「币圈一天,人间一年」,「DeFi一天,币圈一年」。近期的链圈币圈,热度已几乎都被DeFi掠夺。伴随着项目的层出不穷,大量用户的涌入,DeFi协议总锁仓量已高达103.8亿美元。极高的投资收益吸引了大量币民加入,而8月,更是流动性挖矿项目如火如荼的一个月。从实验性流动性挖矿项目Yam到目前仍旧具有极高话题度的SushiSwap,整个区块链社区都在持续讨论着其中的巨额利润以及隐藏其下的安全隐患。在这一个月中,大量新的挖矿项目出现,其中绝大多数项目都直接复制其他类似项目的代码,在未进行安全审计的情况下匆忙上线。因此导致了发现的智能合约安全漏洞数量众多而且性质类似。如今,确定一个项目是否可以投资的首要条件应该是检查项目及其合约是否由著名安全团队进行过专业审计并取得较高安全评价。据CertiK安全技术团队统计,8月份发生与区块链相关的安全事件盘点如下:8月11日,基于以太坊的代币项目NUGS出现安全问题,其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。8月12日,流动性挖矿项目Yam爆出智能合约漏洞,该漏洞将预留巨大数目的代币,导致对项目进行治理所需要的代币数目随之增长,最终由于社区没有足够的代币,任何治理行为都无法进行。8月14日,流动性挖矿项目Based存在智能合约安全漏洞并遭到攻击者攻击,该项目中一号池智能合约中函数被错误设置为可以被外部任意调用,造成其被外部攻击者抢先初始化,导致一号池中任何质押行为都无法完成。8月28日,Sushiswap智能合约中被发现存在多个安全漏洞,该漏洞允许智能合约拥有者在无任何社区授权情况下,任意进行取款。同时,该合约还存在重入攻击漏洞,会导致潜在恶意代码被执行多次。8月31日,用户由于使用存在漏洞的旧版本electrum钱包应用,导致1400枚比特币被盗。8月31日和9月1日,Sushiswap仿盘Yuno和Kimchi两个项目智能合约均被发现存在安全漏洞,该漏洞允许智能合约拥有者无限增发项目对应代币,可能导致项目中代币产生巨大通胀。列表如下:
资金流协议SuperFluid与Connext和Nomad合作,已开发出“跨链资金流”产品的工作原型:6月15日消息,资金流协议SuperFluid与互操作性协议Connext和Nomad合作,开发了一个“跨链资产流”(Cross-Chain Money Streaming)的工作原型,它使用Connext的SDK和Nomad构建,用于身份验证调用,允许用户将资金以流支付形式传输到网络上的桥接合约,然后从不同网络上的桥接合约接收资金。通过跨链资金流,DAO和加密原生组织可以使用Superfluid协议将价值按秒转移到他们想要的任何网络,而无需在任何特定网络上具有流动性。(Medium)[2022/6/15 4:29:11]
Lisk提出“跨链消息”提案,以实现互操作性:9月29日消息,开源区块链应用平台Lisk提出“跨链消息”提案,引入了一种新的消息格式,以实现互操作性。[2021/9/29 17:15:15]
事件详情
以下是8月安全典型事件的具体分析:1号事件是一个非常典型的,由于逻辑实现上失误而造成的漏洞。NUGS项目的商业实现模型是一个彩票抽奖的系统,彩票抽奖以轮为单位,在每一轮抽奖中,投资者可以向该轮奖池中存入资金。经过一段时间后,NUGS智能合约中的开奖函数可以被外部调用,从而确定本轮彩票抽奖的赢家。赢家获得奖池奖金,而来自外部调用开奖函数的调用者也会获得一小部分奖励。该轮抽奖结束,奖池中数额清零,因此每一轮抽奖开始时,奖池内的初始数额应当为“零”。然而NUGS智能合约中存在一个关于奖池奖金初始数额的逻辑实现漏洞:当一轮抽奖结束后,奖池中数额未被清零,导致了下一轮抽奖开启后,奖池中的初始数额为上一轮的总奖金。因此奖池中的奖金会越来越多,最终导致通胀、币值飞快贬值。2号事件发生在Yam流动性挖矿项目上,也是一个由于逻辑实现上的失误导致的安全漏洞。在Yam智能合约中存在一个rebase函数,其目的是在确保代币的价格稳定,而由于在代码层面的疏忽,对每一次rebase执行时,代币总共供给量totalSupply的数值被错误的进行计算,导致totalSupply的数目只能持续增加,因此最终同样导致了通胀发生。以上两个事件中的漏洞都是属于逻辑实现层面出现的漏洞。逻辑实现上的漏洞虽然非常直观,但依靠任何现有的自动检测工具均无法检查,需要依靠专业的安全审计和/或严谨的数学证明才能够避免该类漏洞。3号事件发生于流动性挖矿项目Based。其智能合约在进行部署时,Based官方仅通过调用智能合约中的renounceOwnership函数声明了所有者,而并没有对智能合约初始化。而一名外部攻击者在Based官方之前,抢先调用initialize函数对智能合约进行了初始化。这使得智能合约的所有者和初始化的操作者不一致,最终任何质押行为都无法完成。该安全漏洞是由“智能合约自身调用安全风险”和“部署智能合约风险”两者同时影响产生的。对该种智能合约的部署应该确保发送部署智能合约的交易和对智能合约的初始化等操作交易的原子性,即该两者交易应该相互关联,确保没有第三方利用时间差进行恶意攻击操作。4号和6号事件相同:存在多个智能合约漏洞,其上线前均未进行安全审计,对于项目拥有者过大权利的问题,均缺乏相应社区监管机制。这两个事件的主角项目分别是SushiSwap以及其仿盘Yuno和Kimchi。SushiSwap项目智能合约中,智能合约拥有者有权利在无监管的情况下,使用setMigrator函数任意修改migrator的值,然后通过调用migrator.migrate来调用任意智能合约外部代码。该外部代码对于智能合约本身是未知的,因此智能合约拥有者可以通过该操作执行恶意代码。Yuno和Kimchi项目中也存在着类似的漏洞:智能合约拥有者有权利通过mint函数来进行无限制数量的铸币操作。最初,该类漏洞的解决方法是将任何来自智能合约拥有者的操作使用timelock智能合约加入延迟锁,SushiSwap、Yuno和Kimchi都通过该种方法为自身加入了48小时的操作延迟。其初衷是给予投资者48小时的窗口,对任何来自智能合约拥有者的疑似恶意交易,都有足够的时间进行撤资等操作。虽然SushiSwap项目中的ChefNomi成功转走的大笔代币后来返还了,但最终SushiSwap项目还是采用了多签名钱包来确保项目的去中心化。可以说,延迟锁并没有办法根本解决智能合约本身的漏洞。5号事件是由于受害者使用了旧版本的Electrum钱包,攻击者利用存在于旧版本中的软件漏洞进行钓鱼攻击。此软件漏洞会对Electrum节点服务器返回的交易错误信息进行HTML渲染。攻击者可以搭建一个恶意的节点,当该节点接收到来自用户发起的交易请求时,让用户钱包弹出一个包含钓鱼信息的窗口,让用户去下载一个所谓的“钱包更新”。而这个”新版钱包“实际上是一个包含恶意代码的假的钱包。一旦用户将自己钱包导入,该假钱包会将其中所有代币转移至攻击者的钱包中。安全建议
陕西自贸试验区成立3周年 已形成“跨境金融区块链服务平台”等成果:4月9日,陕西省政府新闻办举行新闻发布会,介绍陕西自贸试验区建设3周年改革创新成果。成立3年来,陕西自贸试验区在优化提升营商环境、强化系统性集成性制度创新等方面形成了一系列创新成果。其中包括陕西自贸试验区“通丝路”跨境电子商务人民币结算服务平台功能不断扩展,形成了“跨境金融区块链服务平台”“军民融合企业核心人员信用担保贷款”“‘长安E贷’线上体系创新金融服务模式”“农产品价格指数保险”等一系列创新成果。(陕西日报)[2020/4/10]
综上所述,8月安全事件频发,CertiK安全团队提出以下建议:对于区块链项目的安全风险不仅需要从代码漏洞层面观察,同时也应该仔细了解项目的逻辑实现与其逻辑设计是否一致。区块链项目需要为其整个部署流程规划详细的设计与实施流程,确保部署操作的原子性。面对区块链项目智能合约拥有者权利过大的问题,不应仅仅依靠外部强制机制来限制,更是应该从智能合约代码实现以及社区治理等多角度综合,从而确保项目不会被任意一方滥用。DeFi热度持续上升,区块链作为时代颠覆性的核心技术,也已在各个领域得到了广泛的应用,隐藏在收益和利好之下的安全隐患也不应被忽视。CertiK致力于构建区块链健康安全生态,利用业内领先的技术解决区块链与智能合约的安全痛点。
中国银行青岛市分行上线“跨境金融区块链服务平台”:为进一步加大“稳外贸”的金融支持力度,助力岛城外贸物流企业有效抗击疫情、复工复产,中国银行青岛市分行充分发挥跨境金融服务优势,在疫情期间实现了“跨境金融区块链服务平台”的全面上线应用,通过技术创新赋能金融服务,实现了国际结算和贸易融资的换挡提速。[2020/3/21]
声音 | 云南财经大学余益民:云南要打好“跨境”这张牌 积极发展跨境区块链:据昆明日报消息,云南财经大学区域电子化公共服务研究中心主任余益民表示,对云南而言,结合毗邻南亚东南亚国家的区位优势,要打好“跨境”这张牌,积极发展跨境区块链。在中国(云南)自贸试验区揭牌的背景下,构建以区块链技术为核心的“数字自由贸易区”,针对国家间存在“数据主权、对等管理、信任孤岛”等问题,用区块链技术将跨境各方连接起来,并允许各方实时、安全共享交易数据,为跨境数据流动和跨境联通提供解决路径。同时,还可积极发展基于区块链的跨境人民币支付结算服务,探索信用证和开放账户智能合约支付,推动跨境供应链金融。利用区块链可信、安全、成本低、效率高的特点,为企业提供更低的门槛,提升中国(云南)自贸试验区的竞争力和吸引力。[2019/11/11]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。