Primer lanzamiento | Resumen de los incidentes de ataque de 2020: faltan 90 mil millones de RMB ¿Cómo podemos mantenernos alejados de los piratas informáticos en 2021?

"Si esa cosa parece un pato y camina como un pato, decimos que es un pato".

Muchas personas sostienen esta cita de cierto político.

Como cada uno de nosotros, muchas veces la información que soltamos al mundo exterior se retroalimentará y nos afectará a través de la evaluación externa.

Este principio no solo se aplica a un campo en particular, por el contrario, puede encontrar rastros en todas las cosas.

La cadena de bloques lleva mucho tiempo desarrollándose, pero para muchas personas sigue siendo un lugar extrajudicial donde se esconden estafas, fugas y hackers.

Es difícil que la cognición de las personas se vea influenciada por otra información, por supuesto, esto debe atribuirse a los ataques cada vez más feroces a los proyectos de blockchain.

En los abrumadores incidentes de piratería, la única forma de revertir la ansiedad y la resistencia de las personas a la cadena de bloques es mejorar los estándares de seguridad de la cadena de bloques y establecer un ecosistema de cadena de bloques seguro y saludable.

LBank Blue Shell lanzó BOSON a las 16:50 el 9 de abril: Según el anuncio oficial, LBank Blue Shell lanzará BOSON (Boson Protocol) a las 16:50 el 9 de abril, abrirá transacciones en USDT y abrirá recargas a las 16:00 en abril. 9. El retiro estará disponible a las 16:00 el 12 de abril. Abra la transacción de recarga BOSON al mismo tiempo que se conecta en línea para compartir 10,000 USDT.

A las 16:50 del 9 de abril, LBank Blue Shell abrió la transacción de depósito BOSON para compartir 10,000 USDT. El monto de recarga neta del usuario no es inferior a 1 BOSON, y se puede obtener la recompensa de lanzamiento aéreo USDT equivalente al 1% de BOSON de acuerdo con el monto de recarga neta; la competencia comercial se clasificará de acuerdo con el volumen de operaciones de BOSON del usuario, y los 30 principales se pueden basar en la proporción del volumen comercial personal Divide USDT. Para obtener más información, haga clic en el anuncio oficial. [2021/4/9 20:02:26]

De la misma manera, cuando toda la cadena de bloques ya no esté enredada en noticias negativas, este "pato" también se convertirá en uno favorable.

Según las estadísticas, la tasa de seguridad de los sitios web y el software en el campo tradicional alcanzó el 97,5 % en 2020, y el activo que más perdió estuvo cerca de los 50 000 RMB.

Primer lanzamiento | imKey admite oficialmente Filecoin y se convierte en el primer lote de carteras de hardware de Filecoin: el 1 de diciembre, con el lanzamiento de imToken 2.7.2, imKey admite simultáneamente Filecoin, convirtiéndose en el primer lote de carteras de hardware de la industria en admitir oficialmente FIL. Como uno de los proyectos prioritarios respaldados por la cadena múltiple de imKey, Filecoin se ha convertido en la quinta cadena pública después de las cuatro cadenas públicas de BTC, ETH, EOS y COSMOS.

Se informa que el equipo de imKey lanzó por completo el plan de soporte de cadenas múltiples en el cuarto trimestre, planeando implementar todos los proyectos de cadenas públicas que imToken ya ha respaldado. Esta actualización de actualización de imKey no necesita reemplazar el hardware, no implica actualizaciones de firmware y se puede actualizar automáticamente a través de la aplicación (Applet) Realice el soporte de imKey para Filecoin y la gestión de tokens de FIL. [2020/12/2 22:52:32]

En el campo de la cadena de bloques, la tasa de seguridad de los contratos inteligentes y los nodos relacionados es solo del 89 %, y las pérdidas suelen oscilar entre 6 y 60 millones de RMB. Este es un activo altísimo que no puede ser transportado por varios camiones grandes.

Una pérdida de activos en el campo de la cadena de bloques puede ser más de mil veces la pérdida de activos en la red tradicional.

Entre los 23 proyectos de cadena de bloques analizados, hubo 8 eventos de ataque causados ​​por errores de lógica de implementación, 5 eventos de manipulación del oráculo de precios, 4 eventos de fraude de parte del proyecto, 3 eventos de ataque de reentrada y eventos de ataque de préstamo flash. 2 casos y 1 caso de billetera ataque.

Primer lanzamiento | Bithumb lanzará un servicio de transferencia de activos encriptados con Bithumb Global: los expertos de Bithumb revelaron a Jinse Finance que Bithumb lanzará un servicio de transferencia rápida de activos en moneda encriptada entre Bithumb y Bithumb Global sin cargos por manejo. El límite diario de transferencia de activos encriptados es de 2 BTC . La noticia se dará a conocer esta noche. Se informa que actualmente solo se admiten transferencias de activos BTC y ETH. [2020/2/26]

Tabla 1: Lista de los principales proyectos de accidentes de blockchain en 2020

Figura 1: Mapa de pérdidas de proyectos de accidentes importantes de blockchain en 2020

Primer lanzamiento | Los jugadores que alcancen el nivel 22 en "Let's Catch Monsters" tendrán acceso a un juego exclusivo de gatos: hoy, Tencent lanzó el primer juego de cadena de bloques "Let's Catch Monsters". Después de la verificación de Jinse Finance, los jugadores que alcancen el nivel 22 en el juego Estarás expuesto a la jugabilidad exclusiva del gato, no al nivel 15 anunciado previamente por el oficial. A excepción de los gatos de generación 0 invocados por la campana que atrae gatos y algunos gatos exclusivos recompensados ​​a través de actividades operativas, todos los gatos en el juego están desvinculados de forma predeterminada. Los gatos desencadenados no se pueden vender, ni pueden ingresar al mercado para ser emparejados con otros jugadores, pero puedes usar estos gatos para emparejar con tus amigos de QQ/WeChat para producir nuevos gatitos. Usa el accesorio "Tianshu Pen" para grabar a tu gato en la cadena de bloques. Una vez que los gatos se registran en la cadena de bloques, estos gatos pueden ingresar al mercado, ganar cupones a través del emparejamiento o vender para ganar cupones. Si el gato exclusivo está encadenado o no, no afecta su efecto de ganancia. Pero solo después de estar en la cadena, puede reproducirse y comerciar con todos los jugadores en el servidor.

El juego exclusivo de gatos en "Let's Catch Monsters" se basa en la tecnología blockchain de Tencent, y los activos digitales virtuales en el juego están protegidos de manera efectiva. Además, con base en la tecnología blockchain de Tencent, los gatos también pueden reproducirse libremente y usar la tecnología blockchain para almacenar y nunca desaparecer. [2019/4/11]

La tasa de votos electorales del súper nodo EOS debut dorado alcanzó el 6,49%: transmisión de datos de Golden Finance, a las 15:50 del 13 de junio, hora de Beijing, la tasa de votantes de EOS alcanzó el 6,49%. EOS Gravity Zone y EOS Canon, como dos equipos de campaña de súper nodo de China, ocuparon temporalmente el quinto y sexto lugar. Entre ellos, el número total de votos para EOS Gravity Zone fue de 9,03 millones, lo que representa el 2,96 %; el número total de votos para EOS Canon fue de 8,77 millones, lo que representa el 2,87 %. EOSflytomars, que había surgido antes, ocupó temporalmente el puesto 17, con un total de 6,3 millones de votos, lo que representa el 2,07%. Entre los 30 mejores equipos de campaña de supernodos, ocho equipos son de China. [2018/6/13]

El atacante prometió y recuperó repetidamente el contrato inteligente del proyecto, lo que desencadenó la operación de acuñación de tokens y emitió infinitamente tokens de Cover, lo que provocó el colapso del precio de los tokens de Cover.

Además, el atacante también acuñó la participación de DAI-ETH LP por un valor aproximado de 39,9 millones de RMB, y la ganancia de aproximadamente 6,5 millones de RMB fluyó hacia el LP de uniswap y sushiswap.

Después de una cuidadosa verificación de que estas transacciones eran operaciones internas, el propietario del proyecto transfirió una gran cantidad de tokens a su propia cuenta.

La máquina de oráculo de precios de Coinbase que utilizó experimentó enormes fluctuaciones en el precio de DAI, lo que resultó en la liquidación de aproximadamente 582,5 millones de RMB en activos.

El atacante aprovecha la laguna en el contrato que no verifica si el contrato Jar externo es legal.

El atacante explota la vulnerabilidad de reingreso en la función mintMultiple() en el contrato para aumentar los fondos prestados del préstamo flash como palanca para expandir los ingresos del ataque. El proyecto terminó perdiendo alrededor de 45 millones de yuanes.

Los atacantes atacan manipulando la cantidad de tokens en el grupo de liquidez y utilizando el oráculo de reinicio para aumentar el precio de los certificados de liquidez Uniswap LP.

El atacante usó la máquina del oráculo de precios de Curve en el proyecto para manipular la vulnerabilidad de cálculo de precios del token de la máquina del oráculo a través de préstamos rápidos para atacar.

Luego, el pirata informático intercambió los tokens AXN por Ethereum en el intercambio Uniswap y repitió el proceso hasta que se agotó el Ether para el par comercial ETH-AXN en Uniswap y el precio del token AXN cayó a 0.

Según el informe oficial, después de calcular los 13 millones de USDC y los 110 000 USDT devueltos al proyecto por el atacante, la pérdida total superó los 200 millones de RMB.

El 29 de septiembre de 2020, el atacante usó un programa de secuencias de comandos para pedir prestados los fondos iniciales a través de préstamos rápidos y aprovechó la vulnerabilidad del modelo Bonding Curve en el proyecto Eminence para comprar y vender repetidamente EMN y eAAVE para obtener ingresos. El proyecto terminó con una pérdida de alrededor de 98 millones de RMB.

El propietario del proyecto sacó todos los certificados de liquidez y los transfirió a sus propias cuentas llamando a la función de puerta trasera EmergencyWithdraw(), y el proyecto final perdió alrededor de 8,5 millones de RMB.

Esta vulnerabilidad permite que cualquier llamante externo liquide por la fuerza la deuda de la víctima llamando a la función de contrato inteligente, ignorando la cantidad de tokens en la deuda de la víctima y transfiriendo los ingresos de la operación de liquidación a su propia dirección de pago.

Al implementar su contrato inteligente, los funcionarios de la Base solo declararon al propietario llamando a la función renunciar a la propiedad en el contrato inteligente, pero no inicializaron el contrato inteligente.

El 12 de agosto de 2020, YAM Finance anunció oficialmente que había descubierto un vacío legal en el contrato inteligente, diciendo que el vacío legal generaría tokens YAM que excedían la cantidad establecida inicialmente, y al calcular el suministro total, daría resultados incorrectos, lo que llevaría a que el sistema reserva demasiadas fichas. El proyecto final perdió alrededor de 5 millones de RMB.

Hubo fallas de seguridad en sus contratos inteligentes que causaron una inflación masiva en su sistema de fichas.

El motivo del ataque es que existe una laguna en la función de ejercicio de Opyn en el contrato inteligente oToken.

Cuando el atacante envía una cierta cantidad de ETH al contrato inteligente, el contrato inteligente solo verifica si la cantidad de ETH es consistente con la cantidad requerida para completar la transacción de futuros, en lugar de verificar dinámicamente si la cantidad de ETH enviada por el atacante es dentro de cada Después de una transacción, sigue siendo igual a la cantidad requerida para completar la transacción de futuros.

Según la descripción en el informe de Cashaa, el atacante controló la computadora de la víctima, operó la billetera Bitcoin de la víctima en Blockchain.info y transfirió BTC a la cuenta del atacante.

Luego use la cantidad mínima de STA (el valor es 1e-18) para recomprar continuamente WETH, y después de cada recompra, use la laguna del contrato de Balancer para restablecer la cantidad de STA internas (el valor es 1e-18), para estabilizar STA precio alto.

Los atacantes continúan explotando las lagunas y usan STA de alto precio para comprar por completo un determinado token (WETH, WBTC, LINK y SNX), y finalmente usan WETH para pagar el préstamo flash, dejando una gran cantidad de STA, WETH, WBTC , LINK y SNX, y transfiera las ganancias ilegales a su propia cuenta a través de uniswap.

Después de que CertiK capturara el ataque de Balancer a las 2 am del 29 de junio, a las 20:00 y a las 23:23 del 29 de junio de 2020, el proyecto Balancer fue atacado nuevamente.

Después de que el atacante tomó prestados y acuñó los tokens del préstamo flash dYdX, obtuvo tokens cWBTC y cBAT a través del préstamo flash uniswap, y luego intercambió los tokens prestados en una gran cantidad en el conjunto de tokens de Balancer, activando así el mecanismo de lanzamiento aéreo del Compound. Protocolo Obtenga los tokens COMP lanzados desde el aire y luego use la función vulnerable gulp () de Balancer para actualizar la cantidad del conjunto de tokens, luego tome todos los tokens y devuelva el préstamo flash.

El atacante es equivalente a aprovechar el modelo financiero del protocolo Compound, los préstamos flash y las vulnerabilidades del código Balancer, creando COMP de la nada.

El 27 de abril de 2020, debido a errores en la implementación del código en el proyecto Hegic, los fondos de los usuarios en el contrato se bloquearon y no se pudieron operar por ningún método. El proyecto final perdió alrededor de 180.000 RMB.

El 19 de abril de 2020, el proyecto Lendf.me sufrió un ataque de reingreso basado en el defecto estándar ERC777. La pérdida final del proyecto fue de unos 162 millones de RMB.

El 18 de abril de 2020, el proyecto DeFi Uniswap fue atacado.

De las estadísticas anteriores, se puede ver que la pérdida total de estos 23 grandes ataques fue de alrededor de 1.800 millones de RMB.

Ha habido estadísticas en el campo de la informática durante mucho tiempo. En promedio, habrá de 1 a 25 errores en cada 1000 líneas de código.

Tags：

AAVE