织梦CMS - 轻松建站从此开始!

我的网站

当前位置: 主页 > 比特币 > 比特币资讯

前车之鉴!一文复盘 DeFi 中的攻击逻辑

时间:2020-07-14 14:54来源:未知 作者:admin 点击:
越来越多的人希望通过攻击智能合约来窃取资金,他们正在利用当智能合约组合在一起时出现的漏洞进行攻击。 2020年,对DeFi的攻击中,被套取或盗取的总金额已经达到了3600万美元。但

越来越多的人希望通过攻击智能合约来窃取资金,他们正在利用当智能合约组合在一起时出现的漏洞进行攻击。

2020年,对DeFi的攻击中,被套取或盗取的总金额已经达到了3600万美元。但因为dForce的攻击者退还了被盗的2500万美元,所以实际金额大约有 1100 万美元。

与以太坊早期相比,每次黑客攻击的平均损失价值已经明显下降。在2020年的10次攻击中,有8次的攻击金额低于100万美元。

与传统的网络犯罪相比,区块链上的信息对攻击者来说更有价值,因为对智能合约的成功攻击可以带来直接的经济回报。传统被黑客攻击的信息,如被盗取的个人信息,还需要通过出售来赚钱,但智能合约上是直接存有资产的。

在以太坊早期,大多数攻击都是基于找到个别漏洞,让攻击者有能力冻结或耗尽智能合约。2016年臭名昭著的DAO黑客事件就是如此,1.6亿美元的ETH被盗,以太坊最终因此分叉。同样,2017年的Parity多签袭击让黑客盗取了3000万美元,Parity钱包中1.5亿美元被冻结,都是这类漏洞造成的后果。

这类智能合约的漏洞仍不时被人利用。最近,一名攻击者成功地从代币合约中窃取了所有的VETH,仅通过耗尽VETH-ETH Uniswap池就获利了90万美元。但这是VETH造成的一个简单失误,因为VETH修改ERC20代币标准的方式有逻辑上的错误。

总的来说,现在的安全性有所提高,特别是那些关注度比较高的项目。它们的安全性提升是由于用户对审计的期望和围绕测试的工具改进推动的。最近DeFi中最大的安全问题是dForce 2500万美元的数字资产在借贷市场中被盗。然而,由于攻击者的IP地址被发现并与新加坡警方共享,因此这些资金被退了回去。

dForce的攻击也可以认为是开发团队特别严重的疏忽造成的结果,因为被利用的漏洞是重入(re-entrancy)。重入攻击是DAO被耗尽的原因,这也一直是开发者在与ERC777代币交互时需要考虑的一个众所周知的问题。

ERC777代币的一个显著特点是可以通知将接收或发送资金的智能合约--并允许合约根据这些信息采取行动。如允许用户从合约中提取所有资金,这个例子就展示了合约为何容易受到重入攻击。

想象一下,一个合约有以下四个提现步骤:

用户调用合同,准备从合同中提取所有的资金。

合约检查用户在合约中是否有资金。

合约将用户在合约中的资金发送给用户。

合约自行更新用户在合约中没有资金。

重入漏洞允许恶意用户在合同完全执行之前再次调用合同( "重入")。在上面的例子中,攻击者可以在第三步和第四步之间重新进入合约,并在用户的余额更新之前再次提取。通过重复这个过程,他们可以从合约中提取所有存在的资金。 (责任编辑:admin)

织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容