2020攻击事件总结900亿人民币不翼而飞,2021我们如何远离黑客?
2020攻击事件总结 900亿人民币不翼而飞,2021我们如何远离黑客?
“如果那东西看上去像鸭子,走起路来也像鸭子,我们就说它是鸭子。”
这句来自某位政客所说的话被许多人奉为圭臬。
如同我们每一个人,很多时候我们对外界释放出的信息都会再通过外界评价反馈和影响到自身。
这个道理不仅仅应用于某一个特殊领域,相反,它在所有事情上都可以找到痕迹。
区块链发展日久,但对于很多人来说,它依旧是一个暗藏着骗局、跑路、黑客的法外之地。
人们心中的认知很难被其他信息所影响,当然,这也的确需要归因于目前区块链项目所受的攻击愈发猛烈。
在铺天盖地的黑客事件中,想要扭转人们对于区块链的不安和抗拒只有依靠提高区块链的安全标准,建立安全健康的区块链生态。
同理,当整个区块链不再受负面新闻所缠身时,这个“鸭子”也会变成有利的那一只。
经统计,2020年传统领域的网站及软件安全率达到了97.5%,其中损失最大的一笔资产仅仅是接近5万人民币。
而区块链领域内,智能合约及相关节点的安全率只有89%,且损失往往处于600万至6,000万人民币之间,这是需要几个大卡车都运不下的天价资产。
一次来自于区块链领域的损失资产,也许就是传统网络损失资产的千倍以上。
因此,CertiK安全专家盘点了2020年较为典型的23个区块链项目,分析了其受攻击的原因和黑客使用的攻击方式,以作为业内安全事故警示的参考。
在分析的这23个区块链项目中,其中实现逻辑错误所导致的攻击事件8起,价格预言机操纵事件5起,项目方欺诈事件4起,重入攻击事件3起,闪电贷攻击事件2起,钱包攻击事件1起。
这些安全事故项目列表如下:
表1:2020年区块链重大事故项目列表
图一:2020年区块链重大事故项目损失图
表一和图一展示了2020年区块链重大事故项目损失情况。
图二:攻击类型损失图
2020年重大攻击事件明细
1 Cover Protocol
2020年12月28日晚, CertiK安全验证团队发现Cover Protocol发生代币无限增发漏洞攻击。
攻击者通过反复对项目智能合约进行质押和取回操作,触发其中包含铸造代币的操作,对Cover代币进行无限增发,导致Cover代币价格崩盘。
最终损失共计约2850万人民币。
2 Warp Finance
2020年12月17日,攻击者利用Warp Finance项目使用的oracle计算质押的LP代币资产价格错误的漏洞,从Warp finance项目中获利约1462枚ETH代币,总价值约615万人民币。
此外,攻击者还mint了价值大约3,990万人民币的DAI-ETH LP share,约650万人民币的获利流入了uniswap和sushiswap的LP中。
在本次攻击中,Warp finance 遭受的损失大约为5,000万人民币。
3 Compounder.Finance
2020年12月1日下午3点,CertiK安全技术团队通过Skynet发现Compounder.Finance项目智能合约发生数笔大量代币的交易。
经过仔细验证得知这些交易为内部操作,项目拥有者将大量数额代币转移到自己的账户中。
经过统计,最终共损失价值约7,610万人民币的代币。
4 SushiSwap
2020年11月30日,Sushiswap项目被发现遭到恶意流动性提供者的攻击,攻击者利用该项目Sushi Maker合约中的漏洞进行攻击,最终获利约10万人民币。
5 Compound
2020年11月26日,Compound项目发生价格预言机代币价格错误。
其所采用的Coinbase价格预言机对DAI价格出现巨大波动,导致约58,250万人民币的资产被清算。
6 Pickle Finance
2020年11月22日凌晨2点37分,CertiK安全验证团队通过Skynet发现Pickle Finance项目遭到攻击。
攻击者利用合约中未检查外部Jar合约是否合法的漏洞进行攻击。
最终项目共损失约1975万枚Dai代币,价值约12,800万人民币。
7 Origin Protocol
2020年11月17日,Original Protocol项目OUSD遭到闪电贷与重入攻击的组合攻击。
攻击者利用合约中mintMultiple()函数中的重入漏洞,增加闪电贷贷来的资金作为杠杆,扩大攻击收益。项目最终损失约4,500万人民币。
8 Cheese Bank
2020年11月16日,DeFi项目Cheese Bank遭到闪电贷攻击。
攻击者通过操纵流动性池中代币数目,利用重置预言机来提高Uniswap LP流动性凭证价格进行攻击。
最终项目损失约2,100万人民币,其中包括价值1,300万人民币的USDC。
9 Value DeFi
2020年11月15日,DeFi项目Value Defi遭到闪电贷攻击。
攻击者通过项目中使用Curve价格预言机,通过闪电贷操纵预言机代币价格计算漏洞进行攻击。
最终攻击者获利约4,800万人民币价值的DAI。
10 Axion Network
2020年11月2日晚上,黑客利用Axion Staking合约的unstake函数设法铸造了约800亿个AXN代币。
黑客随后将AXN代币在Uniswap交易所中兑换以太币,重复此过程,直到Uniswap中ETH-AXN交易对的以太币被耗尽,同时AXN代币价格降至0。
该攻击是内部操作造成的,该内部操作通过在部署代码时,对项目依赖的OpenZeppelin依赖项注入恶意代码,最终损失约330万人民币。
11 Harvest Finance
2020年10 月 26 日 Harvest.Finance 项目发生套利攻击事件,损失超 3380 万美元。
根据官方报告,计算了攻击者返还给项目的 1300 万 USDC 和 11 万 USDT 之后,总损失超过 2 亿人民币。
在 Harvest.Finance 这次的套利攻击事件中,攻击者通过影响 USDC、USDT 代币的价格来进行套利。
12 Eminence
2020年9月29日,攻击者使用脚本程序,通过闪电贷借得初始资金, 利用 Eminence 项目中的联合曲线(Bonding Curve)模型漏洞,反复购买出售 EMN 和 eAAVE 来获得收益。项目最终损失约9,800万人民币。
13 GemSwap
2020/09/26日,DeFi项目GemSwap遭到项目拥有者的后门攻击。
项目拥有者通过调用后门函数emergencyWithdraw()将所有的流动性证明取出并转移至自己拥有的账户中,最终项目损失约850万人民币。
14 Soda Finance
2020年9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞。
该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。
最终项目损失约105万人民币。
15 BASED
2020年8月14日,流动性挖矿项目Based出现初始化失误造成的漏洞。
其智能合约在进行部署时,Base官方仅通过调用智能合约中的 renounceOwnership 函数声明了所有者,而并没有对智能合约初始化。
而一名外部攻击者在 Based 官方之前,抢先调用 initialize 函数对智能合约进行了初始化。
16 YAM
2020年8 月 12 日,YAM Finance 官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的 YAM 代币,在计算 totalSupply 时,给出了错误的结果,这会导致系统保留的代币数量过多。最终项目损失约500万人民币。
17 NUGS
2020年8月11日,CertiK安全研究团队发现基于以太坊的代币项目NUGS出现安全问题。
其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。
由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。此次攻击损失巨大,直接造成该项目失败。
18 Opyn
2020年8月4日,DeFi项目Oypn发生攻击事件。
攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。
攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,而不是动态的检查攻击者发送的ETH数量是否在每一次的交易之后仍旧等于完成该次期货买卖所需要的数量。
也就是说,攻击者可以用一笔ETH进行抵押,并在赎回两次交易,最终获得自身发送数量两倍的ETH最终项目损失约240万人民币。
19 Cashaa
第一次攻击发生于7月10日北京时间晚6点57分,Cashaa的比特币钱包之一被盗用并向攻击者账户转移了1.***个BTC。
根据Cashaa报告中描述,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移BTC。
第二次攻击发生于7月11日北京时间凌晨8点10分,Cashaa的总计8个比特币钱包,共计335.***个比特币被攻击者通过同样的手段转移到同一个地址中。
最终项目损失约2,000万人民币。
20 Balancer
2020年6月29日凌晨2点03分,攻击者利用从dYdX闪电贷中借到的WETH,大量买进STA代币,使得STA与其他代币的兑换价格急剧上升。
然后使用最小量的STA(数值为1e-18)不断回购WETH,并在每次回购后,利用Balancer的合约漏洞重置其内部STA的数量(数值为1e-18),以此稳住STA的高价位。
攻击者不断利用漏洞,用高价的STA将某一种代币完全买空(WETH,WBTC, LINK和SNX),最终用WETH偿还闪电贷,并剩余大量STA,WETH,WBTC, LINK和SNX,并通过uniswap将非法所得转移到自己账户中。
继6月29日凌晨2点CertiK捕获Balancer攻击事件后,2020年6月29日20点与23点23分,Balancer项目再次遭到攻击。
攻击者从dYdX闪电贷中借到代币并铸币后,通过uniswap闪贷获得cWBTC和cBAT代币,然后将借得的代币在Balancer代币池中大量交易,从而触发Compound协议的空投机制,获得空投的COMP代币,再使用Balancer有漏洞的gulp()函数更新代币池数量后,取走所有代币并归还闪电贷。
攻击者相当于利用了Compound协议的金融模型、闪电贷和Balancer代码漏洞,无中生有了COMP。
两次攻击直接导致Balancer损失了约300万人民币。
21 Hegic
2020年4月27日,Hegic项目中由于代码实现存在错误,导致合约中用户资金被锁定,无法被任何方法操作。最终项目损失约18万人民币。
22 Lendf.Me
2020年4月19日,Lendf.me项目遭到基于ERC777标准缺陷问题的重入攻击。最终项目损失约16,200万人民币。
23 Uniswap
2020年4月18日,DeFi项目Uniswap遭到攻击。
攻击者利用ERC777可以在同一笔交易中完成代币兑换的特性,通过其tokensToSend()函数对Uniswap进行重入攻击。最终Uniswap项目损失共计约150万人民币。
总结
从上文的数据统计里可以看出,这23次重大攻击事件,损失总金额高达约18亿人民币。
这18亿人民币被包括价格预言机操纵、重入攻击、实现逻辑错误、闪电贷攻击、项目方欺诈、钱包攻击在内的各种攻击方式所盗取,让人防不胜防。
计算机领域中早有统计,平均每1000行代码中,会有1-25个bug。
也就是说,这个概率的区间是千分之一(0.1%)至百分之二点五(2.5%)。
想知道这个概率意味着什么吗?点击【飞机颠簸总怕下一秒空难?我们每天遇到有漏洞的DeFi合约概率是多少?】寻找答案!
区块链领域内,任何一个小bug都可能会给项目或者投资者造成无法挽回的损失。
想要改变“鸭子”的偏见和刻板印象,建立起安全有保障的区块链健康生态,离不开每一个项目和个人对于安全的坚持与付出。
许多人通过币圈实现了财富自由,你还要在继续观望吗?
是继续观望,还是光速进入,你自己选!
把握币圈及区块链深层次的价值,抓住区块链当下和未来的机遇!
欢迎高手小白一起免费交流学习!
2020攻击事件总结 900亿人民币不翼而飞,2021我们如何远离黑客?
------
延伸阅读:
炒币也是一种熟练工种 唯有多练多实践
我们都知道在炒币的过程当中,你首先要会判断大的趋势。
只有你会判断大的趋势之后,你才知道接下来大概率会有什么样的行情?你要开什么样的单?
比如说一个深v行情之后,它是震荡向上还是震荡向下?比如说一个画门行情之后,它是震荡向上还是震荡向下?只有你学会判断趋势,你才知道。你要在什么样的点位做多什么样的点位,做空。你可以在这个阶段做多大的区间。
历史总是不断重复,但是又不会只仅仅简单的重复。
学会观察每一次涨跌幅超过2%的行情,他的之前是什么样的?他的之后是什么样的?重点在4小时线上观测。
这是我们做短线合约的大方向。
虽然我总说盘面的分析K线图意义不是很大。但是完全不会分析是万万不行的,其实从大的趋势上说,行情来来去去就那么几种,不断变换组合罢了,学会判断行情的区间是做好交易的必修课。
比如,如图,就是最近最典型的深v行情:
深V行情过后,是最经典的区间震荡向下,如果你对行情有一个很好的预判,你就知道在这个行情过后,你要做什么样的单,止盈点设置在多少。
只有学会观测不同的行情,什么时候它会画门,什么时候会深v,什么时候是鱼尾?你才能更好的提前布局,埋伏什么样的趋势。
也许刚开始你看不出什么东西也总结不出什么经验,但是如果日复一日看个半年一年,你总能总结出一些规律。看的图形越多,看的时间越久,你就会越来越容易发现规律,对后续的币价的行情。就会更容易有把握。
这就是所谓的盘感,唯有有多看多想,别无他法。
比如说每逢节假日跌的概率就会很大,到了节假日的时候你就要注意了。
我记得以前听过一句话“行情总是在争议中发展,在亢奋中死亡”。这句话是什么意思呢?他的意思是如果多空双方争议比较激烈的话,那么这个行情的走势还会继续,如果开始出现一面倒的情绪,那么你就要开始反方向操作了。
所以我们总有说一句话,“空头不死多头不止”。意思是什么呢?就是那些看空的人还在看空,那么,上涨的行情就还能继续,当市场上没有人看空了,大家都一面倒的认为现在要大涨,反而涨到了尽头。反之亦然。
我们做合约,我们炒币,其实买的就是行情的预期,那么你就更要学会判断预期的转折,也就是多空的转换。
比方上次的深V行情,当比特币价格跌到8900的时候,在市场情绪一面倒的认为继续下跌,跌到8200的时候,行情反转了。
比如,前天晚上在9200多空博弈很激烈的时候,放了很大的量,却没有多少波动,于是,行情继续了,昨天一早就跌到了9010。
其实说白了就是众口一词的认为涨时候那么价钱一定是贵了,如果众口一词的认为跌的时候,那么价钱一定是低估了。
那我们要怎么样观测市场上的争议呢?你可以通过盘面上的量能,结合波动来做判断,比如说量很大却价格波动不大,那么说明多空双方的搏斗很激烈。
如果说,只有很少的量能,可是行情却往一个方向走了比较大的幅度,那么这个时候很有可能就要逆转了。
量能是比观察K线画线更好的一个指标,因为k线可以作假,可是量能是无法做假的,多关注每一个区间的成交量,而不是看线的交叉不交叉。
量能代表了多空双方的分歧程度,量能越大,分歧越大,量能越小,分歧就越小,也就说明大家对这个价格的认可度越高,这个时候就是逆转的时候。
所以市场总是量在价先。因为有些图形可以是虚假的,有偏差的,可是成交量是实实在在的。
量能的判断其实比价格的绝对判断更重要。
还有一句交易格言就是“重势不重价”。只有交易有了很大的分歧才能造“势”,“势”就是趋势,行情。
所以在每一段行情之前会有量能的异动。
也就是说,如果出现了巨大的成交量,那么就意味着机会来了,行情要来了。量能越大,行情越大。
那么我们要怎么样抓住行情呢?
简单的说就是六个字:顺大势,逆小势。
啥意思呢?就是在大方向上要选择跟市场一致的方向,但是在区间上要选择逆势交易。比如我惯用的逆向加仓,但是这个方法一定要建立在你对行情走势的预判。
也就是当你预判当下的大方向是跌的时候。你要重点做空,但是要在震荡向上的时候,去布局做空,而不是震荡向下的时候去顺势空,容易让你空在短期的地板上,这个时候哪怕你的大方向判断是对的,你也会短期套牢。
做长趋势单或者是做现货不怕短期套牢,可以忽略短期波动。但是做合约我们给自己的定位是中短线,那么就尽量要避免这样的情况。
说白了就是你明白了大方向之后,尽量不要在小区间上追涨杀跌。
而是在一个小区间震荡里,上涨的时候布局空单,下跌的时候布局多单。
这样的好处是什么呢?是你的持仓成本会更好,能吃进的区间相对更大,不容易错过行情。
这种时候你的信心和心态都会比较好。比较容易拿得住,不容易对自己的持仓产生怀疑。
也能让你更清晰的感知,当下行情的强弱。
顺大势逆小势,方法说起来简单,可是实际操作中很多人往往都会反过来操作,因为很多人总是关注当下这么一分一秒的盈亏,而忽略了长期的走势。
当你过度的关注短期的走势的时候,可能你就离亏钱不远了。
------------------
推荐阅读:
