北京时间5月8日深夜,DeFi协议RariCapital的攻击者们在眼看着就快得手的600万虚拟资产被拦截后,在区块上留下一段话:
AlphaFinance做了什么帮助RariCapital及时拦截了600万美元的损失?
在当下这个可以被视为VUCA的DeFi世界,针对DeFi突发安全事件而组建的“作战室”或将成为维护生态健康的主力。
接下来,带你一窥由区块链安全公司PeckShield「派盾」、DeFi协议开发团队C.R.E.A.M、Yearn等临时组建的Rari作战室,如何成功拦截黑客正在转走的600万美元。
推特为广告商打折,未达最低消费移除“金V认证”:金色财经报道,据《华尔街日报》报道,推特更名为“X”后正在为美国和英国的某些广告形式提供新的激励措施。发给广告商的电子邮件显示,X公司本周开始为一些广告商提供视频广告价格优惠。此外,在7月31日之前,任何新预订某些广告形式的客户均可享受50%的折扣。X还警告广告商,从8月7日开始,如果品牌账户在过去30天内没有花费至少1000美元的广告费用,或者在过去180天内没有花费6000美元的广告费用,那么他们的账户将失去代表品牌认证的金色标记。[2023/7/26 15:59:05]
情况很是紧急,仅几个小时,攻击者就对另一个DeFi协议开启了新一轮的攻击。
zkSync独立存款地址突破100万个,桥接锁仓量超6亿美元创历史新高:金色财经报道,21 Shares母公司21.Co链上数据研析师Tom Wan在社交媒体透露数据显示,zkSync独立存款地址已突破100万个,本文撰写时达到101万,桥接锁仓量为6.078亿美元创历史新高,其中ETH占比约为75.7%,USDC占比约21%,MUTE占比约1.4%。[2023/6/25 21:58:19]
21:48PM
攻击者开始实施第二次攻击。
22:15PM
PeckShield「派盾」预警:标记为高危的地址发生异动,疑似DeFi协议AlphaFinance合约存在漏洞;
格力电器新专利支持用户实现元宇宙健身:金色财经报道,近日,格力电器、珠海联云科技有限公司申请的“一种健身动作的指导方法、装置、电子设备和存储介质”专利公布。专利摘要显示,该方法包括:在用户和元宇宙之间建立连接后,根据用户的健身选择操作,确定元宇宙中的健身训练方案;通过穿戴设备将用户的实时健身动作投射至元宇宙的虚拟人物,其中,所述元宇宙中的虚拟人物能够映射所述用户;将所述健身训练方案中的标准健身动作和所述虚拟人物的实时健身动作进行对照;在对照结果为动作不符合规范时,基于所述标准健身动作对用户的实时健身动作进行指导。(鞭牛士)[2022/11/18 13:21:11]
PeckShield「派盾」启动应急响应机制,通报AlphaFinance开发团队,同时给此笔交易地址打上标签,并实时监控资产流向;
Argo Blockchain在5月份开采出124枚比特币,截止5月底共持有2379枚比特币:金色财经消息,加密矿企Argo Blockchain在5月份开采出124枚比特币(或比特币等价物),相比于2022年4月的166枚比特币有所减少。Argo Blockchain解释称,一方面是比特币挖矿难度上升,其他因素包括Terra Pool上的算力产生的比特币比前几个月低得多,得克萨斯州的高温导致能源需求增加和电价上涨等。截至2022年5月31日,Argo Blockchain共持有2379枚比特币,其中187枚为比特币等价物。[2022/6/7 4:08:43]
22:29PM
PeckShield「派盾」安全人员针对攻击者资金转移的交易进行分析,迅速、准确地定位到攻击的对象实际为RariCapital的ETH资金池。
并将漏洞根源同步给AlphaFinance开发团队,提出有效的安全方案,及时拦截攻击者转账,避免了RariCapital另外600万美元的资金损失;
22:34PM
AlphaFinance在PeckShield「派盾」的建议下及时暂停服务,被盗虚拟资产交易转账状态转变为Pending;
22:37PM
由于PeckShield「派盾」提出的有效安全措施,AlphaHomora资产未受损,RariCapital避免了更大的经济损失;
22:43PM
PeckShield「派盾」联合AlphaFinance开发团队一边定位问题根源,一边紧急联络RariCapital团队;
22:55PM
RariCapital团队从ibETH中提取所有资产避免更多资金受损;
22:57PM
PeckShield「派盾」联合多方团队建立作战室「Warroom」深入跟进此次安全事件;
5月9日1:15AM
临时建立起来的作战室持续工作到再三确认重启AlphaHomora协议后,与其交互的RariCapital不会再有任何潜在的问题。
此时,作战室成员们轻轻地松了一口气,但他们依然不敢松懈,因为攻击者可能随时卷土重来,不断利用相同的攻击机制,针对不同的协议发起攻击,一旦确定了高回报的可利用资产,便会利用各种技术和方法来发现漏洞。有些技术和方法可以使攻击者快速地得手,而有些则需要花费很长的时间。
与传统的网络犯罪相比,区块链上的信息对攻击者来说更有价值,因为成功攻击DeFi协议可以带来直接的经济回报。
随着整个DeFi生态的迅速发展,安全事件仍是影响生态健康的威胁。
从此次安全事件可以看出,预防和提示风险是整个DeFi安全系统工程中十分重要的举措。
如果DeFi协议想要承载数千亿甚至数万亿美元的价值,就必须经过实战的检验,快速的成长不得不让他们承受发展带来的阵痛。每次安全事件的发生,都需要每一个DeFi协议作进一步的安全调查和反思。
DeFi生态的日益增长,使得协议之间的交互性愈加紧密,不论是Alpaca/Alpha,vSafe/Rari还是PancakeSwap/SushiSwap,这些协议之间都存在着交互性,因此出现过的漏洞也很可能在另一条链上重现。
随着DeFi领域的“货币乐高”逐渐复杂化、多样化,DeFi协议之间的交互性加剧增长,而模糊的界限也会使得“资金逃跑”变得更加容易。
DeFi的安全问题暴露得越来越多,发生的频率也越来越频繁,从某种程度来说,整个DeFi行业的从业者在慢慢提升自身的安全意识,但是保护资产安全仍是整个DeFi领域面临的最大难题。对于DeFi协议的开发者来说,更是时间紧、任务重,如果他们想要将协议的交互性发挥到极致,就需要确保协议间的可组合性互融、互通,而不是生硬地拼接,将资产置于风险中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。