数据与安全

  • 圆桌实录:聚焦区块链网络安全“攻防战”,行业参与者如何避免资产损失?丨2021世界区块链大会

    7月24日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心召开。本次大会由杭州时戳信息科技有限公司(巴比特)主办,杭州未来科技城管委会等机构支持
。 在创新融合与区块链安全治理论坛上,一场题为《区块链网络安全治理》圆桌讨论引得全场关注。 本场主持人是《财经》区块链频道链新主编朱星,嘉宾有浙江省公安厅刑侦总队区块链犯罪课题研究负责人徐昱、无极实验室首席研究员史金涛、PeckShield(派盾)创始人兼CEO蒋旭宪以及北京市中伦律师事务所律师谭天。 以下内容经巴比特整理,是本场圆桌的精华内容。 01《财经》链新主编朱星:首先请各位嘉宾做一个自我介绍。 徐昱:我从事了多年的新刑事网络犯罪的打击工作,也接触了很多区块链相关的犯罪案件。作为一个刑警,我更多关心的是案件和安全相关的问题。在平时案件研判的过程中,也会和行业内的企业进行良好的沟通和互动,希望更多的从业者可以关注犯罪相关的案件。 史金涛:我来自无极实验室。我是信息安全攻防出身,之前主要是做一些传统互联网行业的安全攻防、安全建设等工作,目前在无极实验室主要是负责区块链链上安全攻防研究以及区块链犯罪分析、溯源追踪等工作。无极实验室聚焦于区块链情报、安全、溯源追踪等多个方面的研究工作,是一家比较新的区块链安全独立供应商。 蒋旭宪:我来自于PeckShield(派盾),是一家专注于区块链安全的创业公司,成立已有三年的时间。 谭天:我来自北京市中伦律师事务所,律所于1993年成立,目前是国内规模最大的律师事务所之一。我们从2015年开始针对区块链相关的法律监管和法律合规的问题进行研究,也为很多的企业和项目提供了法律方面的咨询,包括合规的法律咨询和服务。 02《财经》链新主编朱星:徐警官,你办理的案件中,涉及到区块链或者是加密资产的时候有哪些特点,或者说在这个行业中从业,不管是投资,还是涉及到从业,应该避开哪些坑? 徐昱:这个领域对于投资者来说,首先有很多新的区块链相关的案件发生,这个领域趋势和我们传统犯罪的趋势是一样的,大家都知道几年之前更多的犯罪是线下的盗窃、抢劫等,但是随着电子支付以及互联网的发展,往往抢或者偷不到现金了,并且伴随路面监控和人像识别技术不断的发展,传统犯罪越来越少。在三四年前,线上的犯罪超过了线下的犯罪。区块链这个领域也是类似的,几年之前更多是使用区块链作为一个工具进行犯罪,但是现在的区块链犯罪侵害的主体更多的是区块链生态本身。 浙江省公安厅刑侦总队区块链犯罪课题研究负责人 徐昱 03《财经》链新主编朱星:史总主要是做一些安全方面的工作,目前黑客攻击或者说你们团队所接触的案件出现了哪些新的手段? 史金涛:针对不同的角色,对应面临的威胁也是不同的。 对于交易所等中心化机构来说,APT攻击以及链上攻击我认为是目前最大的两个威胁。APT攻击,高级持续性威胁,一般都是一些职业黑客团队组成的。在来到区块链行业之前,这些组织一般都是盯着政府、商业情报、SWIFT跨境结算系统这些行业的。这些组织有着体系化的分工,执行公司化运作,使用各种方式通过入侵到中心化机构内部,盗取核心钱包资产;而链上攻击主要是以双花攻击、基于漏洞的假充值攻击为主的攻击方式。根据无极实验室的跟踪研究,目前我们定位到一个专门进行双花攻击的团队,这些人来自多个东欧国家,具备专业的双花经验和设备,且有着成熟的变现渠道。从去年下半年到今年的多起双花攻击都与这些人有着极为密切的关系。 对于一些DeFi的区块链项目来说,通过找寻代码或者业务逻辑漏洞是黑客常用的手段。智能合约的授权机制漏洞、针对各类DeFi的“闪电贷”攻击等,都是黑客常用的手段。解决这些问题,主要还是依赖事前的措施,如严格按照规范编写合约、做好合约安全审计等。 对于普通用户,黑客常见的手段则是钓鱼、诈骗。通过“高额返现”的幌子,诱导用户使用钱包进行转账,通过使用技术手段盗取用户钱包资产;或者引导用户进行虚假投资,骗取用户资产等。黑客的手段随着时间以及新的业务模式在不断的变化,未来肯定还会有其他的手段等着我们去应对、解决。 无极实验室首席研究员 史金涛 04《财经》链新主编朱星:蒋总,你觉得在接下来哪些领域容易成为黑客攻击的重点领域,投资者应该注意什么? 蒋旭宪:我们看的问题跟你们的角度不一样,我们看到一些新的攻击发生的趋势,更多的是链上链下的融合,尤其是给勒索软件提供了便捷的渠道,也是一个新的行业在早期发展的时候,它们跑路、诈骗是很有市场的,这个时候规模也比较大。另一方面,尤其从新型的DeFi协议出现后的情况来看,攻击者的手段是很有准备的,不仅是协议漏洞的应用,还有跨链资产的转移,攻击发生之后,可以在半个小时内洗完盗窃的资金,这个给监管带来了很大的挑战。 如果投资者对这个领域感兴趣的话,首先是不要拿全部身家来投资,不要轻信“专家”、“内部人士”…

    6天前
    30 0
  • 2021 上半年安全事件回顾:被黑、骗局和停机

    我们先来深入了解下行业的整体态势,看看我们是否从 2020 年学到了教训,是否有所提升。 以下是 2021 年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件,因为太多了,实在是数也数不清…… 2021 年第一季度出现了一些有趣的事件,从整个协议的突然停摆到 DeFi 合约被黑,再到黑客被捕,都有。我们也看到了完全针对个人的攻击,这让整个行业感到震惊,因为这些坏人可能为了一笔钱而不择手段。 与去年相比,第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方,也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。 故事:Yearn 被盗 1100 万美元摘要:最大/最老牌 的自动化流动性挖矿协议之一,Yearn,其某个 v1 金库遭遇爆破,被盗金额总计 1100 万美元,而金库的用户遭遇了 280 万美元的直接损失。Yearn 团队在 10 分 14 秒内成功地缓解了此次爆破,包括 Tether 冻结了 170 万 USDT来防止攻击者转移资产。 故事:DMM DAO 因 SEC 调查而停摆摘要:DMM DAO 是一个使用 Chainlink 信息传输机制把现实世界资产搬到链上的 DAO,因为美国证监会对他们的调查而停止了运营。 故事:Blockfolio 遭到劫持后输出了带有攻击性的内容摘要:今年 2 月,一名恶意人士获得了 Blockfolio 所用的内容推送系统的权限,然后向所有的 Blockfolio 用户推送了带有攻击性的内容。不久之后,SBF 确认并解释了此事,然后他们把责任推到了竞争对手身上,声称 “恶意内容乃是我们的交易所同行炮制和发布的”。 故事:T-Mobile 因用户遭遇 SIM 攻击损失价值 45 万美元的比特币而遭起诉摘要:SIM 卡被盗在密码货币的世界里太常见了!(我们甚至为此写了一篇大文章!)这个受害人在因为 SIM 卡被盗而损失了 15 个比特币之后,起诉了其通信服务商。 (注:SIM 卡 “被盗” 是指攻击者通过各种攻击手段了解目标受害者的个人信息之后,贼喊捉贼,向服务商表示自己的 SIM 卡被盗或遗失,从而获得目标的 SIM 卡控制权。) 故事:DeFi 协议 Cream Finance Alpha 版遭遇闪电贷攻击,损失了 3750 万美元摘要:一次巧妙的闪电贷攻击让操作者得以吸干 AlphaFinance 的金库合约。FrankResearcher 以长推特的形式披露了整个事件。不久之后, AlphaFinance 暗示,他们知道攻击者是谁。 故事:一个 MetaMask 实例的本地漏洞导致 800 万美元被盗摘要:这件事情警醒了整个社区盲目信任一个 UI 的危险性,也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后,我们确信,这是经过 “深思熟虑” 的。 故事:Roll(社交代币)被盗 3000 ETH/570 万美元摘要:一个发行社交代币的平台 Roll 遭遇了一个事故,一个热钱包的私钥被劫持,而攻击者把所有的社交代币都卖成了 ETH(这也打压了这些社交代币的市场价格)并把 ETH 通过 TornadoCash 迁移到了另一个地址。 故事:Twitter 黑客认罪,被判三年摘要:去年推特上出现了一次大规模的账户被黑事件,许多高价值账户被推特的内部工具发布消息,为骗局推波助澜。一年不到,这个黑客 —— 只有 18 岁 —— 就被捕并且判了刑。 故事:Filecoin 在币安上被多重花费 —— 涉及 460 万美元摘要:据开发者披露,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个错误是因为 Filecoin RPC 代码里面的一个 bug 而导致的。 故事:GitHub Actions 被主动滥用在 GitHub 服务器上挖矿摘要:GitHub 允许服务器运行代码,以帮助测试。一些别有用心的人就利用这个(免费)的服务器来挖矿 —— 他们完全没有电力支出和维护费用,纯赚区块奖励。 故事:xFORCE 被白帽子(和其他人)攻破摘要:xFORCE 合约没有严格遵循 ERC20 标准,这让他们的存入机制出了一个漏洞,而存入机制与 xFORCE 代币铸造是绑定的。只要你拥有 xFORCE 代币(都不需要实际存入),你就可以取出 FORCE 代币(等于是免费拿走)。 故事:验证者从 Stellar 网络掉线摘要:因为一个软件上的 bug,Stellar 网络上的一组验证者突然掉线,导致事务处理中断了。在 10 多个小时后,问题根源找出并且得到了修复,而验证者们也回到了线上。 故事:针对 Legder 和 Shopify 在 2020 年泄露…

    2021年7月16日
    54 0
  • BSC生态又一起“闪电贷攻击”:ApeRocket Finance被黑事件简析

    ​​一、事件概览 北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。 成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。 二、事件分析 Ø 攻击过程分析 1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。 2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。 3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。 4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。 5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。 6. 归还“闪电贷”,完成整个攻击后离场。 Ø 攻击原理分析 l 在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。 l 在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。 l 一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。 l 但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。 三、事件复盘 不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。 成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。 文章来源:BSC生态又一起“闪电贷攻击”:ApeRocket Finance被黑事件简析

    2021年7月15日
    42 0
  • 观点 | 为什么说数据可用性检查对区块链扩容方案很重要?

    来源 | dankradfeist.de 作者 | Dankrad Feist 原标题:《数据可用性检查》 数据可用性检查须知本文旨在解释数据可用性检查,以及为什么区块链的扩容方案,例如以太坊 2.0,需要它们。本文预设了读者具有区块链 (例如比特币和以太坊) 的基本背景知识、最好对现在使用的共识算法 (工作量证明和权益证明) 也有所了解。为了简单起见,解释内容将建基于权益证明链——由所有具有相同权重的全节点运行共识协议,具有 2/3 诚实假设;但这些分析同样适用于工作量证明和其他协议。 入门知识想想看,区块链有全节点和轻客户端,还有一个点对点网络,它可能对数据是有损的,但不会自适应地审查数据。相对于全节点来说,轻客户端是一个更便宜的选择。在传统的区块链协议里,我们假设所有客户端都运行全节点,验证在状态转换中的每一笔交易。运行一个全节点要求计算机有大量的内存、算力和带宽。对于移动客户端和许多资源受限的环境来说,这个成本可能太高了。 轻客户端是只需下载每个区块的区块头的节点,它们信任全节点对状态转换的检查是正确的——并假设共识算法不会产生违背这点的区块链。轻客户端依赖全节点为任何相关交易提供区块内的信息。这很可能只占链上所有数据很小的百分比。 为了解释地更清楚,我介绍这里的三类角色: 全节点通过对每个区块的共识生成一条区块链,并始终下载所有数据和验证所有状态。每当它们看到区块里有不一致的状态 (例如,区块的最终状态与区块内的交易不一致),它们会生成一个欺诈证明,以警告轻客户端。 轻客户端只下载区块头 (非交易数据和状态),除了它们想知道的交易和部分状态。它们与全节点连接,以请求所需要的数据。 点对点网络传播区块头,并允许随机访问上传到它的数据块。 一个全节点具有下列安全保证: 与其他全节点形成的共识 (绝对) 多数可以构建另一条区块链,从而进行双花攻击;更广泛来说,它们可以任意对交易进行重新排序,创建另一个版本的交易历史。 由于要检查状态,即使是其他全节点形成超级多数对不一致的状态达成共识,也不可能让一个诚实全节点同意这条链。 因此,一个全节点的安全假设是 2/3 的诚实全节点可以保证交易不会被重新排序,但正确的状态执行是不需要任何的诚实假设来确保的 (一个全节点根本不可能被欺骗接受一个不正确的状态转换)。 对于轻客户端来说,情况略有不同,因为它们不下载和验证状态。因此,在没有欺诈证明 (详见下文)的情况下,“天真” 的轻客户端会被骗,相信由绝对多数 (2/3) 的全节点达成共识的区块链是没有问题的,即使它实际上有一个不正确的状态转换。 欺诈证明欺诈证明能是给轻客户端一个更好的安全模型,使其安全性接近于全节点。其目的是,只要至少有一个诚实的全节点 (比 2/3 多数假设弱得多),轻客户端也可以被保护,免受无效链的影响。 欺诈证明是如何实现这点的?假设区块链执行区块 B 内的交易 t1,…,tn,且区块头为 H。如果我们增加一个执行跟踪,用来存储每笔交易前和后的状态的默克尔根,我们把它叫做 s0,…,sn,如果有任何交易被错误执行(即其结果没有正确应用于状态)就可以构建一个虚假证明:如果说交易 ti 是有问题的交易,给出三元组 (si−1,ti,si),再加上在区块头 H 里显示已被打包的默克尔证明,这将构成一个欺诈证明。事实上,我们仅需要打包 ti 需要和影响到的 si-1 和 si。这个欺诈证明的大小比原来的区块 B 要小得多,因此容易在网络里广播,警告轻客户端不要跟随这条链。 所以,现在轻客户端的安全假设就比之前的要强很多了: 2/3 的不诚实全节点可以构建另一条链,从而改变交易历史或给交易重新排序 (例如,发起双花攻击)。 但是为了防止出现不正确的状态转换,现在的假设是至少有一个诚实全节点 (它可以创建欺诈证明),且网络是同步的 (这样你就能即使接受到欺诈证明)。 数据可用性问题用欺诈证明保护轻客户端不受错误状态转换影响这个方法其实有一个缺口。如果绝对多数的全节点都已经对一个区块头签名了,但不发布部分数据 (特别是,这可能是欺诈性交易,它们将晚点发布,以骗过别人接受印出来的或偷来的钱)?显然,诚实全节点将不会跟随这条链,因为它们不会下载该数据。但轻客户端不会知道数据是否可用,因为它们只下载区块头,不下载数据。因此,现在的情况是诚实全节点知道有猫腻,但它们无法警告轻客户端,因为它们缺少可能需要用来创建欺诈证明的数据。 难道它们就不能用其他信息警告轻客户端,告诉它们:“嘿,小心,这个区块的数据不可用。”吗?是的,但问题在于它们无法证明——不存在数据不可用的证明,所以上述的简单欺诈证明机制是不起作用的。 更糟糕的是,这不是可归责的问题。有些数据可能因为网络条件不好而丢失了,而这些数据可能在以后再次出现。因此,如果你是一个诚实节点…

    2021年7月13日
    46 0
  • DeFi安全史的黑暗一天:Chainswap跨链桥超20个项目被盗

    作者:胡韬 今日凌晨,跨链桥项目Chainswap再次遭到黑客攻击,在该桥梁部署智能合约的超20个项目代币都遭遇黑客盗取,几乎酿成DeF发展史上影响范围最大的一次安全事故。 根据多名推特用户公布的信息,该名黑客地址为0xEda5066780dE29D00dfb54581A707ef6F52D8113,该名黑客从今日凌晨其陆续盗取了来自Chainswap跨链桥合约的超20个项目代币,涉及项目包括Antimatter、 Corra、DAOventure、 FM Gallery、Fei protocol、Fair Game、 Rocks 、 Peri Finance、 Strong 、WorkQuest、Dora Factory、Unido、Unifarm、Wilder Worlds、Nord Finance、OptionRoom 、Umbrella、Razor 、Dafi Finance、Oropocket、KwikSwap、Vortex 、Blank 、 Rai Finance 、Sakeswap等。 据Etherscan与Bscscan数据显示,目前该名黑客地址已通过出售代币获利约230万美元,还有价值数十万美元的代币尚未出售。根据部分项目方的回应,这可能是因为开发者锁定了部分被盗资产致使黑客无法出售。目前,Chainswap已经暂时关闭其跨链桥。 推特用户@Christoph Michel对本次安全事故进行了分析,称每个代币有跨链转移的代理合约,黑客调用合约时必须在 _chargeFee 中支付 0.005 ETH 作为费用,但这个过程没有真正的身份验证检查,只需要 1 个签名,问题可能是 _decreaseAuthQuota 函数,如果当天签名人的配额已完成,该函数就会恢复。但是每个人似乎都从默认配额开始。所以攻击者每次只需用不同的地址签名来规避这一点。然后在 _receive 函数中将 `volume` 参数传输到 `to` 攻击者地址。 受该事件的影响,ASAP、DVG、MATTER、NORD、DAFI、UMB、RAZOR、ROOM等多个项目代币都最高出现40%以上的跌幅。目前,近10个受到影响的项目方已经在推特回应此事,其中多次项目准备发行新代币。 Chainswap项目方发推表示,所有ASAP代币持有者和 LP 都已被快照,将 1:1 空投新的ASAP代币,这包括交易所的ASAP持有者。 OptionRoom项目方发推表示,Chainswap黑客获得了330万个ROOM代币,但团队在黑客出售任何代币之前就注意到了黑客行为,并决定从 Uniswap 和 Pancakeswap 中移除流动性,以保护代币持有者和流动性提供者免受黑客出售到流动性池中的影响。目前,团队正在处理链上日志,未来将空投新代币给ROOM持有者。 Antimatter项目方发推表示,已经对所有MATTER持有者和LP都已经进行快照,并将1:1空投新的MATTER代币,包括交易所的MATTER持有者。 Peri Finance项目方表示,由于Chainwap发生漏洞,团队已经提取 Uniswap 和 Pancakeswap 的所有流动性,这是为了防止黑客出售他获得的代币并耗尽流动性。 Dafi Finance项目方发推表示,由于Chainswap跨链桥被攻击,黑客出售了20万个DAFI,团队将在公开市场回购DAFI并持续6个月。同时,该项目提醒社区尽快从Uniswap等DEX提取流动性。 Rai Finance项目方发推表示,经证实Chainswap遭到严重攻击,70万个RAI已经被盗取并存入黑客的火币账户地址,“请忍受RAI价格在交易所的暂时波动,我们一直与Chainswap团队保持联系并监控情况。” Unifarm项目方发推表示,Chainswap正遭到攻击,“他们建议我们取消流动性,我们已经在 Uniswap 和 Pancake Swap 上这样做了,我们要求社区也移除他们的流动性,直到这个问题得到解决。”该项目还表示,已经利用开发者权限锁定了黑客的所有 UFARM 代币,因此黑客无法出售这些代币。 DAOventures项目方发推表示,由于Chainswap被攻击,黑客获取并抛售了价值4万美元的30万个DVG,该项目将拍摄快照对受影响的DVG持有者进行补偿。 此前在7月2日,Chainswap也曾遭遇黑客攻击,部分用户代币被主动从与 ChainSwap 交互的钱包中取出,预计总损失为80万美元,Chainswap表示已从市场回购少量受影响的代币并返还合约钱包,其余部分将由Chainswap金库进行全额赔偿。 在更早的4月,ChainSwap曾宣布已完成300万美元战略轮融资,Alameda Research、OK Block Dream Fun…

    2021年7月12日
    43 0
  • 《数据安全法》落地,催生“隐私计算”等新风口,万亿规模数据产业迎新机

    来源:21财经 作者:王俊,黄婉仪 编辑:曹金良 6月,伴随着《数据安全法》表决通过,我国迎来第一部数据领域的基础性法律。作为一部关于数据安全的专门法,《数据安全法》落地在意味着数字经济监管趋严的同时,一些从事数据产业的企业也开始嗅到商机,预判新风口的到来。 《数据安全法》第二章“数据安全与发展”就透露出数据安全领域发展机遇的多种可能性,例如第十六条规定“国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。” 21世纪经济报道记者从多位数据产业从业者和行业观察人士了解到,自6月表决通过之后,企业内部很关注《数据安全法》,已经开始研判立法落地将为数据产业带来的发展机遇,响应国家倡议,顺势而为。具体而言,数据安全的产业机遇不能孤立看“数据”本身,更大的遐想空间在于技术和行业相结合,推动具体的场景落地,由此还可催生“隐私计算”等新技术新产业涌现。 多家券商研究机构也发表立法落地对产业积极影响的观点。民生证券指出,数据安全大势所趋,提出多项建设方向,有望转化为业绩增量;行业有望开启发展新篇章;建议关注工业软件、云计算、网络安全、人工智能等方向。 “数据安全管理”大方向当前,5G、人工智能、云计算、大数据为代表的新一轮科技和产业变革正在快速兴起。根据工信部发布的统计数据显示,我国已建成全球最大5G网络,截至2020年底开通5G基站超过71.8万个,5G终端连接数超过2亿,2020年我国大数据产业规模超过了1万亿。 随着我国以领跑姿势步入5G和大数据时代,5G商用步伐提速需要海量数据的支持,这对数据安全保障也提出了新要求。 “5G时代数据生成的频率、容量等将大大超出以往,数据资产对内管理、对外开放的难度明显加大。《数据安全法》提出的数据分级分类管理,对数据的采集、存储、管理等有强指导意义,需要关注后续法规政策的具体落地情况。”大数据专家金天在接受21世纪经济报道记者采访时表示。 “建立数据分类分级保护制度”是《数据安全法》在第三章“数据安全制度”中提出的数据安全管理制度,也是本次立法最受关注的焦点之一。具体而言,第二十一条条款指出:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。” 可以预见,建立数据分类分级保护制度进一步促进数据安全管理解决方案落地。根据市场研究机构沙利文在《2020年中国数据管理解决方案市场报告》中指出,国家政策逐渐完善持续增益数字经济发展随着国家政策在个人信息保护、数据跨境流动、国家信息安全等方面的立法探索,企业与消费者对数据的重视度将进入新的阶段,激活对数据权利、数据隐私、数据安全等话题的讨论,倒逼数据管理解决方案的提供商在数据的数量、种类、速度和价值的产品维度之上,新增安全性作为新的开发方向。 在电子科技大学大数据研究中心主任周涛教授看来,数据分级分类已经比较成熟,落地不会有太大难度,企业只需按照数据的隐私安全不同级别、不同类型来管理,特别要对商业涉密信息的不同级别以及涉军事和国家秘密的不同级别进行管理,对存储介质所使用的设备、输入输出的设备等有相应要求,尤其在大型企业、军工单位,数据分级分类已经比较成熟。 周涛教授向记者表示:“《数据安全法》落地后,后续若在更大规模范围内对数据分级分类有更明确的要求,可能会使得在数据分类、分权限管理的工具性软件销售得更好。不过仅靠分级分类的数据管理要求,还不足以催生出新的行业方向。” 区块链行业机构火链科技CEO袁煜明则从数据价值的角度提供见解。袁煜明认为,建立数据分类分级保护制度,由此不同类型的数据资产将有不同保护机制,并或将有不同价值。 多位业内人士向记者解释道,数据资产区别于一般数据主要在于有较明确的从属、使用权限的,可产生潜在经济价值,数据资产可产生的价值既包括直接价值,例如金融行业高净值客户名单,也包括间接价值,例如电商掌握的用户数据可用于识别用户消费偏好。 火链科技CEO袁煜明表示,《数据安全法》提出推进数据基础设施建设,培育数据交易市场,制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,支持开发利用数据提升公共服务的智能化水平,这些相关战略规划将为数据资产提供更好的基础设施和交易市场,也意味着或将出现更多政务、公共服务领域的数据资产。 “隐私计算”新风口《数据安全法》规定,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。立法第七条明确提到“鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。” 在数据处理全链条中,周涛教授提到,数据在流通的过程中要保证…

    2021年7月5日
    78 0
  • 波卡官方发文:波卡中的提名和验证人选择

    本文作者:Jonas Gehrlein,Web3 基金会研究科学家。本文发布于波卡官网,由 PolkaWorld 翻译。 背景介绍 Polkadot 网络及其狂野的表哥 Kusama 都是去中心化的系统,由无法被单个实体控制的大量服务器(即节点)来运行。这种无需许可的设计,与谷歌和 Facebook 等中心化系统相比,提供了更多的自由和包容性。中心化系统的可信度基于其权威,而去中心化系统则从严格的经济激励计划中获得安全性。作为去中心化系统概念的一个卓越变体,权益证明(PoS)网络出现了。这些要求参与共识的节点(通常称为验证人)将货币资源置于风险之中,来作为安全保证金。 一个关键问题是,这样的网络如何确定谁可以充当验证人。Polkadot 和 Kusama 中使用提名权益证明协议(NPoS),根据支持他们的提名权益总额来计算是否进入活跃的验证人集。这包括验证人自己的抵押和支持他们的其他代币持有者(提名人)的抵押。具体而言,该协议将所有提名人和验证人的抵押分配到固定数量的抵押池(每个验证人一个),以便抵押池的大小尽可能均匀分布。与其他权益证明系统相比,这种先进的机制保证了少数群体偏好的比例代表[1],从而提高了公平性并进一步使流程民主化。这也使网络用户能够参与验证人的定期选举,从而对活跃验证人集产生直接影响。 该选举算法的补充部分是经济激励计划,它奖励正确、诚实地遵循协议的验证人,并惩罚恶意(或疏忽)行为。为了激励提名人只选择合适且值得信赖的验证人,他们与验证人承担相同的结果。这意味着他们会因验证人的良好行为而获得奖励,并因不良行为而被罚款(“Slash”)。这些关键概念确保,通过群众和市场力量的智慧,提名人通过管理活跃验证人集来为保护网络做出贡献。因此,提名人的投票可以被视为对各自验证人可信度的肯定。从长远来看,有能力、值得信赖和诚实的验证人将保持活跃,而不合适的验证人将失去支持并最终被从活跃集中删除。 提名和验证人选择是用户与协议交互的关键部分。这篇文章介绍了提名的背景信息以及选择验证人时要考虑的事项。目的是提供一个关于与验证人建立和维护信任关系的观点,并说明提名人在选择合适的验证人时面临的一些权衡取舍。 提名意味着信任 Staking(质押)奖励不是白拿的。奖励在某种程度上是一种补偿,一部分是补偿提名人在研究可选验证人(包括活跃和非活跃验证人)、做出知情的多样化选择方面所付出的努力。理想情况下,此选择将包括最大数量的可选验证人。这对网络的去中心化具有积极影响,并确保提名人有最大的机会至少有一个被提名的验证人处于活跃状态。这确保了提名人将不断获得 Staking 奖励。 提名人奖励的另一部分,是补偿其锁定代币来维护系统安全,这意味着要承担被 Slash 的风险。这类似于经济学中高效系统的基本原则之一:风险和收益并存。在本质上: 提名行为可以被描述为充分信任验证人,以至于提名人愿意将币质押给验证人,期待这些验证人会为他们的利益行事。 但提名人的利益究竟是什么?他们应该期待验证人作出哪些行为或满足哪些标准?首先,提名人必须期望他们选择的验证人按照网络规则行事。违反这些规则的恶意行为,包括恶意的验证人(或验证人的联盟)运行修改后的软件以试图双花或创建竞争性分叉。 其次,提名人必须期望验证人有足够的能力来维护硬件和运行基础设施,防止停机和意外的重复签名情况,从而保证可用性和持续的出块。第三,提名人必须期望他们的验证人重视他们的默示同意,即不会不经告知就大幅增加佣金,并且应该经常支付累积的奖励。 建立信任 在确定提名人应该从验证人那里期望什么行为或标准之后,重要的是仔细看看上面定义的 “信任” 部分并发问:如何建立和维护这种信任?提名人可以通过多种方式获得对验证人的信任,因此,验证人可以表明他们的可信度。 基于沟通的信任 提名人和验证人之间的透明沟通和积极参与,在两者之间的信任关系中发挥着重要作用。一个很好的起点是链上身份,如果验证人设置了链上身份,它可以显示更详细的信息,例如网站、社交媒体群组,并且可以成为一个很好的联系点。这使提名人能够积极与他们的验证人互动、提出问题并查看他们的愿景和价值观是否一致。 理想情况下,验证人可以通过与社区沟通,分享有关其运营和基础设施的信息来表明其能力。例如,提名人可以通过节点托管位置、采取的安全流程等信息,来比较不同的验证人并做出明智的提名。最终,在验证人和他们(未来的)提名人之间举办(线下或线上)聚会和活动是建立长期关系的理想目标。 基于信誉的信任 另一个信任来源可以是良好的整体声誉。一方面,这可以包括验证人作为活跃社区成员的链下行为,通过改进代码库、提供教育资源和积极帮助社区渠道中的提名人为生态系统做出贡献。此外,一些实体在多个 PoS 区块链上运行其验证服务,这可以进一步提高其可信度。 另一方面…

    2021年7月3日
    71 0
  • BSC链上“闪电贷攻击”再袭! | xWin Finance被薅羊毛事件简析

    一、事件概览 北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。 成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。 二、事件分析 首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。 下图是攻击流程的一个循环: 1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励); 2. 攻击者移除流动性,并兑换多余的XWIN进行回本; 3. 反复上述操作,不断积累奖励的XWIN; 4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。 三、事件复盘 看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。 因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。 文章来源:BSC链上“闪电贷攻击”再袭! | xWin Finance被薅羊毛事件简析

    2021年6月27日
    81 0
  • 科普:日食攻击,女巫攻击,吸血鬼攻击都是些什么呢?

    什么是日食攻击? 日食攻击是一种攻击去中心化网络的方法,攻击者通过这种方法试图隔离和攻击一个或多个特定用户,而不是攻击整个网络。 在这篇文章中将解释以太坊的一些特性,包括它的叔块机制,如何使它更容易受到这种攻击。 区块链中的数据结构 区块链是一个去中心化的协议,它将数据库分布在其网络中的多个节点上,为过去、当前和未来的交易建立共识机制。区块链中的数据结构表示为区块。 在一个去中心化的区块链网络中,参与者同意什么是正确的,而不是一个中央权威。区块链也是透明和不可变的,所有网络参与者都可以看到网络上发生的事情,而且交易日期不能被更改,除非通过一个商定的机制。 比特币区块链中的区块类型 创世区块 创世区块是任何区块链的第一个区块,该区块是系统的基本起点,并与所有未来的交易相连。世界上第一个创世区块是由中本聪创建的,在此过程中,他创造了比特币。 创世区块的存在使区块链能够通过允许新创建的区块与以前的区块相关联来生成它的交易历史。此外,创世区块在同步网络节点方面有一个重要的功能——它们的数据库中都必须有相同的创世区块。这确保了区块链的分布式交易簿对每个人都是相同的,从而提供了安全性。 主链区块 主链区块是所有经过验证并包含在区块链中的区块。为了实现这一点,区块必须通过节点解决其分配的密码谜题来获得网络的同意。一旦网络达成共识,该区块就包含在区块链中,并由所有节点传播。这样,网络的每个节点都有新的区块,并作为它的一个验证点。 每个有效区块内部包含一系列与该区块一起验证的交易。例如,在比特币中,每个有效区块平均承载2100笔交易。一个有效区块中的每一笔交易都被确认。 所有有效区块继续确认以前的交易,充分保护网络上的所有区块和交易。当然,每个有效的区块包含一个允许验证的数据结构。该结构包括区块的哈希值、它的时间戳、它的nunco和它的区块交易数据。搜索候选解决方案的过程称为挖掘,参与的节点称为矿工。为区块的密码谜题生成有效解决方案的每个矿工都成为领先者,并被允许确定未确认的交易集。然后将它们追加到区块链中。 孤块 孤块或陈旧块是不属于区块链的有效区块。当两个矿工几乎同时验证区块时,或者当具有足够哈希能力的攻击者试图逆转交易时,可以创建这些数据。在这些情况下,网络共识协议将起作用,以决定哪些区块将被包含在链中,哪些将被孤立。 实际上,一个区块链网络被编程成总是偏爱最长的区块链。也就是说,它将选择包含更多信息或处理过的交易的区块。在比特币区块链中,孤块被丢弃,矿工执行的工作是无用的。 此外,正是由于这种类型的区块,大多数交易所和一些钱包将自动等待额外的确认,才使资金可用。它们通过计算用户正在接收的交易和当前区块之间挖掘了多少区块来实现这一点。 >eth.getBlock(blockNumber) } >eth.syncing.highestBlock -eth.getTransaction(“ “).blockNumber 区块是如何验证的? 区块链系统使用Merkle树数据结构,这使得它们(在理论上)是不可变的。Merkle树是Ralph Merkle在1979年申请专利的,在密码学中被广泛使用。Merkle树是验证共享数据是否被更改、损坏或更改的基本方法,非常适合区块链,因为它是轻量级的。例如,由于比特币的Merkle树结构,用户的移动钱包不需要下载所有的比特币交易来验证它们。 给定区块中的每个交易对应于Merkle树中的一个叶子,通过哈希单个交易递归构建Merkle根。 对交易(叶)进行哈希以创建额外的叶节点,这些叶节点可能对应于区块链网络中的交易。尽管可以从大量的交易中创建Merkle树,但Merkle根总是对应于一个32字节或256位的字符串(例如,SHA256哈希算法总是输出32字节的固定长度,而不管输入的大小)。通过这种方式,我们可以使用小到32字节的数据来验证多达数千个交易。 根据案例,任何更改,无论多么小,都会阻止对Merkle根的验证,并使区块链的部分或全部历史失效。 以太坊区块链中的区块类型 以太坊与比特币的一个不同之处在于,它有一个更快的区块创建机制,旨在加快交易过程。但是,当区块生成之间的时间间隔非常短(大约15秒)时,会创建大量孤块,因为将所有这些区块都包含在区块链中是低效的。 这导致了矿工在没有奖励的情况下浪费时间在区块上工作的问题。为了解决这个问题,以太坊的开发者推出了GHOST协议。 GHOST代表Greedy Heaviest Observed Subtree,这个概念很简单。它奖励那些验证孤块的矿工,尽管其奖励低于标准区块。为了释放奖励,区块必须被主链中的区块引用——或者叔块。 该机制的另一个优点是解决了网络中心化的问题。当快速创建区块时,大型矿池很容易垄断区块验证,导致较小的竞争对手创建无数无用…

    2021年6月27日
    100 0
  • PeckShield蒋旭宪:DeFi 攻击者5个月获利 5.3 亿美元,与黑客较量是争分夺秒的“攻防战”丨巴比特专访

    DeFi行业自诞生起,便饱受黑客攻击困扰。刚刚过去的5月份,DeFi领域发生的安全事件更是达到了一个小高峰。 虽然安全事件层出不穷,蒋旭宪却认为“这是DeFi行业发展必须经历的一个阶段”。 蒋旭宪是区块链安全公司PeckShield(派盾)创始人兼CEO,他曾专注于安全领域十余年,如今扎根区块链安全行业。他如何看待BSC上黑客横行,如何理解DeFi行业发展?在DeFi行业不断走向成熟的过程中,PeckShield又将充当什么角色? 为此,巴比特记者对蒋旭宪进行了一次专访。 01 BSC安全事件频发,黑客逐利而来 5月,加密货币市场被一层阴霾笼罩,价格暴跌的同时,DeFi领域的黑客攻击越发猖獗。 “DeFi 安全事件的发生在5月份达到了一个小高点。”PeckShield创始人蒋旭宪在接受巴比特专访时感慨道。 截止 6 月 7 日,今年发生的DeFi安全事件损失金额已经超过2020年全年的损失。 PeckShield 统计,2020 年发生在以太坊链上的 DeFi 安全事件为60余起,其中闪电贷攻击事件为11起,损失金额逾2.55亿美元。而截至今年 6 月初,DeFi协议损失金额已高达5.33亿美元,安全事件超出50起,其中11起为闪电贷攻击事件。区别在于,相比去年攻击事件频发于以太坊,今年币安智能链(BSC)却成了黑客们肆意掠夺的主要战场。 PeckShield 数据显示,2021年BSC链上DeFi安全事件为20余起,闪电贷为8起,DeFi协议损失金额高达3.39亿美元,占今年DeFi协议总损失金额的63.6%。 随着PancakeBunny、BurgerSwap等闪电贷攻击不断在BSC链上发生,我们不禁疑惑,为何黑客的手开始伸向BSC? “攻击者一般不会针对某个特定链,他们是跟着资金走的,哪里有钱,哪里就有他们的身影。”蒋旭宪直言到,“安全事件数量上升,其实侧面印证BSC的用户或资产规模达到了一定程度。” 鉴于以太坊较为高昂的Gas费用,很多DeFi正在慢慢迁移到相对便宜或用户体验比较友好的生态链上。 “币安智能链给大家提供了一个相对便宜的费用,也让一些不能在以太坊上参与某些DeFi项目的用户参与进来。随着BSC上用户活跃度、资产规模提升以后,相关问题也爆发出来了。”蒋旭宪提到。 在DeFi领域,最常见的攻击手段包括有闪电贷攻击、重入攻击、私钥被盗等。 目前,DeFi协议安全事件频发,主要是因为许多项目存在代码复刻(Fork)。不少协议本身代码与以太坊上的项目有着一定的相关性,它们Fork了代码,但并没有完全理解这些协议背后的逻辑。这体现在运维、管理、与其他协议互动等方面,以及在参数设置、风险控制点,甚至包括在一些预言机(Oracle)价格的使用方案上,他们可能不如原创团队做的到位,这也就为之后的安全事件埋下了“祸根”。 5月20日消息,DeFi收益聚合器PancakeBunny遭到闪电贷攻击,损失超过4500万美元。5月24日,DeFi协议AutoShark Finance遭受相同漏洞攻击损失了74.5万美元;5月26日,DeFi收益聚合器Merlin Labs也损失68万美元。这类安全事件对于投资者而言,似乎已屡见不鲜。 蒋旭宪坦言道:“这类攻击都基于相同的漏洞,我们称之为‘同源漏洞’或‘同源攻击’,这在BSC上相对容易会发生。” 他指出,很多项目方在Fork代码之后,认为之前的代码做过审计并且长时间没有出现问题,于是在审计自己的项目时,认为只需要对修改的部分内容进行审计即可。这显然形成了一个误区,他们低估了DeFi 乐高和组合性带来的安全风险和潜在问题,以往在以太坊出现的各种DeFi漏洞,都有可能在BSC上复现。 另一方面,黑客在进行攻击时也会玩点“小花招”。蒋旭宪提到,黑客通常会选择在大家都比较松懈的时间点进行攻击。据PeckShield统计,攻击更多发生在周六凌晨2点到6点之间。 尽管此类攻击层出不穷,蒋旭宪却认为这是DeFi行业发展必须经历的一个阶段。 “如果我们回顾下去年以太坊DeFi安全事件,以及2018年EOS上的安全事件,就会发现在BSC上发生的DeFi安全事件与它们其实有着许多非常相似的地方。”蒋旭宪说。 02 与黑客的较量是一场争分夺秒的“攻防战” 对于PeckShield等安全公司而言,与黑客之间的较量是一场争分夺秒的“攻防战”。 当黑客攻击发生时,PeckShield首先会尽快发出预警。 “我们内部有一个风控的检测机制,任何一个闪电贷攻击发生的时候,就会自动发出预警。”蒋旭宪说,“发出预警之后,我们就会开始找到受到闪电贷攻击影响的协议。” 他提到了一个例子。5月8日晚间,Rari Capital ETH池因与Alpha Finance集成存在漏洞遭到了攻击,损失约15…

    2021年6月14日
    104 0
  • BSC链上项目再遭黑客攻击,“黑色5月”阴云持续? | PancakeHunny被黑事件简析

    一、事件概览 北京时间6月3日11时11分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH(合计10余万美元)。 面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩 。 据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。 二、事件分析 成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示: 需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例(当时为1 BNB:3200 HunnyToken),这给了黑客发动攻击的可乘之机。 黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。 此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。 三、事件复盘 不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。 同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。 文章来源:BSC链上项目再遭黑客攻击,“黑色5月”阴云持续? | PancakeHunny被黑事件简析

    2021年6月7日
    160 0
  • 区块链安全公司CertiK:注意DeFi中的4大安全风险

    注:5月,DeFi安全事故频发,据统计,约有15个项目遭到黑客攻击,包括Belt Finance、BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan,涉及资金损失近3亿美元。值得注意的是,在如此多的攻击中,BSC上的DeFi项目貌似成了黑客的集中攻击点,而闪电贷则是黑客主要的攻击手段。5月30日,币安智能链(BSC)官方还针对频发的安全事件发布推特称: 最近已经接连发生超过8起针对BSC链上项目的闪电贷攻击,我们认为现在有一个有组织的黑客团队盯上了BSC。我们呼吁所有DApp注意防范并采取防治措施。 此前,BSC还与区块链安全公司CertiK举办了有关DeFi风险的直播活动,本文将对其进行回顾以帮助了解DeFi中的4大安全风险。观看活动视频,可访问:https://www.pscp.tv/w/1BdGYYeYVREGX。 自9个月前推出以来,币安智能链(BSC)已成为全球领先的DeFi平台之一。如今,有超过600个项目在BSC上每天产生数千万的交易。 然而,巨大的成功也伴随着巨大的风险。黑客利用在不同层面暴露出来的漏洞,越发频繁地进行了漏洞攻击。这些漏洞可以分为4个大类,我们将对这些漏洞进行介绍,以使读者更好地了解与DeFi有关的安全风险。 管理密钥的泄露 在智能合约中,修改器限制了允许调用某些功能的人选。这些功能通常是用于修改合约配置或管理智能合约中持有的资金的特权功能。如果攻击者获取了管理密钥,他们就可以完全控制智能合约,并窃取用户资金。 密钥如何被泄露? 第一种可能性是通过计算机木马。攻击者可以使用木马程序来窃取存储在计算机上的私钥。此外,攻击者也可以进行网络钓鱼攻击,欺骗用户将私钥发送给攻击者。对于DeFi项目而言,有时几个项目利益相关者将共享一个私钥。这就使得恶意的内部人员可以使用该密钥调用管理功能,并将项目的代币转移到他们自己的钱包地址。 例如,2021年3月5日,PAID网络就遭受了因私钥管理不善而引发的 “铸币”攻击。PAID代币合约是置于一个可升级的代理之后的,也就是说,合约可以被修改和替换。代理人的私钥被用来交换部署在代理背后的代码,其中包含攻击过程中使用的销毁和铸造功能的恶意代码。攻击者销毁了6000万现有的PAID代币,然后为自己铸造了5900万代币。瞬时,PAID代币价格从2.8美元跌至0.3美元,因为2,501,203个PAID代币在Uniswap上遭到抛售,总价约为2,040ETH。攻击者很可能是通过网络钓鱼攻击入侵了管理员的机器。 2021年4月19日,298万个EASY代币从EasyFi官方钱包转移到几个未知的钱包,这些代币的当时价值为7500万美元。EasyFi创始人声称,黑客攻击的原因是 “对创始人的机器/Metamask进行有针对性的攻击,以获取管理密钥”。 项目应该安全地存储私钥,而不应该在PC设备上以纯文本形式存储管理密钥,或依赖MetaMask热钱包。我们建议使用硬件钱包创建一个多签(Multisig)账户。例如,对于一个五人团队,每个团队成员都应该有自己的硬件钱包。当他们试图发送特权交易时,应该要求五个团队成员中至少有三个人签署该交易,从而防止攻击者在获得其中一个密钥时就能够调用任何特权功能。 对于代币合约来说,如果可能的话,应避免允许铸造新的代币。但如果没有这个可能,也要尽量使用DAO合约或时间锁合约作为所有者,而不是EOA账户(外部自有账户)。 编码错误 DeFi中,一些漏洞的复杂程度很高,但情况并不总是如此。有时,智能合约中的一个小编码错误就会变成一场大灾难,导致价值数百万的资产受到损害。 一些常见的编码错误包括: 函数允许(修改) 拼写错误 数字错误 缺少/不正确的变量值赋值 一个值得注意的例子是Uranium Finance的黑客事件,该事件发生在一个未经审计的合约上,最终导致了5700万美元的损失。这是由于在比较交换前后池中两个代币余额的乘积时,使用了不一致的乘数,使得攻击者可以从资金池中换出大部分代币,而成本只有1 Wei。 Uranium Finance代码: 正确代码: 另一个例子是来自于Value DeFi的黑客事件,该事件导致了1000万美元的损失。据悉,合约中的初始化函数漏掉了 “initialized = true”,也就是说,任何人都可以重新初始化资金池并将自己设置为操作员。2021年5月5日,攻击者重新初始化了资金池,并将操作员的角色设置…

    2021年5月31日
    173 0
  • 币价暴跌遇上黑客盗窃,越安全的协议才能活的越久

    币跌了,或许有一天还能涨回来;但币丢了,或许就永远失去了。 5月19日,加密市场遭遇了史上最大规模的暴跌,万亿美元市值蒸发,惨烈程度超过了2020年的“3·12”。 如果你被市场暴击,然后又被黑客盗币,那就真的更加不幸了。 现实就是,在这场暴跌的同时,发生了数起规模千万甚至亿美金级别的黑客事件。 1.5月16日,跨链智能收益协议bEarn Fi遭受黑客攻击,损失1100万枚BUSD 2.5月19日,BSC借贷协议Venus被人为导致大额清算,出现1亿多美元的坏账 3. 5月20日,BSC生态DeFi收益聚合器PancakeBunny遭黑客闪电贷攻击,损失约4500万美元 每周,甚至每天都有1个项目倒下。 币安智能链最近成为了掠食者猎物。黑客开始在这个复制以太坊代码的平台上享用大餐。 今天介绍的是最近黑客被吞食的一个协议——bEarn Fi,损失价值大约1100万美元的代币。 以下内容摘自Peckshield和bEarn攻击分析。 从2021年5月16日上午10:36:20 + UTC开始,BearnFi的BvaultsBank合约被黑客利用,大约1100万美元的资金从资金池中流失。 这起事件的原因是由于内部提款逻辑中的错误,该错误不一致地读取了相同的输入金额,但BvaultsBank与关联策略BvaultsStrategy之间的资产面额不同。 BvaultsBank的提款逻辑假定提款金额以BUSD计价,而BvaultsStrategy的提款逻辑假定提款金额以ibBUSD计价。 但是,ibBUSD是带息的代币,比BUSD贵。 1.通过闪电贷从CREAM借入7,804,239.111784605253208456枚BUSD, 在最后一步将这笔贷款还上并支付必要的手续费来覆盖闪电贷的成本。 2.将借入的BUSD资金存入BvaultsBank,并立即发送到相关的BvaultsStrategy策略,然后发送到Alpaca Vault以获取收益。 由于上述这笔存款,Alpaca Vault同时铸造7,598,066.589501626344403426枚ibBUSD,并返回到BvaultsStrategy。 3.通过Alpaca FairLaunch,用收到的 7,598,066.589501626344403426枚ibBUSD进行挖矿。 4.将上面存入7,804,239.111784605253208533枚BUSD从BvaultsBank取出,然而这被错误地解释为提取7,804,239.111784605253208533枚ibBUSD,相当于8,016,006.09792806917101481枚BUSD。 5.接下来,该用户重复操作,仍将7,804,239.111784605253208533 BUSD存入BvaultsStrategy,再依次存入BvaultsBank。 但是,由于上一轮有此前剩余的资金,BvaultsStrategy会向用户记入8,016,006.09792806917101481枚BUSD,这笔钱再次通过Alpaca进行挖矿。 6.重复上述操作,持续积累,直到最后耗尽池中的资金。 7.最后一步,偿还在第一步中通过闪电贷借入的 7,806,580.383518140634784418枚BUSD。 攻击者通过上述攻击获得的资金最初存放在这个钱包中:https://bscscan.com/address/0x47f341d896b08daacb344d9021f955247e50d089。 BSC复制的代码为很多寻找协议漏洞的黑客提供了财富机会。当我们看到BSC生态上的TVL快速上涨和跌落,显然时间才是最昂贵的安全审计手段。 活的越长意味着越安全,反之,越安全意味着可以活的越长。 文章来源:币价暴跌遇上黑客盗窃,越安全的协议才能活的越久

    2021年5月20日
    195 0
  • OTC场外交易“生存指南” :如何规避“冻卡”,安全交易?

    本文来源:链法,原题《数字资产交易合规与风险防控专栏|OTC场外交易法律问题汇编》 作者:庞理鹏 郭亚涛 宋乐然 全文3800字,阅读约需要7分钟 出金和入金作为数字资产交易中的重要环节,一直以来饱受「冻卡」困扰。我们以「冻卡」产生的一系列问题的答复汇编作为「数字资产交易合规与风险防控系列」的第一篇文章,聚焦OTC交易生存之道,精选出大家普遍关心的问题,结合我们的实务经验和所见所闻所知,以问答的形式呈现给大家。 围绕着数字资产交易所涉及的法律问题,链法团队一直在更新「链法案评」系列。在此期间,我们也在不断建立自己的「案例智库」,我们当时的想法是通过对实务案例的研究和剖析,探寻在不同时间、不同地区对于涉比特币等数字资产争议案件的司法裁判现状,从而为我们所服务的客户提供更加精准的法律意见,制定更加专业的法律解决方案,以及为一些大额数字资产交易提供全流程的法律合规服务。 在今年年初的团队例会上,我们就萌发了归纳、梳理出“数字资产交易合规与风险防控”这样一套法律服务产品的想法,这既是对我们过往几年工作内容的梳理、回顾以及体系化整理,也是一个可以面向所有数字资产持有者、爱好者的「合规交易指南」,从法律技术层面,帮助大家更安全的交易。当然,这里所指的「交易」,既包括了买卖,也包括投资、借贷等任何其他以数字资产为交易媒介的交换行为。 近两年,「冻卡」二字就像达摩克利斯之剑,悬在每一个数字资产持有者、爱好者的头上,入金被冻结,出金也有可能被冻结,有的甚至遇到暴力执法。身边的朋友、客户多多少少都会遇到类似的问题,我们也会帮忙出出意见。更是有一些涉及较大金额的冻卡事件,我们会全程帮助客户去解决问题。 近期,笔者受链节点邀请,做客AMA,就OTC交易如何规避冻卡和安全交易在社区与大家进行了互动。出金和入金作为数字资产交易中的重要环节,一直以来饱受「冻卡」困扰。因此,我们也以「冻卡」产生的一系列问题的答复汇编作为「数字资产交易合规与风险防控系列」的第一篇文章,聚焦OTC交易生存之道,精选出大家普遍关心的问题,结合我们的实务经验和所见所闻所知,以问答的形式呈现给大家。 一、一般疑问类 Q1、为什么入金也可能会被冻卡? A:直接原因应该是接收法币的卖家银行卡出现了问题,大的政策背景是严查电信诈骗、网络赌博、传销资金盘之下,将有关联的多级账户集体冻结。警方甚至会对链上数据进行分析,这样牵涉到资金流向、遭到冻卡的人就变得更多。 Q2、自发点对点OTC交易虽然没有明令禁止,但严格来说,还是和国家外汇管制政策违背,如果OTC交易金额过大,会不会构成非法买卖外汇罪? A:是否构成非法买卖外汇罪与金额大小无直接、无必然的关系。还与你交易的目的、获利情况、交易频次、交易方式等相关。USDT等数字货币本身并不属于外汇的范畴。但是从监管动态来看,监管早已发现这种方式存在的风险,正在不断加强监管。 Q3、如果在数字资产交易所的OTC平台进行交易时导致个人资金冻结,那么交易所应当承担哪些责任?同时,如果因为资金冻结导致资产损失的,交易所是否应当进行赔偿? A:通常情况下,交易所是没有责任的,当然这也与用户与交易所签订的《用户协议》有关。据我们了解,向交易所主张赔偿是很困难的。但是一家运营良好的交易所,为了品牌和用户体验,一定会在风控上花力气避免用户冻卡,或者用户被冻卡后,交易所会提供一些必要的帮助。 Q4、OTC出金是否资金越大,被冻卡的概率越高? A:从本质上讲,是否被冻卡与出金资金数额大小没有必然联系。被冻卡的主要原因还是资金本身有可能是黑钱,但是大额的出金可能会触发银行反洗钱预警。 Q5、出入金被冻卡一般都是三天自动解封吗? A:这里有一个误区,按照法律规定,冻卡的期限一般是六个月。这里所提到的三天解封是指经查明确实与案件无关的,应当在三日内予以解除、退还,并通知有关当事人。 Q6、OTC交易是否违反关于外汇方面的法律或规定,这里是否会被公安机关视作去中心化的地下钱庄? A:OTC交易有可能违反外汇管理方面的规定。而且从监管动态来看,已经注意到这种情况。但是具体的法律定性,有待进一步观察监管动态。另外,如果有专门的机构从事这种外汇兑换服务,这是为法律所明确禁止的,涉嫌刑事犯罪。 Q7、目前有没有虚拟商品或虚拟数字资产相应的法律法规来对数字货币行业进行参考应用? A:《中国人民银行、工业和信息化部、中国银行业监督管理委员会等关于防范比特币风险的通知》《中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会关于防范代币发行融资风险的公告》等,此外,实践中也有一些案例,案例中也能反映出目前的监管态度。 Q8、国家在大力推广的央行数字货币,已经有不少大城市在试点了,相信不久后会全国普及,数字人民币能有效节制猖狂的洗黑钱吗?OTC交易用数字人民币,能否彻底摆脱…

    2021年3月31日
    467 0
  • 加密指数有什么好买的?想象空间可能还没打开……

    本文作者:Messari分析师Roberto Talamas 在过去的一年里,加密市场一直在狂欢,并以惊人的速度增长。在疫情的刺激下,这种增长暴露了全球经济运作方式的缺陷,吸引了机构投资领域的关注。加密市场正在慢慢演变成一个成熟的生态系统,市场参与者和交易工具的复杂性变得越来越高。 加密货币交易者有着越来越多样化的金融产品交易工具,从传统金融工具到加密原生产品,在这么多的选项中,加密指数满足了强劲的市场需求,管理资产(AUM)达数十亿美元。 尽管指数产品的数量越来越多,但绝大多数加密指数都是一样的。大多遵循相同的构建方法,包含类似的资产、几乎相同的资产配置。还好,传统金融在指数构建领域进行了广泛的探索,为加密市场如何优化加密指数给出了指引。 细数加密指数 在过去的一年里,加密货币充斥着各种指数。下面给大家简单介绍一下这些吸引了相当多的市场关注和AUM的指数。 Bitwise 10加密指数基金(Bitwise 10 Crypto Index Fund) 截至2021年3月18日AUM为10.2亿美元。 Bitwise 10加密指数基金旨在跟踪十种最具价值的加密货币的表现,提供加密市场约80%的风险敞口。该基金每月重新调整,并按市值进行加权。 灰度大盘基金(Grayscale Large Cap Fund) 截至2021年3月12日AUM为5.149亿。 灰度大盘基金是一个市值加权指数,为投资者提供数字资产市场70%以上敞口(管理资产市值占加密市值的70%以上)。该基金每季度重新调整一次,旨在维持比特币、以太坊、比特币现金和Litecoin的市值加权组合。 彭博银河加密指数(Bloomberg Galaxy Crypto Index) 彭博银河加密指数是一个基准,旨在衡量美元计价最大的加密货币的表现。该指数是根据市值构建的,但有一个权重限制,任何加密货币在指数中的占比不得超过40%。该基金由Bloomberg管理,并与银河数字资本管理公司联合发行。 DeFi Pulse指数(DPI) 截至2021年3月15日,AUM达1.32亿美元。 DPI是一个加密原生指数,为投资者提供直接接触DeFi的机会。该基金是一个建立在Set Protocol v2基础设施上的市值加权指数,由以太坊上最受欢迎的10种代币组成。DPI旨在为想要接触DeFi但缺乏专业知识(不知道如何投资单一币种)的加密原生投资者提供入口。 Bitwise DeFi加密指数基金 截至2021年3月17日,AUM达5100万美元。 Bitwise DeFi加密指数旨在让合格的投资者接触到DeFi。该基金每月重新调整,旨在为最大的DeFi协议提供市值加权的风险敞口。 市值加权的双刃剑 加密领域有吸引力的指数产品的共同特点是,采用市值加权法构建。市值加权指数有着各种好处,首先,它们遵循简单的构建过程,根据资产价格和总流通股的乘积对指数成分进行加权。这种方法包含了市场对币种的集体意见,从历史上来看这是扛打的策略。 此外,对于寻求跟踪市值加权指数的基金来说,还有一些积极意义。首先,基金的交易受限于指数中纳入/排除的公司(项目)数量。因此,投资组合的换手(替换和重新平衡现有的资产)相对较少,从而降低了交易成本。传统金融指数以低费用为荣,这需要提高操作的有效性。其次,投资者如果试图超过市值加权的表现,就会叠加对自己不利的因素。任何偏离市值加权策略的投资组合,由于需要主动交易以跑赢大市,自然会产生较高的交易成本。这种高周转率产生的高成本,必须由上述策略的超额回报来覆盖,然而现实是,在许多情况下成本都难以覆盖。直白地说,市值加权指数会主动青睐规模最大、表现最好的资产。 那么,如果市值加权这么简单,而且好处多多,为什么还要折腾别的东西? 这种策略并不是指数构建的终极形态,不是万能的,它也存在一些弊端。主要是,市值加权指数反映了许多市场参与者的意见,这些意见并非出于理性,更多是由恐惧和贪婪所激发。正因如此,市场很容易变得狂热,导致资产价格偏离其真实价值的估值。在这种情况下,拥有市值加权指数会让投资者更多地接触到那些已经达到泡沫化估值的标的。另外,持有那些成分数量少的指数(所有主流加密指数都是这种情况)也会面临着高度集中于高市值资产的风险。在这种情况下,市值加权投资组合可能成为投资者“风险最不分散”的选择之一。在Bitwise和Grayscale Large-Cap指数中,比特币占投资组合的比例高达75%以上,而Uniswap在上述DeFi指数中的投资组合优势占33%以上。 基本权重——基于基本面的方法 另一种方法是在构建指数的过程中,使用基本面指标(如售价比)而不是资产价格作为构建的基石。这种方法被称为 “Smart Beta “策略。Smart Beta指数位…

    2021年3月24日
    255 0
  • 为了Gitcoin的捐赠空投,散户完成了一次「女巫攻击」

    北京时间 2021 年 3 月 10 日 16:25,距 Gitcoin Grant9 捐赠活动开始还有 5 个多小时。 前以太坊雷电网络核心开发者,Rotkiapp 创始人 Lefteris Karapetsas 在推特表示: 「嗯… 醒来后发现,在 Gitcoin 中新增了 28 个为 Rotkiapp 捐助的成员。 非常感谢,但是这一轮活动(Grant9)还没有开始。 我想可能是网站的更新误导了很多人,让他们以为昨天晚上 Grant9 已经开始了。」 以太坊预测市场 Gnosis 和社交项目 CirclesUBI 创始人 Martin Köppelmann 在推文下回复说: 「我也在 Circles 中发现类似的捐款情况。所有这些捐款金额都在 1 美元内,并且全部来自那些看起来像机器人的账户——在我看来,似乎有人正在测试/进行女巫攻击(Sybil Attack, Sybil 攻击 是指利用社交网络中的少数节点控制多个虚假身份,从而利用这些身份控制或影响网络的大量正常节点的攻击方式)。」 随后,Martin 还上传了其中一个账户的截图(Lefteris 也对此表示了赞同),并 @Gitcoin 官方。 (为保护用户隐私,律动将用户名进行了模糊处理) 这一切的源头一定是绕不过的一个词: 空投 Badger DAO、Stake DAO(现更名为 Blackpool Finance) 和 Mask Network 等热门项目均对参与了 Gitcoin 捐款的用户进行了代币空投,其中 Badger DAO 和 Stake DAO 是对所有参与了 Gitcoin Grant8 的用户进行了空投,而 Mask Network 则仅对其捐赠的用户进行了空投。 在潜在的空投引诱下,小部分用户开启了「宁可错杀一千,也不放过一个」的多账户,多项目捐赠模式。当前数据显示,Gitcoin Grant9 第一天共有 1677 人参与,共捐赠 15.8 万美元,平均每人捐赠 94.2 美元(上文中提到的,近乎女巫攻击的均价第一 1 美元的捐赠由于时间问题被划归在外)Gitcoin Grant8 在回顾中总结的数据为,5000 人参与,共捐赠 57.1 万美元 ,平均每人捐赠 114.2 美元。相比之下,平均捐赠量下降了 17.5%。而从 2020 年 12 月 22 日到今日,比特币和以太坊的涨幅分别为 151% 和 183%。 在介绍 Gitcoin 及其涉及的机制之前,先将 Gitcoin Grant9 的捐款介绍如下,供大家参考,如有特殊情况,可以加入 Gitcoin 的 Discord grant-help 频道寻求帮助。 1. 登陆并注册 Gitcoin。https://gitcoin.co 2. 进入主页,在选择网页最上端选择 Products,弹出窗口选择 Grants。 3. 选择 Explore Grants 以浏览所有参与 Grants 9 的项目。 4. 本次 Grants 9 捐款持续时间为 3 月 10 日至 25 日,配捐资金池超 50 万美元,总计将有 100 万美元的奖金。 配捐资金池资金将分配给以下类别的项目:基础设施:12.5 万美元;社区:12.5 万美元;DApp:12.5 万美元;NFT:5 万美元;东亚和东南亚地区:5 万美元。下图即为相关的分类,用户可以自行浏览并选择喜爱的项目进行捐款。 5. 在选好项目之后,点击 Add to Cart,并在随后弹出的窗口中点击 Checkout 进行捐赠结算。 (捐赠类型多种多样,ETH、DAI、USDC 等多种 ERC-20 代币均可捐赠) 6. 点击支付后,在弹出界面底端选择支付方式。 6.1 基于以太坊主网的标准结算。 点击 Standard Checkout,进行结算。 共计向三个项目捐款 0.3 个 ETH,需要支付 0.02ETH,约 36 美金的 Gas 费(由于是分别向三个项目转账,可以得出当前情况下每次向项目转账需 12 美元的结论)。 6.2 使用 zkSync 进行结算 点击 Checkout with zkSync 进行结算。zkSync 详细使用教程可以参阅《Layer 2 使用教程系列一:教你使用几大 Layer 2 应用》。 仍然向三个项目捐赠 0.3 个 ETH,需要支付 0.61 美元的 Gas 费,每次转账约为 0.2 美元。 6.3 两种支付方式优劣比较 相较而言,使用 L2 的 zkSync 更为节约成本,但需要注意的是,使用 zkSync 和其他的 L2 一样,均需要将代币转移至 L2 层,所以需要一笔 Gas 较高的从 L1 至 L2 的转账(如果需要将代币从 L2 转至 L1,则更需要一笔锁定期长且 …

    2021年3月13日
    569 0
  • 突发丨BDP挖矿结束,一个BUG险些导致66亿美元的用户资产无法取出,目前已解决

    3月12日14:07,持续6天的BDP挖矿正式结束(比预计时间要早,为今天的BUG埋下伏笔),共计2400万个BDP通过质押单币的形式释放出来。该项目巅峰时期的锁仓资金一度超过66亿美金,短暂地排行DeFi项目锁仓榜首。 坚持到最后一天的矿工开心地准备收获胜利果实,一些用户在电报群激动地打下“to the moon”的标语。一些中心化交易所也发出公告,要上线BDP代币。 然而,让人意想不到的是,有用户反映,无法从该项目的前端页面取出资产。 官方人员这时候还没意识到问题所在,告诉用户将GAS limit调高试一下。 用户按照建议操作之后,依然无法取出。 随后另一名用户使用500k gas limit,依然无法取出。紧接着,越来越多的用户反映无法取出资产。 恐慌情绪开始在市场蔓延,BDP的价格从今日最高的5.4美元跌至3.8美元。 很快,官方人员开始意识到问题严重性,让技术人员检查。 14:17分,官方发布第一则通告: 开发人员正在检查问题无法unstaking的问题。 同时安抚社区,资金是安全的。对于有经验的用户,可以通过利用以太坊智能合约“emergency withdraw”功能紧急提款。反之,要等官方更新UI之后提取资产。无论哪种方式,奖励都会发放。 30多分钟后官方又表示,通过“writeContract”功能紧急提款,只能取出本金,无法取出奖励。之后团队会协助用户收到奖励,但这可能会有一个延迟。 一些失去耐心的用户暴怒,指责项目方将问题归咎于UI问题。 对此,官方回复称,当然不仅仅是UI的问题,但开发人员尝试修改UI,预计很快就会有解决方案。 问题是什么? 一位推特用户表示,bigdataprotocol的的奖励期已经结束,产生问题的原因是,用户在铸造“ 0”代币时无法索取奖励。(意思可能是2400万个BDP奖励已经释放完毕,但资金池的代币依然会获得新的代币,只不过这个数量是0,导致报错无法提币) 一位开发者对此表示,bdp可以用 emergencyWithdraw把本金拿出来,挖矿的币就销毁了。问题是定义的seedpoolamount这个初始值最大2400w个,在挖矿时间还没到就超过2400万了,然后检测报错,不能提币。 下午3点46分,官方发布通告称,新的用户界面已经完成,用户可以随时在网站上直接提取存入的资金。对于所有单一资产池,用户通过解押和领取按钮会把资金返回到用户的Ethereum地址。用户的的BDP奖励已经记录在案,项目方承诺会随时向用户更新奖励的发放时间,bALPHA的奖励继续按照原来的告知,不受影响。 4点14分,官方再次发布通告: 经过与合作伙伴的调查,我们发现了智能合约奖励机制中的意外行为,您将无法索取智能合约中剩余的奖励。但是,您将能够安全无虞地提取您的抵押资金。我们有区块链的快照,并且记录了您的奖励,您在接下来的几天中可能会获得这些奖励。 我们的开发人员正在更新用户界面,以便您可以使用紧急取款功能提取资金。 同时,随时可以直接从etherscan中使用EmergencyWithdraw功能。最重要的是,我们提醒您,您的资金是安全的。 现在,我们要确保您尽快获得奖励。 对此给您带来的不便,我们深表歉意。 随后,用户反映已经可以通过前端页面提取资产。 大量资产在官方公布解决方案之后开始撤离,锁仓量迅速锐减到30亿美元,较今天上午高峰时期减少了50%。 截至发稿,锁仓量降至17亿美元。BDP价格3.7美元。 后续 经过2小时的紧急排查,用户资产提现问题已经得到解决。BDP单币种挖矿已经结束,2个月之内不再产生新的BDP代币。bAlpha的挖矿仍在进行,预计要在3个月之后结束。期间,用户依然可以通过在uniswap上通过BDP/ETH LP或者bAlpha/ETH LP继续挖矿。 经此风波,一些忠实用户对BDP团队面临问题采取的措施表示感激(尽管没有得到多少奖励) 学到什么? 1)遇到紧急情况,资产如何提现。 这次BUG,用户无法从前端提取资产,而通过智能合约的“ emergency withdraw”可以将资产提取出来(如果担心资产安全,这可以帮助你快速取回本金)。 方法是:第一,找到“ emergency withdraw”地址: https://etherscan.io/address/0x0de845955e2bf089012f682fe9bc81dd5f11b372#writeContract 第二步,打开网址,连接你的钱包。在 emergency withdrah”输入池子的ID。你需要通过etherscan与智能合约进行交互,并输入你质押的加密货币的ID/编号来提现。 对于bigdataprotocol,总共有12个资金池,ID分别是0-11。输入0,代表要…

    2021年3月13日
    277 0
  • 数字货币交易所安全事件频发,盘点10大安全风险

    本文原发于:CSDN CSA GCR 区块链安全工作组交易所安全小组对于过去几年交易所发生的安全事件进行了分析,按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。 【原创作者】邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦(按拼音字母排序)【审核专家】陈大宏、赵勇 1 高级长期威胁(APT:Advanced Persistent Threat) 风险描述:高级长期威胁(英语:Advanced Persistent Threat,缩写:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞,并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会,再利用0 day 漏洞或者交易所流程方面的漏洞进行攻击。比较著名的针对数字货币交易所的APT黑客团队包括CryptoCore(也被称呼为:Crypto-gang”,“Dangerous Password”, “Leery Turtle”大概成功盗取2亿美金)和 Lazarus(大概盗取5亿美金)。 2 分布式拒绝服务(DDOS) 风险描述:分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击(DoS)的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。 3 内鬼监守自盗(Insider Attack) 风险描述:交易所内部人员利用公司内部安全流程的漏洞,监守自盗;或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。 4 API 安全风险问题 风险描述:交易所一般都会公开订单查询、余额查询、市场价格交易、限价交易等等API。API的安全如果没有管理好,黑客可以利用API安全漏洞盗取资金。一般可能的API安全漏洞如下: (1)没有身份验证的API API必须有身份验证和授权机制。符合行业标准的身份验证和授权机制(例如OAuth / OpenID Connect)以及传输层安全性(TLS)至关重要。 (2)代码注入 这种威胁有多种形式,但最典型的是SQL,RegEx和XML注入。在设计API时应了解这些威胁并为避免这些威胁而做出了努力,部署API后应进行持续的监控,以确认没有对生产环境造成任何漏洞。 (3)未加密的数据 仅仅依靠HTTPS或者TLS对于API的数据参数进行加密可能不够。对于个人隐私数据和资金有关的数据,有必要增加其他在应用层面的安全,比如Data Masking, Data Tokenization, XML Encryption 等等。 (4)URI中的数据 如果API密钥作为URI的一部分进行传输,则可能会受到黑客攻击。当URI详细信息出现在浏览器或系统日志中时,攻击者可能会访问包括API密钥和用户的敏感数据。最佳实践是将API密钥作为消息授权标头(Message Authorization Header)发送,因为这样做可以避免网关进行日志记录。 (5)API Token 和 API Secret 没有保护好 如果黑客能够获得客户甚至超级用户的API Token 和 API Secret ,资金的安全就成为问题。 没有对于API的使用进行有效的检测,黑客可能利用API进行多账户、多笔的转账。API的实时安全检测如果不能判断这种攻击,就会有损失。 5 假充值问题(False Top-up) 风险描述:假充值是指链上逻辑错误或交易所链上链下对接的时候,对交易的检验不够严谨导致的错误入账的问题。 6 交易所热钱包存储过多资金,成为黑客目标 风险描述:交易所热钱包存储过多资金,成为黑客目标,这个风险与交易所热钱包有关的IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击: 恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击,借此收…

    2021年1月29日
    554 0
  • 2020年加密货币领域的黑客攻击、漏洞攻击和盗窃事件

    与前几年不同的是,2020年的主要加密货币新闻并不是大型交易所遭遇黑客攻击和价值数百万美元的比特币遭遇盗窃。然而,仍然有相当多的黑客事件发生,其中大部分都起源于新兴的去中心化金融(DeFi)领域。 DeFi是2020年加密市场发展势头的主要推动力量之一,并且这有理由说明为什么DeFi一直吸引诈骗者和黑客。大量未经审计的智能合约加上克隆代码让黑客加以利用,它们经常导致数百万美元的数字资产被窃取。 CipherTrace 11月的一份报告称,2020年上半年发生的所有盗窃和黑客行为导致了超过5000万美元损失,这些事件中DeFi占了45%。报告称,今年下半年,这一比例升至50%。在接受Cointelegraph采访时,CipherTrace首席执行官Dave Jevans警告称,DeFi可能会遭受监管打击:“DeFi黑客事件现在占2020年所有加密货币黑客事件的一半以上,这一趋势正吸引监管机构的注意。” 他补充说,监管机构更担心的是缺乏反洗钱合规:“KuCoin被盗2.8亿美元资金是2020年最大的黑客攻击,黑客是利用DeFi协议进行这次洗钱的。”Jevans还认为,2021年监管机构可能会明确规定,DeFi协议将采取哪些行动,以避免未能遵守反洗钱的后果、夺旗(指被攻击)和可能的制裁。   2020年交易所遭遇的黑客攻击   KuCoin黑客事件发生在9月底,当时该交易所首席执行官Johnny Lyu证实,在私钥泄露后,黑客入侵影响了该交易所的比特币、以太坊和ERC-20热钱包。 KuCoin在10月初表示,它已经找出了嫌疑人并且正式让执法部门参与了调查。到11月中旬,这个交易所宣称,它已经追回了84%的被盗加密货币,并且恢复了大部分可交易资产的全部服务。 今年还有其他交易所遭到黑客攻击,但KuCoin黑客事件是最大的一起。今年2月,意大利交易所Altsbit在一场7万美元的黑客攻击中损失了几乎所有资金,其他几所小型加密货币交易所也遭遇了黑客入侵。2020年10月,多达75家中心化加密货币交易所由于各种原因关闭,黑客入侵就是其中一个原因。   2020年DeFi遭遇的黑客攻击和漏洞攻击   随着数十亿美元投入到DeFi协议和流动性挖矿,DeFi成为黑客的温床。2020年第一起主要黑客入侵事件发生在DeFi借贷平台bZx,bZx在2月份遭遇了两次闪电贷攻击,损失了近100万美元的用户资金。闪电贷是指在同一笔交易中借入和偿还加密货币质押品。 bZx为了防止进一步损失而停止了运营,但是这引发了加密行业观察人士的批评浪潮,这些观察人士称,bZx终究还是一个中心化平台,并且它可能是“DeFi的终结”。 市场在3月份崩溃,导致大量抵押品清算,特别是Maker的MKR代币,但这些不是黑客攻击。接下来的一个月,黑客使用一种称为ERC-777代币标准可重入方法攻击了与比特币挂钩的imBTC。这名黑客窃取了Uniswap流动性池的全部资产,当时估计为30万美元。 4月份,黑客利用同样的漏洞窃取了借贷平台dForce的所有流动性。这名黑客不断提高他们借贷其他资产的能力,并带着大约2500万美元的资金逃跑了。 6月份,Bancor的智能合约中出现了一个漏洞,导致多达46万美元的代币流失。这个DeFi自动做市商表示,他们已经部署了新版本的智能合约,新的合约修复了该漏洞。 Balancer是下一个被利用的DeFi协议,黑客利用精心策划的套利攻击,从其流动性池中窃取了50万美元的WETH。在对一个漏洞的攻击中,黑客进行了一系列闪电贷和套利代币掉期,而Balancer团队显然已经知道了这个漏洞。 与其说是黑客攻击,不如说是另一个漏洞,但bZx在7月份再次因可疑的代币出售而上了新闻,这次出售是机器人操纵的,机器人将购买订单放置在标记代币生成的同一区块上。这些黑客窃取了近50万美元的利润,这些利润是由代币价格上涨带来的。 8月份,DeFi期权协议Opyn成为了下一个受害者,黑客利用其ETH看跌期权合约盗走了超过37万美元资金。该漏洞允许攻击者使用以太坊看跌期权oToken的双重行权并窃取了质押的ETH。Opyn通过白帽黑客从金库中收回了大约44万枚USDC,并将它们返还给了看跌期权卖方。 同样,不是直接的黑客攻击,而是未经审计的Yam Finance智能合约中的代码缺陷影响了治理代币YFI的重新设定,导致了8月中旬YFI价格暴跌。Yam Finance协议被迫呼吁DeFi鲸鱼通过投票重新启动版本2来得到拯救。   SushiSwap火爆的时候   8月底,SushiSwap的传奇开始了,并且产生了“吸血鬼挖矿”和“rug pull” (指一些项目通过包装自己来骗取用户质押和投资,随后立刻卷款逃跑)。Sush…

    2021年1月2日
    505 0
  • Ledger被黑前在中国就不香了? 国民最佳钱包该是什么样丨链节点AMA

    12 月 21 日,黑客网站 Raidforums 公开了从硬件钱包制造商 Ledger 中窃取的 100 多万封客户电子邮件。Ledger 随后表示“确实可能是我们 2020 年 6 月电子商务数据库的内容”。 硬件钱包尽管主打安全牌,但是硬件钱包漏洞和丢币事件却也从未销声匿迹。随着比特币逼近30000美元,用户继续安全的地方来存储自己的比特币,而硬件钱包真的安全吗? 12月30日,周三,下午2:00,HolderWallet 负责人、巴比特 UED 总监阿本、库神钱包商务VP吴美霖做客链节点进行AMA,教你如何选择一款适合自己的硬件钱包。 以下是本场AMA的精彩部分(查看全部内容): 硬件钱包采用开源普通芯片Vs.和安全芯片问题,哪个更重要些? 阿本: 开源不等于安全(否则 Defi 就不会有那么多被黑事件了),开源只是自证清白的手段。在硬件钱包都属于完全隔绝网络的情况下,其实主要考虑的是如何不被「物理攻破」从而获取钱包里的私钥。在「物理攻破」层面,采用安全芯片会更加安全。 打个比方,如果硬件钱包是我们为用户搭建的「私人金库」,开源应用层代码其实是把「金库图纸」交给所有人,从而告诉你们该金库并没有保留用户所不知道的「后门」(自证清白),但同时增加了不法之徒想要通过图纸了解金库结构从而采用其他方式进入金库的可能性(尤其是一些 API 接口很容易被非法调用)。而安全芯片可以理解为「私人金库」里为你量身定做的军工级「保险箱」,里面存储着你的「私钥」,这样哪怕黑客进入了你的私人金库,但是没有保险箱的密码,他也永远拿不走你的「私钥」。 所以其实在「金库图纸」都公布的情况下,采用「安全芯片」相当于给用户在「私人金库」里再加了一个经过计算机安全国际标准认证的「保险箱」,成本虽然高了,但是更安全了。 吴美霖 : 安全芯片和钱包开源是不能兼顾的,目前库神钱包也是因为我们使用的是安全芯片,而安全芯片提供的算法致使我们无法开源。安全芯片和普通芯片的差别还是很大的。我们都在说数字货币加密,而加密算法背后最重要的核心就是随机数。安全芯片可以生成真随机数,随机性(安全性)大于非安全芯片生成的伪随机数。所以我们权衡利弊的时候,一定要保留安全芯片。 开源=绝对去信任?你手上的硬件钱包的代码真的是厂商说的代码吗? 吴美霖 : 开源与不开源决定不了钱包的安全性,开源就是把代码公开,更透明一些,至于代码以及到手的硬件钱包是否采用的源代码用户是不得而知的,除非像你说的那样把硬件拆下来拿去反编译一下。对没有过硬技术的普通用户来说,还是选择靠谱的品牌钱包比较重要。 4. HolderWallet 的双芯片架构智能硬件钱包,是否可以理解同时具备智能钱包和硬件钱包的优点?智能硬件钱包会是以后钱包的方向吗? 阿本: HolderWallet 采用双芯片架构,「安全芯片」保障私钥的安全,「AI 芯片」优化产品体验产品,所以同时兼顾了安全和智能。 我认为以后的硬件钱包能做更多事情,而不仅仅是「存储」,所以我们称 HolderWallet 为「第一款智能硬件钱包」,再加上今年 Defi 的爆发作为契机,以后的智能硬件钱包会有更多可能性。 DeFi保险类COVER最近被黑客侵入,价格甚至一度归零。硬件钱包如何解决这类问题? 阿本: COVER 这个案例特别典型,它的代码就是全开源的,但正是因为开源,让黑客发现了它的漏洞,从而铸造了基本无限量的 COVER 代币,这就是为什么「开源不等于安全,开源只是自证清白的手段」。 而 HolderWallet 采用的「双芯片架构」分工明确:「AI智能芯片」负责应用层的逻辑交互,而「安全芯片」只负责生成并存储用户的「私钥」以及在使用过程中的「签名」,而 CC EAL 6+ 是由国际权威机构认证的安全级别,保障了私钥的生成过程足够随机、「存储」及「签名」的方式足够安全。 CC 是指信息技术安全评估标准,这是基于计算机安全认证的国际标准(ISO / IEC 15408),而 EAL 是经过 CC 标准评估后给出的安全级别,目前共有 1-7 级,越高越安全。到目前为止,HolderWallet 采用的 CC EAL 6+ 安全芯片已经是业内最高标准,达到了军工级别。 安全芯片提供了增强型的安全特性,支持电气环境监测,可对抗功耗分析和故障注入等。具备安全芯片隔离区内生成密钥树种子,加密存储私钥,隔离区离线签名;具备防暴力撞击和暴力自毁保护,防供应链攻击、女佣攻击和字典攻击,防系统漏洞和中间人攻击。 芯片内置了物理真随机发生器,通过采集量子随机运动状态生成无规律的真随机数,摒弃一切软件钱包依赖的伪随机函数和算法,真正做到去伪存真,让规律碰撞攻击无从下手。 硬件钱包性价比本来就不高,安全芯片更是推高了成本。即便有硬件钱包,总还要把助记词备份在卡片上吧,明文…

    2021年1月1日
    684 0
公众号
公众号
CN客服
CN客服
HK客服
HK客服
返回顶部