事嗎?在所有的加密貨幣類型中,穩定幣仍然擁有最大的產品市場契合度.

1900/1/1 0:00:00
HTT:詳談DAO的法律結構:從美國CFTC對DAO發起訴訟說起

OokiDAO近日被訴訟,而在DAO里投過票的成員可能需要共同承擔責任。這一情況令人震驚,但它早就在眾多法律人士的預期當中.

1900/1/1 0:00:00
SHI:Shiba Inu生態指南

August29,2022MikeAntolinDataSource:FootprintAnalytics-ShibaInuDashboard2020年8月.

1900/1/1 0:00:00
MEV:Krypital Group:我們應該警惕「MEV」么?

概述:你發現了一個非常好的投資機會,你打開Uniswap,輸入交易金額,點擊確認,耐心的等待交易完成。大概等待了十幾秒,交易成功。你興奮的點開錢包,卻發現收到的代幣比預期的少了很多.

1900/1/1 0:00:00
EGR:視頻 | 2022年穩定幣市值變化及解讀

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報\n要點:截至9月1日,穩定幣市值總規模達到1535億美元,占加密總市值的14.9%.

1900/1/1 0:00:00
ads