MDA:从 100 个攻击事件分析加密攻击类型、工具、防范方法和未来预测

加密安全启示录

黑客今年从加密应用程序中窃取了超过 2B 美元。DAOrayaki去中心化编辑委员会撰写此文时,又发生两起黑客攻击事件:Rabby wallet 、Solana生态去中心化金融平台Mango。随着加密生态系统的发展并吸引更多的恶意行为者,问题只会变得更糟。有些事情必须改变。是时候退后一步,反思过去的错误,并改变我们在这个行业中处理安全性的方式。

在这篇文章中,我们将:

提出一个对加密货币黑客进行分类的框架

概述迄今为止最有利可图的黑客所使用的方法

回顾目前用于防止黑客的工具的优势和劣势

讨论加密货币安全的未来

1、加密货币黑客攻击分类框架

加密应用生态系统由可互操作的协议组成,由智能合约提供支持,依赖于主链和互联网的底层基础设施。

由于堆栈的每一层都有其独特的漏洞。我们可以根据被利用的堆栈层和使用的方法对加密黑客进行分类。

基础设施

对基础设施层的攻击利用了支持加密应用程序的底层系统的弱点:它依赖于达成共识的区块链、用于前端的互联网服务以及用于私钥管理的工具。

智能合约语言

这一层的黑客利用了 Solidity 等智能合约语言的弱点。智能合约语言中存在众所周知的漏洞,例如可重入性和错误的委托调用实现的危险,可以通过遵循最佳实践来缓解这些漏洞。

*有趣的事实:用于执行 6000 万美元The DAO 黑客攻击的漏洞实际上是由 Least Authority 在对以太坊的安全审计中发现的。有趣的是,如果在发布前已经修复,事情会有多不同。

DWF Labs 从 Floki 财库购买价值 500 万美元的 FLOKI 代币:5月25日消息,Shiba Inu 犬种主题项目 Floki 宣布于 Web3 投资公司 DWF Labs 建立战略合作伙伴关系,DWF Labs 已从 Floki 财库购买了价值 500 万美元的 FLOKI 代币,并将通过其网络和资源来帮助加速 FLOKI 代币的采用。[2023/5/25 10:40:31]

协议逻辑

此类攻击利用单个应用程序的业务逻辑中的错误。如果黑客发现错误,可以使用它来触发应用程序开发人员无意的行为。

例如,如果一个新的去中心化交易所在确定用户从exchange中获得多少的数学方程式中存在错误,则可以利用该错误从exchange中获得比本应可能的更多的钱。

协议逻辑级攻击还可以利用现有的治理系统来控制应用程序的参数。

生态系统

许多最具影响力的加密黑客利用了多个应用程序之间的交互。最常见的变体是黑客利用从另一个协议借来的资金利用一种协议中的逻辑错误来扩大攻击规模。

通常,用于生态系统攻击的资金是通过快速贷款借入的。在执行闪电贷款时,只要资金在同一笔交易中归还,您就可以从 Aave 和 dYdX 等协议的流动资金池中借入尽可能多的资金,而无需提供抵押品。

2、数据分析

从 2020 年起,我们采集了 100 个最大的加密黑客数据集,被盗资金总计 5B 美元。

生态系统攻击最常发生。占样本组的 41%。协议逻辑漏洞导致的损失最大。

数据集中最大的三次攻击,即Ronin bridge攻击(6.24亿美元)、Poly Network黑客(6.11亿美元)和Binance bridge黑客(5.7亿美元),对结果产生了巨大的影响。

被标记为孙宇晨的地址从 Aave V2 中撤回1000万枚TUSD并转入币安:10月21日消息,PeckShield在推特上表示,被Etherscan标记为孙宇晨的地址从Aave V2中撤回1000万枚TUSD并转入币安。本月至今,孙宇晨相关地址已从Aave撤回了近2亿美元稳定币。[2022/10/21 16:34:53]

如果排除前三种攻击,则基础设施黑客攻击是损失资金影响最大的类别。

3、黑客如何执行

基础设施攻击

在样本组中 61% 的基础设施漏洞利用中,私钥被未知方式破坏。黑客可能已经通过网络钓鱼电子邮件和虚假招聘广告等社交攻击获得了对这些私钥的访问权限。

智能合约语言攻击

重入攻击是智能合约语言级别上最流行的攻击类型。

在重入攻击中,易受攻击的智能合约中的函数调用恶意联系人的函数。或者,当易受攻击的合约向恶意合约发送代币时,可以触发恶意合约中的功能。然后,在合约更新其余额之前,该恶意函数会在递归循环中回调易受攻击的函数。

例如,在 Siren Protocol hack 中,提取抵押代币的功能很容易被重入并被反复调用(每次恶意合约收到代币时),直到所有抵押品都被耗尽。

Juno Network 发布向从 Terra 迁移至 Juno 上项目提供激励的提案:5月15日消息,Cosmos 生态智能合约公链 Juno Network 发布向从 Terra 迁移至 Juno 上项目提供激励的提案。该提案建议提供 100 万枚 JUNO(社区池提供 70 万,发展基金提供 30 万),用于项目迁移和持续开发,且该部分资金将由多签地址管理。[2022/5/15 3:17:19]

协议逻辑攻击

协议层上的大多数漏洞都是特定应用程序独有的,因为每个应用程序都有独特的逻辑(除非它是纯分叉)。

访问控制错误是样本组中最常出现的问题。例如,在 Poly Network hack 中,“EthCrossChainManager”合约具有任何人都可以调用以执行跨链交易的功能。

该合约拥有“EthCrossChainData”合约,因此如果您将“EthCrossChainData”设置为跨链交易的目标,则可以绕过onlyOwner()审查。

剩下要做的就是制作正确的消息来更改哪个公钥被定义为协议的“保管人”,夺取控制权并耗尽资金。普通用户永远无法访问“EthCrossChainData”合约上的功能。

**注意:在许多情况下,多个协议使用相同的技术被黑客入侵,因为团队分叉了一个存在漏洞的代码库。

例如,CREAM、Hundred Finance 和 Voltage Finance 等许多 Compound 分叉成为重入攻击的受害者,因为 Compound 的代码在允许交互之前没有检查交互的效果。这对 Compound 来说效果很好,因为他们审查了他们支持的每个新代币的漏洞,但分叉团队并没有做这样的努力。

实力派 | 范瑞彬:FISCO BCOS的设计逻辑主要从 5个方面出发:在今日“金色实力派”线上访谈中,针对海创链CEO张弢提出的“微众银行联合金链盟开源工作组研发并开源的FISCO BCOS的设计逻辑是什么?”的问题,微众银行分布式商业科技发展部副总经理、区块链负责人范瑞彬表示,FISCO BCOS在设计上主要从5方面出发考量:1、安全。全方位的安全防护(覆盖网络、主机、存储、应用等),要避免短板和破窗。同时针对联盟链的场景,专门支持了准入机制,CA认证、密钥管理等关键能力。2、隐私保护。完整支持了国密算法体系(包括SM1、SM2、SM3、SM4等)。同时支持了权限管理、群签名、环签名、同态加密、零知识证明等隐私保护功能。3、性能。在工信部信通院的评测中单链TPS超2w,而且还支持了并行计算和分布式存储,包括多链、跨链、热点账户、多群组等一整套完整的解决方案,具备灵活高效的平行扩展能力。4、易用,提供开源的中间件平台,让使用者更便利的学习上手、开发、调试、部署、运营、监控、审计等。5、可靠,架构设计上要达到金融级水准的高可靠性。除了架构设计本身保证可靠,通过开源,更多人可以使用,促进更多的应用落地,用实践来检验和加速推动FISCO BCOS的成熟可靠。[2019/12/18]

生态系统攻击

98% 的生态系统攻击都使用了闪电贷。

Flashloan 攻击通常遵循以下公式:使用贷款进行大规模掉期,从而推高 AMM 上的代币价格,而 AMM 将其用作价格馈送。然后,在同一笔交易中,使用膨胀的代币作为抵押,获得远高于其真实价值的贷款。

4、何时执行黑客攻击

数据集不够大,无法从时间分布中得出有意义的趋势。但我们可以看到,不同类型的攻击在不同的时间更频繁地发生。

声音 | BM:从 EOS 回到 ETH 就像从光纤回到了拨号一样:据 IMEOS 报道,BM 昨夜在推特发了两条推文,分别表达了 EOS 的领先和 DPOS 的优势

1.用户回馈使用 EOS 几个月后重新使用 ETH 就像是从光纤回到了拨号一样。一旦你在 EOS 上,你永远都不想在回去。

当计算或算法发生巨大突破时,工作证明就变得完全中心化...无论技术发展如何,DPOS 都会一直保持去中心化。你可以轻松分叉 DPOS,但创建新的抗性工作证明非常困难。[2019/4/15]

2021 年 5 月是生态系统攻击的历史新高。2021 年 7 月的协议逻辑攻击最多。2021 年 12 月发生的基础设施攻击最多。很难判断这些集群是否是巧合,或者它们是否是一个成功的成功案例,激励同一演员或其他人专注于特定类别。

智能合约语言级别的漏洞利用是最罕见的。该数据集始于 2020 年,当时该类别中的大多数漏洞利用已经广为人知,并且很可能很早就被发现。

随着时间的推移,被盗资金的分布有四个主要峰值。2021 年 8 月有一个高峰,这是由 Poly Network 黑客驱动的。2021 年 12 月,由于大量基础设施黑客攻击导致私钥遭到破坏,例如 8ight Finance、Ascendex 和 Vulcan Forged,又出现了另一次高峰。然后,由于 Ronin 黑客攻击,我们看到了 2022 年 3 月的历史新高。最后的峰值是由BNB bridge被攻击引起的。

5、黑客在哪里执行

根据托管资金被盗的合约或钱包的链来分割数据集。以太坊的黑客数量最多,占样本组的 45%。币安智能链(BSC)以 20% 位居第二。

造成这种情况的因素有很多:

以太坊和 BSC 的锁定总价值(存入应用程序的资金)最高,因此对于这些链上的黑客来说,奖金的规模更大。

大多数加密开发人员都知道 Solidity,这是以太坊和 BSC 上选择的智能合约语言,并且有更复杂的工具支持该语言

以太坊被盗的资金量最大(20亿美元),BSC位居第二(8.78亿美元)。以太坊、BSC和Polygon上的资金被盗的黑客在一次事件中排名第三(6.89亿美元)。这主要是因为 Poly Network 攻击事件。

涉及跨链桥或多链应用的黑客(如多链交换或多链借贷)对数据集有巨大影响。尽管只占事件的10%,这些黑客占了25.2亿美元的被盗资金。

6、我们如何防止黑客入侵

对于威胁堆栈的每一层,我们可以使用一些工具来及早识别潜在的攻击向量并防止攻击发生。

大多数大型基础设施黑客攻击都涉及黑客获取敏感信息,例如私钥。遵循良好的运营安全 (OPSEC) 实践并进行经常性威胁建模可降低发生这种情况的可能性。拥有良好 OPSEC 流程的开发人员团队将:

识别敏感数据(私钥、员工信息、API 密钥等)

识别可能的威胁(社交攻击、技术漏洞、内部威胁等)

识别现有安全防御中的漏洞和弱点

确定每个漏洞的威胁级别

创建并实施计划以减轻威胁

智能合约语言和协议逻辑

模糊测试

像 Echidna 这样的模糊测试工具可以测试智能合约如何对大量随机生成的交易做出反应。这是检测特定输入产生意外结果的边缘情况的好方法。

静态分析

静态分析工具,如Slither和Mythril,自动检测智能合约中的漏洞。这些工具对于快速挑出常见的漏洞是很好的,但它们只能抓住一组预定义的问题。如果智能合约有一个不在工具规范中的问题,它将不会被看到。

形式验证

形式验证工具,如 Certora,会将智能合约与开发人员编写的规范进行比较。该规范详细说明了代码应该做什么及其所需的属性。例如,开发贷款应用程序的开发人员会指定每笔贷款都必须有足够的抵押品支持。

如果智能合约的任何可能行为不符合规范,正式验证者将识别该违规行为。

形式化验证的弱点是,测试只和规范一样好。如果所提供的规范没有考虑到某些行为,或者过于宽松,那么验证过程将无法捕获所有的错误。

审计和同行评审

在审计或同行评审中,一个受信任的开发者小组将测试和评审项目的代码。审计员会写一份报告,详细说明他们发现的漏洞以及如何修复这些问题的建议。

让第三方专家审查合约是识别原团队所遗漏的漏洞的一个好方法。然而,审计师也是人类动物,不可能发现所有的东西。另外,还必须对此信任,如果审计师发现了问题,他们会告诉你,而不是自己去利用它。

令人沮丧的是,尽管生态系统攻击是最常见和最具破坏性的变体,但工具箱中并没有多少工具适合防止这些类型的攻击。

自动化安全工具专注于一次发现一个联系人中的错误。审计通常无法解决如何利用生态系统中多个协议之间的交互。

Forta 和 Tenderly Alerts 等监控工具可以在发生可组合性攻击时发出预警,以便团队采取行动。但在闪电贷攻击期间,资金通常在单笔交易中被盗,因此任何警报都来得太晚,无法防止巨额损失。

威胁检测模型可用于在内存池中查找恶意交易,其中交易位于节点处理之前,但黑客可以通过使用 flashbots 等服务将交易直接发送给矿工来绕过这些检查。

7、加密安全未来预测

1)我相信最好的团队将从将安全视为基于事件的实践(测试 -> 同行评审 -> 审计)转变为一个持续的实践过程。他们将:

对主代码库的每个添加运行静态分析和模糊测试。

在每次重大升级时运行形式验证。

使用响应操作(暂停整个应用程序或受影响的特定模块)设置监控和警报系统。

让一些团队成员专门负责制定和维护安全自动化和攻击响应计划。

安全性不是一组要填写和搁置的复选框。安全工作不应在审计后结束。在许多情况下,例如 Nomad bridge hack,漏洞利用是基于审计后升级中引入的错误。

2)加密安全社区应对黑客攻击的流程将变得更有条理和精简。每当发生黑客攻击时,贡献者就会涌入渴望提供帮助的加密安全群组聊天,但缺乏组织意味着重要的细节可能会在混乱中丢失。我看到未来其中一些群聊会转变为更结构化的组织:

使用链上监控和社交媒体监控工具快速检测主动攻击。

使用安全信息和事件管理工具来协调工作。

独立的工作流,有不同的渠道来沟通白黑客工作、数据分析、根本原因理论和其他任务。

DoraFactory

个人专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

火必APPESS:「小金库杯·六周年」创作大赛获奖名单

吃吃喝喝玩玩的国庆假期结束了,继续努力工作赚钱等待下一次假期吧~祝每位金色数藏的小伙伴节后快乐依旧!为了让快乐延续,现在我们来公布一下「小金库杯·金色财经六周年」创作大赛的获奖名单.

Gate交易所元宇宙:元宇宙时代的新型基础建设有哪些?

新年伊始,智纲智库开始着手研究元宇宙和数字技术发展对城市、企业和个人的影响。面对“万事皆可元宇宙”的资本热度,智库以冷静客观去观察中国语境下的元宇宙发展之路,分别从城市企业战略、新型基础设施、应.

[0:15ms0-7:609ms