Informe de seguridad en cadena de 2020: más de 60 ataques y pérdidas de DeFi superaron los $ 250 millones

El año mágico de 2020 llegó a su fin con la compañía del mercado alcista, sin embargo, durante este año, los incidentes de seguridad en la cadena ocurrieron con frecuencia. Rhythm BlockBeats resume los incidentes de seguridad en cadena ocurridos en 2020. El "Informe de seguridad en cadena de 2020" se divide principalmente en cuatro partes: eventos importantes que afectaron a la industria de divisas en 2020, incidentes de seguridad de Ethereum, seguros de contratos y otros ataques fuera de los contratos de DeFi.

La nueva epidemia de la corona en 2020 ha tenido un gran impacto en la economía global. El mercado de valores de EE. UU. ha experimentado tres interruptores de circuito en un mes. Al mismo tiempo, el mercado de activos encriptados también se ha visto implicado. El 12 de marzo, todos los activos cifrados se desplomaron. Bitcoin cayó un 50 % en un día, y el valor de mercado total del mercado de activos cifrados se redujo casi a la mitad. Posteriormente, los bancos centrales de varios países optaron por enfrentar este duro golpe de la manera más simple y grosera: liberación loca de QE. Aunque este estímulo es la política monetaria más efectiva, sus efectos secundarios también son evidentes. la

Si el tsunami financiero desencadenado por la crisis de las hipotecas de alto riesgo creó Bitcoin, entonces la gran cantidad de dinero impreso causada por la epidemia ha hecho que más personas se den cuenta de que Bitcoin es un activo escaso y puede protegerse contra el riesgo de depreciación de la moneda legal. La compra, la custodia y la madurez de diversas infraestructuras de activos cifrados y derivados cumplen con las normas y brindan soluciones perfectas para los demandantes de activos cifrados desde todos los ángulos, y muchas instituciones han elegido naturalmente Bitcoin y otros activos cifrados líderes como parte de la asignación de activos.

Si los inversores minoristas no disfrutan de los dividendos generados por el mercado alcista institucional, entonces todos no deben estar ausentes del aumento de la minería de liquidez. Para convertirse en "agricultores" de DeFi, aquellos usuarios que una vez solo almacenaron sus monedas en el intercambio centralizado transfirieron sus activos al "cabeza de zorro" e intercambiaron activos no productivos por "azadas" agrícolas a través del intercambio descentralizado. La minería loca ha hecho que el valor de mercado de los activos en la cadena Ethereum se dispare a la nube, pero al mismo tiempo, también se ha convertido en la grasa de los piratas informáticos.

Fuente: OKLink

Liderada por la minería de liquidez, DeFi, que ha estado en silencio durante mucho tiempo, se ha convertido en el foco de atención en la segunda mitad de 2020. Los usuarios depositan activos en el contrato para proporcionar liquidez para el acuerdo, obteniendo así la tarifa compartida del acuerdo y las recompensas del token de gobierno.

Dado que varios activos valiosos se almacenan en el protocolo, esto hace que el protocolo DeFi sea el área más afectada por los ataques. Los piratas informáticos utilizan varios medios para atacar los contratos.Según las estadísticas de PeckShield, habrá 60 incidentes de seguridad DeFi en 2020, con una pérdida de más de 250 millones de dólares estadounidenses, lo que representa el 12,5% de las pérdidas totales causadas por ataques de piratas informáticos, lejos superando los datos de 2019.

Secretario General Adjunto de la CCPPCh de Beijing: El patrimonio cultural tradicional debe presentarse con la ayuda de Metaverse: El 4 de enero, Song Weizu, miembro del Comité Permanente de la CCPPCh de Beijing, secretaria general adjunta y directora adjunta de la Central Cultural Comité de la Liga Democrática, habló en la Quinta Sesión de la XIII CCPPCh de Beijing Se sugiere que en términos de herencia y desarrollo del patrimonio cultural tradicional, se puede presentar con la ayuda de Metaverse. Dijo, por ejemplo, que es imposible para nosotros reconstruir un Di'anmen en la avenida Ping'an ahora, pero podemos restaurar un Di'anmen virtual a través de la tecnología moderna, que no solo puede satisfacer las necesidades reales del tráfico, sino también presentar completamente el eje central de Beijing, grandioso y magnífico. [2022/1/4 8:24:19]

Crédito de la imagen: PeckShield

Los tres ataques más comunes que ocurren en los contratos DeFi son los ataques de manipulación de Oracle (préstamos flash), los ataques de reingreso y las vulnerabilidades de código.

En el contexto del auge actual de DeFi, los ataques de Oracle son extremadamente comunes, porque la mayoría de los protocolos DeFi necesitan proporcionar información de precios a través de oráculos de alimentación de precios. En términos generales, hay dos tipos de oráculos de alimentación de precios: dentro y fuera de la cadena. Los oráculos dentro de la cadena obtienen información tomando precios de intercambios descentralizados, mientras que los oráculos fuera de la cadena obtienen precios de intercambios centralizados.

Estas dos formas de alimentar los oráculos de precios tienen sus propias ventajas y desventajas.Se puede confiar completamente en la obtención de precios de la cadena a través del acuerdo, pero existe el riesgo de ser manipulado y atacado. Aunque el oráculo fuera de la cadena no corre el riesgo de ser atacado por préstamos rápidos, su fuente de precios debe ser proporcionada por un intercambio centralizado, existe el riesgo de centralización y los datos fuera de la cadena se reflejan lentamente en la cadena.

En la cadena, los usuarios pueden completar instantáneamente una serie de operaciones, como préstamos de gran cantidad, intercambio y depósitos de gran cantidad a través de la herramienta de préstamo flash, que permite a los atacantes crear oportunidades de arbitraje por sí mismos, manipulando así el precio del intercambio descentralizado. para interrumpir a otros usuarios que usan la plataforma. La aplicación DeFi basada en precios finalmente completa el ataque de arbitraje. Los casos típicos incluyen bZx, Cheese Bank, Harvest y Valley y otros ataques de Oracle que alimentan los precios.

El ataque de reingreso es un método de ataque muy dañino, que puede drenar fácilmente todos los activos del contrato. En el famoso robo de la DAO, el atacante usó un ataque de reentrada para provocar una bifurcación dura de Ethereum y perdió $ 50 millones en Ethereum.

Los contratos inteligentes no solo pueden llamarse entre sí, sino también internamente. En circunstancias normales, esto no causará ningún problema, pero cuando la llamada hace que el estado del contrato sea inconsistente, como cuando el monto del retiro es mayor que el monto del contrato, o cuando un contrato inicia una transferencia antes de que el saldo se establezca en cero. , el atacante puede abusar de la función de retiro para retirar todos los saldos del contrato. Los casos clásicos de ataques de reentrada de este año incluyen: Akropolis, dForce y Origin.

Dichos ataques generalmente son causados ​​​​por lagunas lógicas o puertas traseras que dejan los desarrolladores al escribir contratos inteligentes. La mayoría de las lagunas del contrato aparecen en contratos no auditados. El método más común es que el atacante utiliza las lagunas en el contrato para acuñar monedas infinitamente y luego drena los activos en el fondo de liquidez, congela los activos en el contrato o el desarrollador del contrato toma se lleva los activos del contrato y luego se va.

En el mundo descentralizado, debido a la rápida iteración de las aplicaciones DeFi, para ponerse al día con la popularidad, los contratos de muchas aplicaciones se liberaron sin pasar la auditoría de terceros. También hay innumerables activos perdidos debido a lagunas en los contratos inteligentes. Muchos usuarios pueden quejarse de que la parte del proyecto es irresponsable, pero algunos proyectos no divulgan la información del proyecto. Debido al sentimiento de FOMO, los usuarios usarán pistas para encontrar contratos de proyectos no divulgados para participar primero en el proyecto.

Por ejemplo, en la madrugada del 29 de septiembre, el fundador de YFI publicó en Twitter dos dibujos de diseño relacionados con el proyecto del nuevo proyecto en el que participó. Los piratas informáticos luego encontraron la dirección del contrato del proyecto y utilizaron ataques de préstamo flash para robar 16 millones de monedas DAI. la

La auditoría de contratos lleva demasiado tiempo para los productos DeFi iterativos de alta velocidad, y el seguro puede ser una mejor opción. Para que DeFi se desarrolle, necesita infraestructura como un seguro. No es realista confiar en los usuarios del protocolo DeFi para comprar un seguro por sí mismos. Un esquema puede extraer una parte de las tarifas de transacción del acuerdo o los ingresos mineros y depositarlos en la tesorería del proyecto, y una parte de la tesorería se utiliza para comprar el seguro del acuerdo.

Además de los ataques a contratos, los ataques a cadenas públicas, intercambios y billeteras tampoco son una minoría. La mayoría de los ataques de cadena pública son ataques del 51% Desde principios de año, múltiples proyectos de blockchain han sufrido ataques de doble gasto del 51% uno tras otro. De enero a febrero, la red BTG fue repetidamente atacada por el doble gasto y la pérdida alcanzó más de 50,000 dólares estadounidenses. Entre julio y agosto, Ethereum Classic (ETC) sufrió tres ataques del 51%, lo que resultó en pérdidas de decenas de millones de dólares.OKEx consideró una vez eliminar a ETC del intercambio. El 8 de noviembre, Grin Network fue atacada por un 51 % y, debido a la respuesta oportuna, no se produjeron pérdidas.

La razón principal del ataque del 51 % es que el nivel de consenso del proyecto blockchain no es suficiente, y los mineros recurrieron a otros proyectos, lo que resultó en una disminución de la potencia informática para mantener el funcionamiento de la red, dando a los atacantes una oportunidad. Por ejemplo, ETC, BTG y AE son todos proyectos de cadena de bloques pasados ​​de moda hace algunos años. La popularidad de los proyectos ha disminuido drásticamente y el precio de la moneda no ha funcionado bien. Dado que los ingresos de los mineros están directamente relacionados con la moneda precio, los mineros aprovecharán la tendencia para sumarse y ganar más en la cadena pública.

Por supuesto, algunos proyectos nuevos también serán atacados. Aunque el rendimiento del precio de la moneda es promedio, pero debido a que aún no ha reunido una comunidad fuerte, no hay suficiente consenso y poder de cómputo, y el costo del ataque es relativamente bajo. Al final , los piratas iniciarán Target. Desde la perspectiva de métodos de implementación específicos, a medida que la potencia informática de la red atacada disminuye o su propia potencia informática es insuficiente, el atacante puede obtener suficiente potencia informática para atacar alquilando potencia informática, y el costo del ataque es bajo y los beneficios son generalmente mucho más alto que el costo.

Fuente de la imagen: Crypto51.app

El robo de la billetera caliente de Kucoin Exchange también ha atraído la atención de los expertos. La brecha afectó a las billeteras activas Bitcoin, Ethereum y ERC-20 del intercambio, y la plataforma perdió casi $281 millones en activos. Sin embargo, los atacantes de KuCoin parecían estar muy ansiosos, tratando de dividir directamente el USDT y transferirlo a Binance y Matcha Exchanges por dinero en efectivo.Sin embargo, antes de que pudieran operar las cuentas relevantes, ambos intercambios las congelaron a tiempo. Posteriormente, Bitfinex y Tether también congelaron sucesivamente alrededor de 33 millones de USDT en la dirección de ataque de KuCoin.Después de trabajar durante mucho tiempo, el hacker pareció no obtener nada.

En el mágico mercado de cifrado de 2020, hemos experimentado demasiado. Después de 3.12, la gente recuperó su confianza. El sentimiento FOMO encendido por DeFi no es menor que el de IC0 en ese entonces. El entusiasmo de los usuarios sin duda hará que los desarrolladores estén más motivados para desarrollar más aplicaciones en cadena interesantes, de alta calidad y atractivas, por supuesto, la seguridad es lo primero. Hoy en día, las instituciones financieras tradicionales han centrado su atención en los activos cifrados, y las aplicaciones financieras cifradas definitivamente se convertirán en el centro de atención.Si las aplicaciones financieras cifradas se van a descentralizar por completo, entonces el enfoque principal debe ser la seguridad. En el futuro, aparecerán inevitablemente otros derivados además del seguro de contrato para cubrir los riesgos de seguridad de los activos, y las tecnologías cada vez más perfectas también aumentarán los costos de ataque desde varias dimensiones. ¡Creo que con el rápido desarrollo del mercado de cifrado mañana, habrá cada vez menos incidentes de seguridad!

Tags：

Bitcoin