据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共生46起较为突出的安全事件。涉及DeFi相关25起、交易所相关4起、勒索相关3起,欺诈事件10起,钱包相关2起,智能合约相关2起。
据PeckShield「派盾」统计数据显示,2021年5月共计发生25起与DeFi相关的安全事件,损失金额约2.8亿美元,其中,闪电贷攻击约11起,在BSC链上发生的与DeFi相关的安全事件15起,在以太坊链上的3起,在EOS上的1起。
伏泰昊:JUST主动思考如何在波场上建立完善的DeFi体系:据最新消息显示,波场大航海时代4.0全球线上发布会正在进行中,JUST项目负责人伏泰昊在发布会中表示:“JUST旨在打造基于波场TRON的稳定币借贷平台,一个好的金融产品离不开下面应用层的稳定输入与输出,会有多个协议与应用的交叉集合,长期来看,JST代币作为整个治理体系的代币,我们会提供多种底层借贷协议和报价协议等,为用户提供全面的金融服务。作为DeFi明星项目,JUST不仅致力于开拓波场的稳定币市场,也在主动思考如何在波场上建立完善的DeFi体系。”[2020/7/7]
声音 | 中金所党委书记胡政:思考区块链技术应用,赋能金融期货市场:据中金所消息,12月10日,我所党委举行2019年第14次党委理论学习中心组(扩大)学习会议,邀请中央网信办宣讲团成员、浙江大学软件学院副院长、中国计算机学会区块链专业委员会副主任蔡亮教授就区块链技术应用与监管等进行专题辅导。会议由所党委书记、董事长胡政同志主持,党委班子成员出席,交易所总监助理以上干部和各党支部书记、支部委员共计150余人参加学习。胡政同志在总结讲话中强调,增强区块链的应用和管理能力,是推进国家治理体系和治理能力现代化的重要手段,全体干部员工要提高站位、开拓视野,继续深入学习党的十九届四中全会精神和总书记在中央局第十八次集体学习时的重要讲话精神,加强对区块链的学习研究,不断提高运用和管理区块链技术的能力,深入思考区块链技术在我国金融期货市场和我所业务创新中的应用,赋能金融期货市场高质量发展。[2019/12/11]
闪电贷攻击频现,从去年的以太坊转移到了今年大热的BSC上,不少人将“闪电贷”解读为“作恶的源头”“建立在DeFi之上的核弹”“攻击者空手套白狼的本金”。
声音 | 广州省青联委员:支撑比特币主体是用长线思维思考问题的人:5月31日,广州省青联委员戴斌在微博平台发文表示,比特币其实没有任何实际价值,也不是货币。但是比特币是靠认可它的人用信仰支撑的。目前已挖掘出来的1700万比特币(总量2100万枚),有1050万枚在最近一年是完全没有移动过(即没有交易过),所以支撑它的主体都是一些用长线思维思考问题的人[2019/5/31]
实际上,这些言论是对闪电贷的误读,闪电贷只是利用区块链技术,将传统借贷市场无法实现的事情带来一种新的可能。理论上,闪电贷借贷允许用户通过无抵押的方式借出流动性池内的所有通证,并要求用户在进行一系列互换抵押清算操作之后、交易结束之前归还所借通证以及固定的借贷成本。
声音 | 吴世真:区块链创业公司需要多方面思考市场的需要:HAECHI LABS业务开发总监吴世真(音)在由金色财经和cointime主办的金色沙龙韩国站第三期现场发表演讲时表示,很多大公司都在积极布局区块链,对于创业公司来说,在这样的市场环境中需要思考市场还需要什么,能够填充市场空白。同时,她指出,创业公司可以从安全检查、道具开发、环境改善、提供开发解决方案等方面去思考。[2019/2/28]
在BSC首次出现的闪电贷攻击是5月2日,PeckShield「派盾」通过追踪和分析发现,DeFi协议?SpartanPotocol?遭到闪电贷攻击。之后闪电贷攻击出现在BSC链上的频率呈上升趋势,包括?PancakeBunny、BoggedFinance、AutoShark、BurgerSwap、JulSwap。
PeckShield「派盾」观察发现,这些闪电贷攻击手法与以太坊上曾出现的闪电贷攻击大同小异,只是从以太坊转移到BSC。随着年初BSC凭借低手续费、出块速度快等优势吸引了一批原以太坊上的DeFi协议和Fork以太坊上的DeFi协议,DeFi的生态日益丰富,绑定在BSC上的资产也越来越多,这也使其成为攻击者睥睨的「收割场」。
从上述6个闪电贷攻击案例中,我们发现大部分攻击与之前发生在以太坊上的攻击十分相似。
BurgerSwap与OUSD的攻击手法有异曲同工之妙。基于BSC的BurgerSwap和基于以太坊上?OUSD?的闪电贷+重入攻击有相似之处,攻击者都是先从提供闪电兑换的去中心化交易所借出一笔闪电贷,再在智能合约中存入假币和原生Token,并在此步骤通过重入攻击来攻击合约,最后归还闪电贷完成攻击。
操纵CurveyPool的闪电贷攻击在BSC上重现。5月30日,BSC链上结合多策略收益优化的AMM协议BeltFinance遭到闪电贷攻击,PeckShield「派盾」通过追踪和分析发现,此次攻击源于攻击者通过重复买入卖出BUSD,利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。
值得注意的是,Ellipsis是以太坊上DeFi协议Curve授权Fork的项目,多次操纵CurveyPool的价格,以套取稳定币价差的套利事件重现,ForkCurve的潘多拉魔盒是否已经打开?
综上,这些重现的闪电贷攻击都有迹可循,并非没有防御的办法。??
PeckShield「派盾」相关安全负责人表示:“协议开发者不仅要读懂Fork的DeFi协议,还要读懂自己的协议,协议的乐高性不是简单的拼接,而是在完全理解原协议背后的逻辑进行组合。目前对于闪电贷攻击并非没有解决的办法。我们发现攻击者多从已知的漏洞下手,要做的就是在协议上线前做好静态审计,排除已知的漏洞;当其他协议遭到攻击时,自查代码,排除同源漏洞;研究以往的案例,定期做动态审计,避免漏洞重现。除了寻求专业代码审计团队的帮助,还需引入第三方安全公司的威胁感知情报和数据态势情报服务,完善防御系统。在攻击发生时,确保第一时间感知并及时采取应对措施。”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。