在刚刚发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。今天,我们就2022上半年Web3黑客常用的攻击方式展开分析,看看在所有被利用的漏洞中,哪些频率最高,以及如何防范。一、上半年因漏洞造成的总损失有多少?
据成都链安鹰眼区块链态势感知平台监控显示,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,约53%的攻击方式为合约漏洞利用。通过统计,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,总损失达到了6亿4404万美元。在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。
数据:上半年日本加密交易平台比特币交易份额升至80%:金色财经报道,Kaiko数据显示,今年前六个月,日本交易所的比特币交易量占比从69%上升至80%。今年6月,日本交易所的总交易量为40亿美元,较年初迄今增长了60%。
今年,比特币-日元(BTC/JPY)在比特币-法币交易对总交易量中的份额也从4%增加到11%。[2023/7/20 11:07:26]
二、哪些类型的漏洞曾导致重大损失?
2022年2月3日,Solana跨链桥项目Wormhole遭到攻击,累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞,这个漏洞允许黑客伪造sysvar帐户来铸造wETH。2022年4月30日,FeiProtocol官方的RariFusePool遭受闪电贷加重入攻击,总共造成了8034万美元的损失。本次攻击对项目方造成了无法挽回的损失,8月20号,官方表示项目正式关闭了。FeiProtocol事件回顾:
ZachXBT:慈善项目Pixel Penguin发生Rug Pull:5月31日消息,ZachXBT 发推称,艺术家 andrew wang 转推支持的由 Hopeexist1 创建的慈善项目 Pixel Penguin 发生 Rug Pull,该项目声称为帮助自己对抗癌症而筹集资金,此前 andrew wang 转发推特支持并称 Hopeexist1 是他的朋友。现 Hopeexist1 和 Pixel Penguin 社交账号都已删除,目前 Pixel Penguin 合约价值 11.7 万美元(61.686 ETH)。
对此,andrew wang 道歉,并称认为自己做了适当的尽职调查。[2023/5/31 11:49:29]
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例。攻击交易0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530攻击者地址0x6162759edad730152f0df8115c698a42e666157f攻击合约0x32075bad9050d4767018084f0cb87b3182d36c45被攻击合约0x26267e41CeCa7C8E0f143554Af707336f27Fa051#攻击流程1.攻击者先从Balancer:Vault中进行闪电贷。
Visa推出足球主题系列NFT Visa Masters of Movement:11月1日消息,FIFA 官方支付合作伙伴 Visa 宣布联合 Crypto.com 推出足球主题Visa Masters of Movement系列 NFT。据悉,该系列 NFT 将在 Crypto.com 以拍卖形式发售,以 Jared Borgetti、Tim Cahill、Carli Lloyd、Michael Owen 和 Maxi Rodriguez 共 5 位球员的经典瞬间作为创作灵感,拍卖所获金额将全数捐赠给英国慈善组织 Street Child United。[2022/11/1 12:05:33]
Devere CEO:年底加密货币市场将进一步波动,但不一定是坏事:金色财经报道,金融咨询和资产管理公司Devere Group首席执行官Nigel Green表示,年底前加密货币市场将进一步波动。然而,他强调“对于认真的投资者来说,这不一定被视为一件坏事”,并指出长期的加密货币投资者将通过购买廉价的数字货币来寻求从恐慌性卖家那里受益。
他说:“世界上一些最优秀的投资者始终将市场波动作为传统金融市场的主要买入机会--加密货币市场现在也不例外。如果有效和高效地使用,波动性可以成为一种极其强大的投资策略。”(Bitcoin.com)[2022/10/13 14:26:05]
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
WisdomTree准备推出允许用户持有代币化资产的移动应用程序:金色财经报道,WisdomTree准备推出一款允许用户持有代币化资产的移动应用程序,该公司即将推出的产品名为 WisdomTree Prime,于 1 月首次宣布,旨在提供基于去中心化金融原则的传统金融体验。资产管理公司希望在本季度末将该应用程序进行 Beta 测试,并于今年晚些时候在全国范围内推出。?
该公司的数字资产产品负责人 Jason Guthrie 透露,该应用程序最初将允许用户转移美元、黄金、国债、比特币和以太坊等代币化资产。然后,它寻求在明年第二季度之前推出固定收益和股票。(blockworks)[2022/5/24 3:37:11]
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
3.归还闪电贷,将攻击所得发送到0xe39f合约中
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞,被盗资金超过28380ETH。扩展阅读:“重入漏洞”如何破?损失约8034万美元,FeiProtocol被攻击事件分析三、审计过程中最常出现的漏洞有哪些?
在审计过程中最常见出现的总体来说分为四大类:1.ERC721/ERC1155重入攻击
在通过链必验形式化验证平台检测合约时不乏存在ERC721/ERC1155标准相关的业务合约,在ERC721中,ERC1155中存在分别存在一个onERC721Received()/onERC1155Received函数用于转账通知,类似于以太坊转账的fallback()函数,在相关的业务合约中使用ERC721/ERC1155标准中的_safeMint(),_safeTransfer(),safeTransferFrom()进行铸币或者转账时都会触发转账通知函数。如果在转账的目标合约中的onERC721Received()/onERC1155Received中包含了恶意代码,就可能形成重入攻击。除此之外在相关业务函数未严格按照检查-生效-交互模式设计,上述两点共同导致了漏洞的产生。2.逻辑漏洞
1)特殊场景考虑缺失:特殊场景往往是审计最需要关注的地方,例如转账函数设计未考虑自己给自己转账导致无中生有。2)设计功能不完善:存放费用的合约没有提取功能,借贷合约不含清算功能等。3.鉴权缺失
铸币、设置合约特殊角色、设置合约参数的相关函数没有鉴权,导致三方地址也可以调用。4.价格操控
Oracle价格预言机未使用时间加权平均价格;未使用价格预言机,直接使用合约中两种代币的余额比例作为价格等。四、实际被利用的漏洞有哪些?哪些漏洞能在审计阶段发现?
根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。通过成都链安链必验-智能合约形式化验证平台检测和安全专家人工检测审计,以上漏洞均能在审计阶段被发现,并且可由安全专家在做出安全评估后提出相关安全修补建议供客户作为修复参考。
通过链必验工具扫描出某合约存在重入漏洞
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。