/前言
10月以来各类安全事件依然多发且主要集中在月末,从Defi安全角度看安全形势不容乐观,黑客攻击带来的损失最大多达1.3亿美元,令人震惊。知道创宇区块链安全实验室总结了10月发生的各类安全事件,并就攻击手法和暴露出的问题进行探讨。
/10月安全事件盘点
以下是10月发生的各领域的安全事件:
10月2日
BSC链上DeFI协议AutoSharkFinance遭遇闪电贷攻击,其挖矿兑换功能存在漏洞,被黑客攻击后损失约58万美元。
穆长春:央行数字货币保证储户的提现权利:金色财经报道,中国人民银行数字货币研究所所长穆长春指出,在现钞时代,中央银行主导现金和准备金的供给,并掌握向银行体系提供增量流动性权力,当储户将现金存入商业银行的存款账户时,商业银行在负债端增加了存款并缴纳法定存款准备金,这笔现金被商业银行存入中央银行的金库时,在资产端增加的是在中央银行的准备金,由于法定存款准备金率小于1,那么商业银行获得现金存款的最终结果是支持了商业银行信贷业务的发展。
“尽管从记账上看,一笔贷款产生的同时,增加了借款人在同一家银行账户上的存款,这给人一种贷款创造存款的幻觉,但从根本上说,是法定货币创造了银行的信用货币,可以说银行的信用货币也类似于央行货币。”穆长春表示,“随着电子支付的发展,商业支付工具逐渐替代物理现金,未来,商业电子支付工具可能全面满足数字经济社会的需求并完全替代现钞。如果没有央行数字货币的发行,那么储户在无现金社会就失去了提现的权利。”[2023/9/4 13:15:42]
10月4日
穆长春:统筹管理数字人民币的信息 开发钱包生态平台:10月25日消息,中国人民银行数字货币研究所所长穆长春在2020外滩金融峰会上表示,要统筹管理数字人民币的信息。统筹管理数字人民币钱包,统一数字人民币认知体系,有效降低防伪成本,按照双层运营原则,采用共建、共享方式由央行和指定运营机构共同开发钱包生态平台。同时要实现各自的视觉识别和特色功能。(财联社)[2020/10/25]
去中心化借贷协议?Compound在试图通过社区提案修补流动性挖矿代币分发合约含有的漏洞的同时,因为drip()函数的调用而向漏洞合约打入了20万枚comp代币,由此该协议已面临1.58亿美元的潜在损失。
穆长春:金融分布式账本技术安全规范适用于区块链公司:3月16日消息,针对此前出炉的《金融分布式账本技术安全规范》,央行数字货币研究所所长穆长春接受专访时表示,《安全规范》梳理了在金融行业应用分布式账本技术应满足的普适性的安全要求,适用于在金融领域从事分布式账本系统建设或服务运营的机构,并不局限于传统金融机构,区块链以及其他技术公司只要在金融领域从事分布式账本系统建设或服务运营,也就适用。同时央行数字货币DC/EP在技术选型上采用成熟稳健技术并兼顾创新,综合了传统集中式架构与区块链技术优势,借鉴区块链技术核心内涵与优势,回避其短板。由于安全技术是相通的,因此DC/EP在进行安全设计时,参考了《安全规范》中的有关要求。同时针对分布式记账的去中心化特性与中央银行的集中管理要求可能存在冲突的情况,穆长春表示,实际上,区块链的去中心化优势更多体现在技术上的去中心化优势,教条式的鼓吹全面去中心化的往往是自己暗中想演变为新的中心。为避免冲突并满足集中管理的要求,同时不剥夺金融行业主体享受区块链带来的技术创新红利,区块链作为金融服务工具的底层系统和技术架构,须做相应的改造和升级,使其既能发挥去中心化的技术优势,也要满足中心化管理的要求。因此,在缺省情况下区块链平台从底层设计时就应考虑监管和隐私保护方面的要求,例如《安全规范》中相关内容要求。(澎湃新闻)[2020/3/16]
10月11日
Moonriver链上DEXMoonSwapIDO项目SaturnBeam跑路。
10月15日
以太坊上被动收益协议IndexedFinance遭到攻击,其漏洞产生的原因在于协议通过一种代币来描述整个矿池价值,损失约1600万美元。
10月18日
ESC链上DeFi协议GlideFinance合约漏洞被利用,漏洞原因为团队在审计后进行了费用参数更改,但未将合约上的数字从1000更新为10000,损失约为30万美元。
10月20日
BSC链上DeFi协议PancakeHunny遭闪电贷攻击,漏洞原因在于其底层资产兑换过程的价格易被操控,使得攻击者可以通过巨额资金操纵某一交易对价格进行攻击套利。
10月21日
Avalanche链上生态协议AvaterraFinance遭黑客攻击,其铸币合约存在严重漏洞,任何人都可以调用其铸币功能。
10月27日
以太坊上DeFi借贷协议CreamFinance再遭受攻击,此次攻击产生的核心代码原因在于价格因子pricePerShare通过简单的资产数额占比来动态定价,损失约1.3亿美元。
10月29日
BSC链上DeFi协议AutoSharkFinance于本月再次遭到攻击,损失金额超200万美元。
10月29日
公平启动拍卖平台Copper上启动的项目AnubisDAO中5865万美元资金被盗。
10月30日
BSC链上去中心化交易协议BXH项目遭受攻击,该攻击核心原因在于管理权限被直接赋予攻击者,损失金额约1.39亿美元。
/总结
10月发生的安全事件类型是多样化的,各种漏洞产生的情况也是各有不同,有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等。知道创宇区块链安全实验室在此提醒,近期各链上攻击情况仍然处于多发,合约安全需要得到最高的重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。