加密安全启示录
黑客今年从加密应用程序中窃取了超过 2B 美元。DAOrayaki去中心化编辑委员会撰写此文时,又发生两起黑客攻击事件:Rabby wallet 、Solana生态去中心化金融平台Mango。随着加密生态系统的发展并吸引更多的恶意行为者,问题只会变得更糟。有些事情必须改变。是时候退后一步,反思过去的错误,并改变我们在这个行业中处理安全性的方式。
在这篇文章中,我们将:
-
提出一个对加密货币黑客进行分类的框架
-
概述迄今为止最有利可图的黑客所使用的方法
-
回顾目前用于防止黑客的工具的优势和劣势
-
讨论加密货币安全的未来
1、加密货币黑客攻击分类框架
加密应用生态系统由可互操作的协议组成,由智能合约提供支持,依赖于主链和互联网的底层基础设施。
由于堆栈的每一层都有其独特的漏洞。我们可以根据被利用的堆栈层和使用的方法对加密黑客进行分类。
基础设施
对基础设施层的攻击利用了支持加密应用程序的底层系统的弱点:它依赖于达成共识的区块链、用于前端的互联网服务以及用于私钥管理的工具。
智能合约语言
这一层的黑客利用了 Solidity 等智能合约语言的弱点。智能合约语言中存在众所周知的漏洞,例如可重入性和错误的委托调用实现的危险,可以通过遵循最佳实践来缓解这些漏洞。
*有趣的事实:用于执行 6000 万美元The DAO 黑客攻击的漏洞实际上是由 Least Authority 在对以太坊的安全审计中发现的。有趣的是,如果在发布前已经修复,事情会有多不同。
协议逻辑
此类攻击利用单个应用程序的业务逻辑中的错误。如果黑客发现错误,可以使用它来触发应用程序开发人员无意的行为。
例如,如果一个新的去中心化交易所在确定用户从exchange中获得多少的数学方程式中存在错误,则可以利用该错误从exchange中获得比本应可能的更多的钱。
协议逻辑级攻击还可以利用现有的治理系统来控制应用程序的参数。
生态系统
许多最具影响力的加密黑客利用了多个应用程序之间的交互。最常见的变体是黑客利用从另一个协议借来的资金利用一种协议中的逻辑错误来扩大攻击规模。
通常,用于生态系统攻击的资金是通过快速贷款借入的。在执行闪电贷款时,只要资金在同一笔交易中归还,您就可以从 Aave 和 dYdX 等协议的流动资金池中借入尽可能多的资金,而无需提供抵押品。
2、数据分析
从 2020 年起,我们采集了 100 个最大的加密黑客数据集,被盗资金总计 5B 美元。
生态系统攻击最常发生。占样本组的 41%。协议逻辑漏洞导致的损失最大。