Informe de seguridad en cadena de 2020: más de 60 ataques DeFi y pérdidas de más de 250 millones de dólares estadounidenses

El año mágico de 2020 llegó a su fin con la compañía del mercado alcista, sin embargo, durante este año, los incidentes de seguridad en la cadena ocurrieron con frecuencia. Rhythm BlockBeats resume los incidentes de seguridad en cadena ocurridos en 2020. El "Informe de seguridad en cadena de 2020" se divide principalmente en cuatro partes: eventos importantes que afectaron a la industria de divisas en 2020, incidentes de seguridad de Ethereum, seguros de contratos y otros ataques fuera de los contratos de DeFi.

La nueva epidemia de la corona en 2020 ha tenido un gran impacto en la economía global. El mercado de valores de EE. UU. ha experimentado tres interruptores de circuito en un mes. Al mismo tiempo, el mercado de activos encriptados también se ha visto implicado. El 12 de marzo, todos los activos cifrados se desplomaron. Bitcoin cayó un 50 % en un día, y el valor de mercado total del mercado de activos cifrados se redujo casi a la mitad. Posteriormente, los bancos centrales de varios países optaron por enfrentar este duro golpe de la manera más simple y grosera: liberación loca de QE. Aunque este estímulo es la política monetaria más efectiva, sus efectos secundarios también son evidentes. la

Si el tsunami financiero desencadenado por la crisis de las hipotecas de alto riesgo creó Bitcoin, entonces la gran cantidad de dinero impreso causada por la epidemia ha hecho que más personas se den cuenta de que Bitcoin es un activo escaso y puede protegerse contra el riesgo de depreciación de la moneda legal. La compra, la custodia y la madurez de diversas infraestructuras de activos cifrados y derivados cumplen con las normas y brindan soluciones perfectas para los demandantes de activos cifrados desde todos los ángulos, y muchas instituciones han elegido naturalmente Bitcoin y otros activos cifrados líderes como parte de la asignación de activos.

CoinList: se agregarán 1 millón de usuarios de KYC en 2022, y el volumen comercial mensual de la plataforma comercial alcanzará los 400 millones de dólares estadounidenses: el 28 de diciembre, CoinList publicó la "Revisión anual de CoinList 2022", diciendo que 1 millón de usuarios de KYC serán agregado en todo el mundo en 2022, y usuarios que cubren más de 170 países, entre los cuales la tasa de crecimiento en Europa del Este es del 80% y la de Asia es del 20%.

El volumen de negociación mensual de su plataforma de negociación al contado CoinList Pro alcanzará los 400 millones de dólares estadounidenses en 2022, y se lanzarán 9 nuevos activos comerciales, incluidos Agoric (BLD), Compound (COMP), Project Galaxy (GAL), Gods Unchained (GODS). ), pilas (STX), umbral (T), trébol (CLV).

Además, los usuarios del servicio de staking de CoinList han ganado casi $50 millones en recompensas de staking al aprovechar sus tokens para mejorar la seguridad de la red para una serie de proyectos, incluidos Axelar, Agoric, Casper y Mina.

Mirando hacia 2023, CoinList está preparando muchas cosas emocionantes, incluida una nueva interfaz de usuario basada en los comentarios de los usuarios, un proceso KYC/KYB muy simplificado y mejorado, inversión en infraestructura, un lanzamiento a gran escala de productos Wallet Link y actividades de ventas comunitarias. [2022/12/28 22:12:03]

Si los inversores minoristas no disfrutan de los dividendos generados por el mercado alcista institucional, entonces todos no deben estar ausentes del aumento de la minería de liquidez. Para convertirse en "agricultores" de DeFi, aquellos usuarios que una vez solo almacenaron sus monedas en el intercambio centralizado transfirieron sus activos al "cabeza de zorro" e intercambiaron activos no productivos por "azadas" agrícolas a través del intercambio descentralizado. La minería loca ha hecho que el valor de mercado de los activos en la cadena Ethereum se dispare a la nube, pero al mismo tiempo, también se ha convertido en la grasa de los piratas informáticos.

Grayscale BTC Trust aumentó sus tenencias en 1.275 ETH Las posiciones de Trust disminuyeron en 202: el 8 de diciembre, EST, los datos de tenencias de Grayscale Trust cambiaron de la siguiente manera: las tenencias de Grayscale's BTC Trust aumentaron en 1.275 (+0,23%), y las tenencias totales son 552.511 BTC ; La posición de confianza ETH de Grayscale disminuyó en 202 piezas (-0,01 %), con una posición total de 2 941 552 ETH; La posición de confianza BCH de Grayscale aumentó en 78 piezas (+0,04 %), con una posición total de 189 540 BCH; Las posiciones de confianza LTC aumentaron en 6134 (+0,69 %), con una posición total de 894 085 LTC; las posiciones de confianza de ETC en escala de grises disminuyeron en 1011 (-0,01 %), con una posición total de 12 294 109 ETC;[2020/12/10 14: 45:23]

Fuente: OKLink

Liderada por la minería de liquidez, DeFi, que ha estado en silencio durante mucho tiempo, se ha convertido en el foco de atención en la segunda mitad de 2020. Los usuarios depositan activos en el contrato para proporcionar liquidez para el acuerdo, obteniendo así la tarifa compartida del acuerdo y las recompensas del token de gobierno.

La cantidad de demandas de criptomonedas presentadas por la CFTC en el año fiscal 2020 estableció un nuevo récord: Jinse Finance informó que, según el informe anual publicado por la Comisión de Comercio de Futuros de Productos Básicos de EE. UU. (CFTC) el martes, hubo 7 acciones de alivio monetario contra empresas involucradas en actividades ilegales de encriptación en el año fiscal 2020, estableció un nuevo récord. Se informa que el ejercicio fiscal 2020 finaliza el 30 de septiembre. [2020/12/2 22:48:17]

Dado que varios activos valiosos se almacenan en el protocolo, esto hace que el protocolo DeFi sea el área más afectada por los ataques. Los piratas informáticos utilizan varios medios para atacar los contratos.Según las estadísticas de PeckShield, habrá 60 incidentes de seguridad DeFi en 2020, con una pérdida de más de 250 millones de dólares estadounidenses, lo que representa el 12,5% de las pérdidas totales causadas por ataques de piratas informáticos, lejos superando los datos de 2019.

Crédito de la imagen: PeckShield

Los tres ataques más comunes que ocurren en los contratos DeFi son los ataques de manipulación de Oracle (préstamos flash), los ataques de reingreso y las vulnerabilidades de código.

Antminer Fan Xiaojun: En 2020, la capacidad de producción de toda la industria de máquinas mineras es muy limitada: el 25 de mayo de 2020, el grupo de minería OKEx lanzó un evento de bienestar de la fiesta minera de un mes. Antminer Fan Xiaojun, jefe de ventas en la región de Asia-Pacífico, fue invitado a asistir a la AMA en la fiesta de la mina OKEx. Fan Xiaojun dijo que solo se necesitaron unos pocos años para iterar el proceso del chip de moneda virtual y que ya ha utilizado la tecnología de la industria de los semiconductores durante casi cien años. En la actualidad, la última máquina de minería S19 de Antminer utiliza la tecnología de 7nm de TSMC. En el futuro, las máquinas de minería definitivamente usarán procesos de 5 nm o incluso menos, pero llevará tiempo. En términos de capacidad de producción, la industria 5G estalló este año, y Samsung y TSMC dejaron pocos chips para la industria minera. Junto con el impacto de la epidemia, la capacidad de producción en 2020 es muy limitada. [2020/5/25]

En el contexto del auge actual de DeFi, los ataques de Oracle son extremadamente comunes, porque la mayoría de los protocolos DeFi necesitan proporcionar información de precios a través de oráculos de alimentación de precios. En términos generales, hay dos tipos de oráculos de alimentación de precios: dentro y fuera de la cadena. Los oráculos dentro de la cadena obtienen información tomando precios de intercambios descentralizados, mientras que los oráculos fuera de la cadena obtienen precios de intercambios centralizados.

Estas dos formas de alimentar los oráculos de precios tienen sus propias ventajas y desventajas.Se puede confiar completamente en la obtención de precios de la cadena a través del acuerdo, pero existe el riesgo de ser manipulado y atacado. Aunque el oráculo fuera de la cadena no corre el riesgo de ser atacado por préstamos rápidos, su fuente de precios debe ser proporcionada por un intercambio centralizado, existe el riesgo de centralización y los datos fuera de la cadena se reflejan lentamente en la cadena.

Voz | Fundador de Cardano: ADA es la criptomoneda a tener en cuenta en 2020: el fundador de Cardano, Charles Hoskinson, tuiteó recientemente que la versión recientemente lanzada del protocolo hará de Cardano (ADA) una bestia en 2020.

Según noticias anteriores, la instantánea de verificación de saldo de Shelley Incentive Testnet se completó con éxito. Los usuarios de la comunidad de Cardano tuitearon recientemente que en menos de dos días, la red de prueba de Cardano Shelley ha registrado más de 100 grupos de hipotecas sin implementar incentivos. Se informa que la red de prueba de Cardano Shelley finalmente se lanzó a principios de octubre de 2019 y prometió proporcionar incentivos de participación en noviembre. (Crypto)[2019/11/17]

En la cadena, los usuarios pueden completar instantáneamente una serie de operaciones, como préstamos de gran cantidad, intercambio y depósitos de gran cantidad a través de la herramienta de préstamo flash, que permite a los atacantes crear oportunidades de arbitraje por sí mismos, manipulando así el precio del intercambio descentralizado. para interrumpir a otros usuarios que usan la plataforma. La aplicación DeFi basada en precios finalmente completa el ataque de arbitraje. Los casos típicos incluyen bZx, Cheese Bank, Harvest y Valley y otros ataques de Oracle que alimentan los precios.

El ataque de reingreso es un método de ataque muy dañino, que puede drenar fácilmente todos los activos del contrato. En el famoso robo de la DAO, el atacante usó un ataque de reentrada para provocar una bifurcación dura de Ethereum y perdió $ 50 millones en Ethereum.

Los contratos inteligentes no solo pueden llamarse entre sí, sino también internamente. En circunstancias normales, esto no causará ningún problema, pero cuando la llamada hace que el estado del contrato sea inconsistente, como cuando el monto del retiro es mayor que el monto del contrato, o cuando un contrato inicia una transferencia antes de que el saldo se establezca en cero. , el atacante puede abusar de la función de retiro para retirar todos los saldos del contrato. Los casos clásicos de ataques de reentrada de este año incluyen: Akropolis, dForce y Origin.

Dichos ataques generalmente son causados ​​​​por lagunas lógicas o puertas traseras que dejan los desarrolladores al escribir contratos inteligentes. La mayoría de las lagunas del contrato aparecen en contratos no auditados. El método más común es que el atacante utiliza las lagunas en el contrato para acuñar monedas infinitamente y luego drena los activos en el fondo de liquidez, congela los activos en el contrato o el desarrollador del contrato toma se lleva los activos del contrato y luego se va.

En el mundo descentralizado, debido a la rápida iteración de las aplicaciones DeFi, para ponerse al día con la popularidad, los contratos de muchas aplicaciones se liberaron sin pasar la auditoría de terceros. También hay innumerables activos perdidos debido a lagunas en los contratos inteligentes. Muchos usuarios pueden quejarse de que la parte del proyecto es irresponsable, pero algunos proyectos no divulgan la información del proyecto. Debido al sentimiento de FOMO, los usuarios usarán pistas para encontrar contratos de proyectos no divulgados para participar primero en el proyecto.

Por ejemplo, en la madrugada del 29 de septiembre, el fundador de YFI publicó en Twitter dos dibujos de diseño relacionados con el proyecto del nuevo proyecto en el que participó. Los piratas informáticos luego encontraron la dirección del contrato del proyecto y utilizaron ataques de préstamo flash para robar 16 millones de monedas DAI. la

La auditoría de contratos lleva demasiado tiempo para los productos DeFi iterativos de alta velocidad, y el seguro puede ser una mejor opción. Para que DeFi se desarrolle, necesita infraestructura como un seguro. No es realista confiar en los usuarios del protocolo DeFi para comprar un seguro por sí mismos. Un esquema puede extraer una parte de las tarifas de transacción del acuerdo o los ingresos mineros y depositarlos en la tesorería del proyecto, y una parte de la tesorería se utiliza para comprar el seguro del acuerdo.

Además de los ataques a contratos, los ataques a cadenas públicas, intercambios y billeteras tampoco son una minoría. La mayoría de los ataques de cadena pública son ataques del 51% Desde principios de año, múltiples proyectos de blockchain han sufrido ataques de doble gasto del 51% uno tras otro. De enero a febrero, la red BTG fue repetidamente atacada por el doble gasto y la pérdida alcanzó más de 50,000 dólares estadounidenses. Entre julio y agosto, Ethereum Classic (ETC) sufrió tres ataques del 51%, lo que resultó en pérdidas de decenas de millones de dólares.OKEx consideró una vez eliminar a ETC del intercambio. El 8 de noviembre, Grin Network fue atacada por un 51 % y, debido a la respuesta oportuna, no se produjeron pérdidas.

La razón principal del ataque del 51 % es que el nivel de consenso del proyecto blockchain no es suficiente, y los mineros recurrieron a otros proyectos, lo que resultó en una disminución de la potencia informática para mantener el funcionamiento de la red, dando a los atacantes una oportunidad. Por ejemplo, ETC, BTG y AE son todos proyectos de cadena de bloques pasados ​​de moda hace algunos años. La popularidad de los proyectos ha disminuido drásticamente y el precio de la moneda no ha funcionado bien. Dado que los ingresos de los mineros están directamente relacionados con la moneda precio, los mineros aprovecharán la tendencia para sumarse y ganar más en la cadena pública.

Por supuesto, algunos proyectos nuevos también serán atacados. Aunque el rendimiento del precio de la moneda es promedio, pero debido a que aún no ha reunido una comunidad fuerte, no hay suficiente consenso y poder de cómputo, y el costo del ataque es relativamente bajo. Al final , los piratas iniciarán Target. Desde la perspectiva de métodos de implementación específicos, a medida que la potencia informática de la red atacada disminuye o su propia potencia informática es insuficiente, el atacante puede obtener suficiente potencia informática para atacar alquilando potencia informática, y el costo del ataque es bajo y los beneficios son generalmente mucho más alto que el costo.

Fuente de la imagen: Crypto51.app

El robo de la billetera caliente de Kucoin Exchange también ha atraído la atención de los expertos. La brecha afectó a las billeteras activas Bitcoin, Ethereum y ERC-20 del intercambio, y la plataforma perdió casi $281 millones en activos. Sin embargo, los atacantes de KuCoin parecían estar muy ansiosos, tratando de dividir directamente el USDT y transferirlo a Binance y Matcha Exchanges por dinero en efectivo.Sin embargo, antes de que pudieran operar las cuentas relevantes, los dos intercambios los congelaron a tiempo. Posteriormente, Bitfinex y Tether también congelaron sucesivamente alrededor de 33 millones de USDT en la dirección de ataque de KuCoin.Después de trabajar durante mucho tiempo, el hacker pareció no obtener nada.

En el mágico mercado de cifrado de 2020, hemos experimentado demasiado. Después de 3.12, la gente recuperó su confianza. El sentimiento FOMO encendido por DeFi no es menor que el de IC0 en ese entonces. El entusiasmo de los usuarios sin duda hará que los desarrolladores estén más motivados para desarrollar más aplicaciones en cadena interesantes, de alta calidad y atractivas, por supuesto, la seguridad es lo primero. Hoy en día, las instituciones financieras tradicionales han centrado su atención en los activos cifrados, y las aplicaciones financieras cifradas definitivamente se convertirán en el centro de atención.Si las aplicaciones financieras cifradas se van a descentralizar por completo, entonces el enfoque principal debe ser la seguridad. En el futuro, aparecerán inevitablemente otros derivados además del seguro de contrato para cubrir los riesgos de seguridad de los activos, y las tecnologías cada vez más perfectas también aumentarán los costos de ataque desde varias dimensiones. ¡Creo que con el rápido desarrollo del mercado de cifrado mañana, habrá cada vez menos incidentes de seguridad!

Tags：

Etéreo