2020攻击事件总结 900亿人民币不翼而飞,2021我们如何远离黑客?
“如果那东西看上去像鸭子,走起路来也像鸭子,我们就说它是鸭子。”
这句来自某位政客所说的话被许多人奉为圭臬。
如同我们每一个人,很多时候我们对外界释放出的信息都会再通过外界评价反馈和影响到自身。
这个道理不仅仅应用于某一个特殊领域,相反,它在所有事情上都可以找到痕迹。
区块链发展日久,但对于很多人来说,它依旧是一个暗藏着骗局、跑路、黑客的法外之地。
人们心中的认知很难被其他信息所影响,当然,这也的确需要归因于目前区块链项目所受的攻击愈发猛烈。
在铺天盖地的黑客事件中,想要扭转人们对于区块链的不安和抗拒只有依靠提高区块链的安全标准,建立安全健康的区块链生态。
同理,当整个区块链不再受负面新闻所缠身时,这个“鸭子”也会变成有利的那一只。
经统计,2020年传统领域的网站及软件安全率达到了97.5%,其中损失最大的一笔资产仅仅是接近5万人民币。
而区块链领域内,智能合约及相关节点的安全率只有89%,且损失往往处于600万至6,000万人民币之间,这是需要几个大卡车都运不下的天价资产。
一次来自于区块链领域的损失资产,也许就是传统网络损失资产的千倍以上。
因此,CertiK安全专家盘点了2020年较为典型的23个区块链项目,分析了其受攻击的原因和黑客使用的攻击方式,以作为业内安全事故警示的参考。
在分析的这23个区块链项目中,其中实现逻辑错误所导致的攻击事件8起,价格预言机操纵事件5起,项目方欺诈事件4起,重入攻击事件3起,闪电贷攻击事件2起,钱包攻击事件1起。
这些安全事故项目列表如下:
表1:2020年区块链重大事故项目列表
图一:2020年区块链重大事故项目损失图
表一和图一展示了2020年区块链重大事故项目损失情况。
图二:攻击类型损失图
2020年重大攻击事件明细
1 Cover Protocol
2020年12月28日晚, CertiK安全验证团队发现Cover Protocol发生代币无限增发漏洞攻击。
攻击者通过反复对项目智能合约进行质押和取回操作,触发其中包含铸造代币的操作,对Cover代币进行无限增发,导致Cover代币价格崩盘。
最终损失共计约2850万人民币。
2 Warp Finance
2020年12月17日,攻击者利用Warp Finance项目使用的oracle计算质押的LP代币资产价格错误的漏洞,从Warp finance项目中获利约1462枚ETH代币,总价值约615万人民币。
此外,攻击者还mint了价值大约3,990万人民币的DAI-ETH LP share,约650万人民币的获利流入了uniswap和sushiswap的LP中。
在本次攻击中,Warp finance 遭受的损失大约为5,000万人民币。
3 Compounder.Finance
2020年12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目智能合约发生数笔大量代币的交易。
经过仔细验证得知这些交易为内部操作,项目拥有者将大量数额代币转移到自己的账户中。
经过统计,最终共损失价值约7,610万人民币的代币。
4 SushiSwap
2020年11月30日,Sushiswap项目被发现遭到恶意流动性提供者的攻击,攻击者利用该项目Sushi Maker合约中的漏洞进行攻击,最终获利约10万人民币。
5 Compound
2020年11月26日,Compound项目发生价格预言机代币价格错误。
其所采用的Coinbase价格预言机对DAI价格出现巨大波动,导致约58,250万人民币的资产被清算。
6 Pickle Finance
2020年11月22日凌晨2点37分,CertiK安全验证团队通过Skynet发现Pickle Finance项目遭到攻击。
攻击者利用合约中未检查外部Jar合约是否合法的漏洞进行攻击。
最终项目共损失约1975万枚Dai代币,价值约12,800万人民币。
7 Origin Protocol
2020年11月17日,Original Protocol项目OUSD遭到闪电贷与重入攻击的组合攻击。
攻击者利用合约中mintMultiple()函数中的重入漏洞,增加闪电贷贷来的资金作为杠杆,扩大攻击收益。项目最终损失约4,500万人民币。
8 Cheese Bank
2020年11月16日,DeFi项目Cheese Bank遭到闪电贷攻击。
攻击者通过操纵流动性池中代币数目,利用重置预言机来提高Uniswap LP流动性凭证价格进行攻击。
最终项目损失约2,100万人民币,其中包括价值1,300万人民币的USDC。
9 Value DeFi
2020年11月15日,DeFi项目Value Defi遭到闪电贷攻击。
攻击者通过项目中使用Curve价格预言机,通过闪电贷操纵预言机代币价格计算漏洞进行攻击。
最终攻击者获利约4,800万人民币价值的DAI。
10 Axion Network
2020年11月2日晚上,黑客利用Axion Staking合约的unstake函数设法铸造了约800亿个AXN代币。
黑客随后将AXN代币在Uniswap交易所中兑换以太币,重复此过程,直到Uniswap中ETH-AXN交易对的以太币被耗尽,同时AXN代币价格降至0。
该攻击是内部操作造成的,该内部操作通过在部署代码时,对项目依赖的OpenZeppelin依赖项注入恶意代码,最终损失约330万人民币。
11 Harvest Finance
2020年10 月 26 日 Harvest.Finance 项目发生套利攻击事件,损失超 3380 万美元。
根据官方报告,计算了攻击者返还给项目的 1300 万 USDC 和 11 万 USDT 之后,总损失超过 2 亿人民币。
在 Harvest.Finance 这次的套利攻击事件中,攻击者通过影响 USDC、USDT 代币的价格来进行套利。
12 Eminence
2020年9月29日,攻击者使用脚本程序,通过闪电贷借得初始资金, 利用 Eminence 项目中的联合曲线(Bonding Curve)模型漏洞,反复购买出售 EMN 和 eAAVE 来获得收益。项目最终损失约9,800万人民币。
13 GemSwap
2020/09/26日,DeFi项目GemSwap遭到项目拥有者的后门攻击。
项目拥有者通过调用后门函数emergencyWithdraw()将所有的流动性证明取出并转移至自己拥有的账户中,最终项目损失约850万人民币。
14 Soda Finance
2020年9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞。
该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。
最终项目损失约105万人民币。
15 BASED
2020年8月14日,流动性挖矿项目Based出现初始化失误造成的漏洞。
其智能合约在进行部署时,Base官方仅通过调用智能合约中的 renounceOwnership 函数声明了所有者,而并没有对智能合约初始化。
而一名外部攻击者在 Based 官方之前,抢先调用 initialize 函数对智能合约进行了初始化。
16 YAM
2020年8 月 12 日,YAM Finance 官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的 YAM 代币,在计算 totalSupply 时,给出了错误的结果,这会导致系统保留的代币数量过多。最终项目损失约500万人民币。
17 NUGS
2020年8月11日,CertiK安全研究团队发现基于以太坊的代币项目NUGS出现安全问题。
其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。
由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。此次攻击损失巨大,直接造成该项目失败。
18 Opyn
2020年8月4日,DeFi项目Oypn发生攻击事件。
攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。
攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,而不是动态的检查攻击者发送的ETH数量是否在每一次的交易之后仍旧等于完成该次期货买卖所需要的数量。
也就是说,攻击者可以用一笔ETH进行抵押,并在赎回两次交易,最终获得自身发送数量两倍的ETH最终项目损失约240万人民币。
19 Cashaa
第一次攻击发生于7月10日北京时间晚6点57分,Cashaa的比特币钱包之一被盗用并向攻击者账户转移了1.***个BTC。
根据Cashaa报告中描述,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移BTC。
第二次攻击发生于7月11日北京时间凌晨8点10分,Cashaa的总计8个比特币钱包,共计335.***个比特币被攻击者通过同样的手段转移到同一个地址中。
最终项目损失约2,000万人民币。
20 Balancer
2020年6月29日凌晨2点03分,攻击者利用从dYdX闪电贷中借到的WETH,大量买进STA代币,使得STA与其他代币的兑换价格急剧上升。
然后使用最小量的STA(数值为1e-18)不断回购WETH,并在每次回购后,利用Balancer的合约漏洞重置其内部STA的数量(数值为1e-18),以此稳住STA的高价位。
攻击者不断利用漏洞,用高价的STA将某一种代币完全买空(WETH,WBTC, LINK和SNX),最终用WETH偿还闪电贷,并剩余大量STA,WETH,WBTC, LINK和SNX,并通过uniswap将非法所得转移到自己账户中。
继6月29日凌晨2点CertiK捕获Balancer攻击事件后,2020年6月29日20点与23点23分,Balancer项目再次遭到攻击。
攻击者从dYdX闪电贷中借到代币并铸币后,通过uniswap闪贷获得cWBTC和cBAT代币,然后将借得的代币在Balancer代币池中大量交易,从而触发Compound协议的空投机制,获得空投的COMP代币,再使用Balancer有漏洞的gulp()函数更新代币池数量后,取走所有代币并归还闪电贷。
攻击者相当于利用了Compound协议的金融模型、闪电贷和Balancer代码漏洞,无中生有了COMP。
两次攻击直接导致Balancer损失了约300万人民币。
21 Hegic
2020年4月27日,Hegic项目中由于代码实现存在错误,导致合约中用户资金被锁定,无法被任何方法操作。最终项目损失约18万人民币。
22 Lendf.Me
2020年4月19日,Lendf.me项目遭到基于ERC777标准缺陷问题的重入攻击。最终项目损失约16,200万人民币。
23 Uniswap
2020年4月18日,DeFi项目Uniswap遭到攻击。
攻击者利用ERC777可以在同一笔交易中完成代币兑换的特性,通过其tokensToSend()函数对Uniswap进行重入攻击。最终Uniswap项目损失共计约150万人民币。
总结
从上文的数据统计里可以看出,这23次重大攻击事件,损失总金额高达约18亿人民币。
这18亿人民币被包括价格预言机操纵、重入攻击、实现逻辑错误、闪电贷攻击、项目方欺诈、钱包攻击在内的各种攻击方式所盗取,让人防不胜防。
计算机领域中早有统计,平均每1000行代码中,会有1-25个bug。
也就是说,这个概率的区间是千分之一(0.1%)至百分之二点五(2.5%)。
想知道这个概率意味着什么吗?点击【飞机颠簸总怕下一秒空难?我们每天遇到有漏洞的DeFi合约概率是多少?】寻找答案!
区块链领域内,任何一个小bug都可能会给项目或者投资者造成无法挽回的损失。
想要改变“鸭子”的偏见和刻板印象,建立起安全有保障的区块链健康生态,离不开每一个项目和个人对于安全的坚持与付出。
许多人通过币圈实现了财富自由,你还要在继续观望吗?
是继续观望,还是光速进入,你自己选!
把握币圈及区块链深层次的价值,抓住区块链当下和未来的机遇!
欢迎高手小白一起免费交流学习!
------
延伸阅读:
比特币小白-2 0 2 1 炒币攻略篇
所有的无奈,无非不是穷就是因为不努力---致2 0 1 9年的自己
无论是炒币还是炒股,还是去购买其他的理财产品,可能背后都需要一套完整的理论,哪些突然暴富的人最终还是会变的贫穷,或许这就是:“是你的始终是你的,不是你的强求不得”。现在流行一句话,炒币爽,一直炒币一直爽,当然也有辞职爽,一直辞职一直爽,无非是大家对自己的自我嘲讽,没有谁想一直糟心的活着。
废话不多说了,作为一个炒币两年还没暴富的人,说实话是没资格在这里得瑟的,但是作为一个小白,或许这点知识会对你有用,谨献给读了有用的人,没用的话全当没看到。
炒币到底有没有捷径?
答案是肯定的,有,如果你炒币有内幕,那这就是捷径,不说一年有几次,只需要一次就够,这就是所谓的与庄某皮。当然鹿死谁手,没人知道。反正记住一点,心不能太黑,曾经有人问,那些月收几百的币圈付费社群有必要进吗?第一要看这个社群的口碑和日常的输出,当然也有骗人的,这就需要自己去辩解了,如果有一个好的收费社群,一般这种群会放出一些小币和庄联合收割,当然如果太贪心也可能把自己搁进去。
现在哪些币适合买?
曾经讲过买币的一些基础攻略,当然现在看来已经有点不太适合,因为市场变化太大,无论现在是什么币最终都有变得归零,比如曾经的一些百倍币,现在都已经跌得惨目忍睹,小编也是受害者之一,比如曾经的ada、xem、eos、xlm、nano等,或许这就是命把。
对于买币,现在的我或许会从以下几点出发去参考这个币的价值:
第一看币的流通,目前币的价格和市值都已经慢慢稳定在一定的幅度,比如比特币始终占所有币的53 %市值,而前二十的币也基本没有太大变化,那么对于后起之秀,或许已经慢慢的看不到了,还有就是IEO的币,可能是真的不能买把,割得不眨眼。对于流通,现在基本可以在cmc和非小号看基础的数据,当然如果你可以写代码,去拉取官方的数据应该会更准确,然后在筛选出一部分流动的钱包,去计算出当前活跃的用户,然后在结合这个的成交量,从而去判断币的价值有多大。
第二是看发行量,首先看比特币发行2 1 0 0 w,无论是数量还是挖出的时间来看,比特币的定量不是随意的,是根据出块+时间限制+中本聪对于货币的理解,阻止货币发行太大贬值,而比特币不是按个是按聪来分割的,因此2 1 0 0 w可以被无限分割,这样就不存在数量不够的情况,然后在反观后起之秀ETH,发行量无限接近1 亿,因为有了智能合约,需要运行dapp去消耗,还有矿工的手续费,因此eth在量上升级了,而对于后期转型为Pos或许也是有一定的考究,然后再看如火如荼的BNB,发行量当初是2 亿多,但是随着被销毁,最终也是接近1 亿左右,或许盘子大了,狗庄不能控制才会把币变得更少,但是现在市场上动不动几十亿、几百亿、甚至是几千亿,这样的市场会有这么多人去玩吗?明显是不太可能,看现在的互联网市场,说是十几亿的微信日活,但是实质上又会有多少是正常使用的,在看微博,都已经泛滥成灾,而对于传统的金融市场仍然是小部分人,在看区块链的市场,未来也并不是会有很多很多人去参与进来,最终市场还是分分割成各种小部分,仍然都在维护自己的小世界在运营者。
第三看社交媒体和github活跃度,后期崛起的虽说是公链,但是对于侧链应该也有一定的发展空间,在一方面就是目前在构建底层的工具型产品(比如consensys、chainlink等),社群的转变或许会给区块链带来更多的可能,未来的社交生态或许势必会造成一个大的影响,而对于目前的数字币而言,社交媒体已经被泛滥成为了营销平台,而真正有输出价值的反而是一些不知名的项目,再有就是目前逐渐在完善的侧链、公链这些项目,反而社交平台变得不那么活跃。因此对于币的影响github或许更大,token型产品目前都在转型做侧链、跨链、稳定币,而真正能起来的或许仅仅是个别项目,不是有钱就是有超强的营销手段。
现在的小散应该如何买币?
1 .如果你不是一个折腾的人,那么就安心的每个月固定时间定投固定的币,或者可以组合定投,比如曾经讲过的42 2 3 1 法则,按自己的资产配比不同的币种,按自己的承担风险配比不同的比例。当然也曾经有些朋友一直在折腾,结果最后的结果是手里的大饼越来越少,那么对于没有精准的专业知识,还是安心定投把,随跑不赢大盘,起码不会归零。
2 .还有就是跟随一些社群去做单,或者说是做期货,当然这就需要你有更高的专业技术,并不是每个人都适合,这个方法需要你有大量的时间、大量的精力、大量的投入,甚至最后都可以去带单帮别人赚钱,你收取他的手续费。
有多少风险、就有多少利润,但是如果没有资本去折腾,在这里还是劝告各位,安心的定投几个币,等着升值就行。曾经小编也推荐过不少币,在1 9年这样的大环境下,或许曾经的方法已经不再适合,因此对于后期的推荐,会以安全为主,不会在推荐一些不知名的币。曾经有人说:“或许未来三年,币圈的万亿市场,会是1 7-1 9年上半年出的项目中诞生”,仔细想想现在的市场周期,或许这个未来已经不远了,无论是不是抓得住,都应该去搏一搏。
最后小编推荐大家投资:BTC、ETH、COSMOS(atom 阿童木),至于为什么会推荐这三个,相信曾经的老韭菜都有一种感觉,跌的时候小币种跌得最快,大饼跌得慢,但是反弹会是大饼先反弹,小币种还在震荡,等到了一定的点位,狗庄爆拉出收,然后换成大饼,在等待下次的机会,虽然做不了大饼的庄但是小币种还是很容易被控盘的,作为一个小散只能喝汤,有时候还把自己喝进去了。今年的行情可谓是跌幅起荡,阴晴不定,但是也在最近从六月底的70 0 0 刀,到现在的1 0 3 73 刀,只能说明市场还是有机会的,而加上最近的bakkt的期货出现,未来的市场会越来越规范化,而对于监管、合法这些事或许还很远,但是当比特币纳入金融市场,金融市场的热钱会带动整个盘,那么对于无法购买大饼的人,ETH或许是最佳的选择,还有就是只要山寨币不死,以太币就不会陨落。对于阿童木为什么可以投,可以说小编也是在博,博波卡出来后会形成一个对立,也在博侧链、跨链会成为区块链的底层协议,另一个原因就是阿童木是Go写的,而小编最近也在学习Go,或许未来会给cosmos贡献代码,这些都是后话,无论未来市场怎么样,大饼反正不会亡。
以上观点仅代表个人看法,如有操作请后果自负。
------------------
推荐阅读:
ZVERSUS币怎么买卖交易?ZVERSUS币上线了哪些交易所?
