黑客事件频发 请收下这篇Crypto防盗指南

黑暗森林的攻击手法和预防措施。

这篇文章是从哪里来的Medium，原文作者：Kofi Kufuor，《Odaily Star Daily》的译者Katie编译。

黑客今年从加密应用程序中窃取了20多亿美元。国庆节期间业界又经历了什么TokenPocket闪存更换服务提供商是否被盗(损失超过2100万美元)BNB冷吗交叉链桥牌BSC Token Hub遭到攻击(损失药5.661亿美元)的加密盗窃案。

随着加密生态系统的发展，保安攻防战只会愈演愈烈。因此，本文将：

提出加密的安全事件分类；

列出到目前为止能给黑客赚最多钱的攻击手段。

为了防止黑客攻击，请检查当前使用的工具的优缺点。

讨论加密安全的未来。

黑客类型加密应用生态系统由依赖于链和互联网基本基础设施的智能合同组成的互操作性协议组成。该堆栈中的每一层都有自己的漏洞。可以根据使用的堆栈层和使用方法对加密黑客进行分类。

攻击基础设施层基础设施的攻击利用了加密应用程序基础系统的弱点。也就是说，依靠用于达成协议的区块链、前端的互联网服务和私钥管理的工具。

攻击智能合同语言的黑客利用智能合同语言(如Solidity)的弱点和漏洞(如reentrancy)和委托调用(delegatecall)的实现。这些风险可以通过遵守安全规范来规避。

攻击(如攻击协议逻辑)利用了单个应用程序业务逻辑中的错误。黑客发现错误后，可以利用这个错误触发应用程序开发人员意想不到的行为。

例如，如果有新的东西呢德克斯如果在决定用户在交易中获得多少钱的数学方程中出现错误，这个错误就会被利用，从而获得比用户在交易中能得到的更多的钱。

协议逻辑级别攻击还可以利用控制应用程序参数的治理系统。

许多攻击生态系统的著名加密黑客利用了多个应用程序之间的交互。最常见的是黑客利用一个协议的逻辑错误，利用从其他协议借来的资金扩大攻击规模。

一般用于生态系统攻击的资金是通过闪存贷款(flashloan)借来的。闪电贷款的时候，你会吗艾薇嗯

数据分析我收集了2020年以来100起最大的加密货币黑客攻击的数据集，被盗资金共计50亿美元。

生态系统受到的攻击最频繁。他们占41%。

协议逻辑的漏洞造成了最多的金钱损失。

最大的三次攻击：罗恩跨链桥攻击(6.24亿美元)、保利网络攻击(6.11亿美元)和BSC跨链桥攻击(5.7亿美元)。

除了前三大攻击外，对基础设施的盗窃事件是损失资金最多的类别。

黑客是怎么下手的基础设施在61%的基础设施漏洞中私钥以未知的方式泄露。黑客可以通过网络钓鱼邮件和虚假招聘广告等社会攻击获得这个私钥。

智能合同语言再输入攻击是智能合同语言层面最受欢迎的攻击类型。

在再入攻击中，易受攻击的智能合同的函数调用恶意合同的函数。或者，脆弱的合同向恶意合同发送令牌时，可能会触发恶意合同的功能。然后，在合同更新余额之前，恶意函数从递归循环中回调易受攻击的函数。

比如，在西仁在Protocol黑客攻击中，提取抵押品代币的功能将被反复调用，直到容易重新输入并用尽所有抵押物(每次恶意合同收到代币)。

协议逻辑协议层中的大多数漏洞对特定应用程序是唯一的(除非是纯分叉)，因为每个应用程序都有自己的逻辑。)。

访问控制错误是样本组中最常见的迭代问题。例如，在“Poly Network黑客”事件中，“EthCrossChainManager”合同具有任何人都可以调用的功能，使您能够执行跨链事务。

注意：多个协议使用相同的技术时，经常会受到黑客攻击。因为团队分裂了有漏洞的代码库。

比如，很多CompoundCREAM、Hundred Finance和Voltage Finance等分叉成为再入攻击的受害者，因为在允许交互之前不需要确认交互的效果。这对Compound非常有效。因为他们审查了所有支持的新代币的漏洞，但创造分叉的球队没有这样做。

生态系统攻击中98%使用了闪电。

闪电贷攻击往往遵循以下公式：将贷款用于大额交易，提高AMM的代币价格以提高价格(price feed)。然后在同一笔交易中使用膨胀的代币作为抵押品，获得了比实际价值高得多的贷款。

黑客在哪里下手根据被盗合同或钱包所在的链分析数据集。以太的黑客数量最多，占样本组的45%。通话安智能链(BSC)以20%的份额位居第二。

造成这种情况的因素有很多。

以太坊和BSC拥有最高的TVL(存入应用程序的资金)，对这些链条上的黑客来说，补偿规模更大。

大多数加密货币开发者都知道Solidity。SOLIDITY是以太网和BSC的智能合同语言，并且有支持该语言的更复杂的工具。

以太被盗资金最多(20亿美元)。BSC位居第二(8.78亿美元)。

涵盖链桥或多链应用程序(如多链交易或多链贷款)对数据集有很大影响。这起黑客事件仅占总数的10%，却窃取了25.2亿美元的资金。

如何防止黑客攻击对于威胁堆栈中的每一层，都可以使用早期识别潜在攻击手段和防止攻击的工具。

基础设施大部分大规模的基础设施黑客攻击包括黑客获取私钥等敏感信息。如果遵循OPSEC (Opsec)程序并进行反复威胁建模，则可以减少出现这种情况的可能性。具有良好OPSEC流程的开发团队可以：

识别敏感数据(私钥、员工信息、API密钥等)

识别潜在威胁(社会攻击、利用技术、内部威胁等)

找出现有安全防御的漏洞和弱点。

确定每个漏洞的威胁级别。

制定和实施缓解威胁的计划。

智能合同语言和协议逻辑1。模糊测试工具

Echidna等模糊的测试工具测试智能合同对随机生成的大量交易的反应。这是一种检测特定输入导致意外结果的边缘条件的好方法。

2.静态分析

静态分析工具(如Slither和Mythril)可自动检测智能合同的漏洞。这些工具适用于快速识别常见漏洞，但只能捕获预定义的问题集。如果智能合同中存在工具规范中没有的问题，就不会被发现

3.正式验证

正式验证工具(如Certora)将智能合同与开发人员编写的规范进行比较。这个规范详细说明了代码需要做什么，以及需要的属性。例如，开发人员在创建贷款应用程序时，指定每个贷款必须有足够的抵押物支持。如果智能协议的所有可能行为都不符合规范，则正式证明者将识别违规。

形式化验证的缺点是测试保持与规范相同的标准。如果提供的规格没有说明特定行为，或者太松，验证过程将无法捕获所有错误。

4.审计和同行审查

在审计或同事审查期间，一组受信任的开发人员将测试和审查项目代码。审计员将编写一份报告，详细说明发现的漏洞以及如何解决这些问题的建议。

让专业的第三方审查合同是发现原来团队中缺失的漏洞的好方法。但是，审计员也是人，他们永远抓不到所有的漏洞。另外，要信任监查院，监查院发现问题后，会告诉你，而不是自己使用。

5.生态系统攻击

生态系统攻击是最常见和最具破坏性的类型，但在现有工具中

Forta和tenerly Alerts等监测工具可在发生组合攻击时提供早期警告，以便团队采取行动。但是，在闪电贷攻击中，资金通常在单一交易中被盗，因此任何警报都太迟，无法防止巨大损失。

威胁检测模型可用于在内存池中查找恶意事务。在节点处理之前，内存池中存在事务，但黑客可以使用闪存bot等服务将事务直接发送给矿工，从而绕过这些检查。

对加密安全的未来加密安全的未来有两种预测。

1.我相信，最好的团队将把安全从基于事件的实践(测试-同行审查-审计)转变为持续的过程。他们说：

对基础代码库中的每个新代码进行静态分析和模糊处理。

对所有主要升级进行正式验证。

构建具有响应行为的监控和警报系统(暂停整个应用程序或受影响的特定模块) :

允许一些团队成员制定和维护安全自动化和攻击响应计划

安全工作不应在审计后结束。在许多情况下(如Nomad跨链桥接黑客攻击)，漏洞基于审计后升级中引入的错误。

2.加密安全社区应对黑客攻击的过程将更加有组织和简化。每当黑客攻击发生时，贡献者都会涌向加密安全组寻求帮助，但缺乏组织意味着重要的细节可能会在混乱中丢失。我认为，在未来，这些对话将转变为更有组织的组织形式。

使用链监控和社交媒体监控工具快速检测主动攻击。

使用安全信息和事件管理工具协调工作

使用单独的工作流，使用不同的通道传达黑白客户的任务、数据分析、根本原因和其他任务。

单击下载

European Exchange金融投资European Exchange(也称为Eurokx)是世界领先的数字资产交易所，为全球用户提供比特币、莱特货币、以太网货币等数字资产的现货和衍生品交易服务，并使用区块链技术为全球交易者提供高级金融服务。这是一个非常古老的数字货币交易平台，平台为我们提供安全、专业的数字货币交易经验，为新手提供完整的流程指导，使其易于启动，通过客服24小时在线回复提供最佳服务。

3