2021年DeFi和区块链安全概述 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

2021年DeFi和区块链安全概述

ang010ela 趋势 2022-05-28 11:45:00
收藏

导语:​Bishop Fox发布报告,分析了2021年DeFi和区块链安全事件。

Bishop Fox发布报告,分析了2021年DeFi和区块链安全事件。

过去1年,区块链和defi项目数量激增,数量的增长也引发了大量的攻击。5月,网络安全公司Bishop Fox发布2021年发生的有影响力的区块链和defi项目进行了分析。

2021 DeFi Hacks Timeline showing the cost of DefiHacks for each month, Source: CryptoSec 2022

分析发现2021年针对区块链和Defi项目的主要攻击事件有65起,造成约18亿美元损失,其中90%的攻击为非复杂攻击。

screenshot-2022-05-24-at-10-08-50.png

平均来看,每个月defi项目遭受攻击5次,其中5月和12月数量最多。

从攻击向量来看:

智能合约漏洞约占51%;

协议和设计漏洞约占18%;

钱包入侵约占10%;

Rug pull和垃圾邮件占6%;

密钥泄露约占4%;

前端攻击约占4%;

套现相关约占3%

加密货币相关漏洞约占2%。

image.png

从中可以看出,攻击主要来自于智能合约和协议的设计逻辑漏洞。

智能合约和协议漏洞

image.png

研究人员攻击智能合约和协议涉及的安全事件发现,利用的主要是已知的漏洞、fork漏洞和复杂攻击。

已知漏洞和fork

研究人员分析发现大多数攻击事件来源于有漏洞的代码或有漏洞的项目的fork。未对项目代码进行检查和安全审计,导致最终的项目代码存在漏洞。

比如,2021年5月28日,BurgerSwap Dex项目被黑,造成720万美元的损失。攻击者使用的结束和漏洞包括:

Flash loans;

使用虚假token对;

在攻击中,BurgerSwap的代码是从UniswapV2Pair的代码fork的,但原代码中的x*y≥k检查被删除了。

image.png

缺乏深度审计

许多区块链和defi项目都没有经过适当的审计。一些审计报告也非常简单,自动化代码扫描中没有添加真实的值,因此会造成项目非常安全的假象。此外,研究人员还发现:

智能合约没有进行任何审计;

智能合约被排除到审计的范围外;

代码更新未审计。

本文翻译自:https://bishopfox.com/blog/decentralized-finance-blockchain-battleground如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论