🚨 区块链黑客:每周回顾 🚨
本周损失超过1200万美元。又一次。
相同的漏洞,相同的失败,相同的头条。
以下是我们仍未吸取教训的十大重复攻击向量,以及是什么让@Corkprotocol成为本周的黑客事件。🧵
1/ @Corkprotocol 的漏洞并不复杂。
这只是一个经典的攻击链,包含:
🛑 不足的功能访问控制
🎯 价格预言机操控
💰 奖励操控
这三种都是教科书式的漏洞,损失了1200万美元。
这些不是零日漏洞。
这些是已知的、可避免的,并且有文档记录。
我们仍然认为“智能合约审计”=安全。
剧透:并不是。
让我们来谈谈奖励操控。
这是一种攻击者在没有风险或真实价值的情况下提取费用/收益/排放的行为。你的协议被耕作了。你会失去。
🔥 见:
Abracadabra($1300万)
@picklefinance($1970万)
@eulerfinance($1.97亿)
然后就是价格预言机操控的剧本。
在2025年仍然有效。仍在破坏DeFi。
如果你的预言机依赖于薄弱的流动性,你已经输了。
@chainlink 也无法幸免(见本周 deUSD 的 50万美元清算)
访问控制失败
这是最无聊、最基本且最常见的失败之一。
缺少onlyOwner,未检查的函数调用,角色管理不当。
欢迎回来,整数溢出。
是的,我们以为在2018年留下的漏洞又回来了,感谢@CetusProtocol在@SuiNetwork上。
$2.6亿,消失了。因为有人没有检查他们的数学。
排行榜上的新条目:供应链攻击
想想Web2的感觉:
- 被感染的NPM包
- 被破坏的构建工具
- CI/CD管道漏洞
DevSecOps不再是可选的。审计你的整个技术栈,否则就享受被割韭菜的滋味。
安全不仅仅在链上。
它是你的端点。
它是你的基础设施。
它是你的密钥管理。
被盗的私钥仍然占据榜首。而且没有审计能拯救你免于粗心的操作。
区块链没有问题。我们有。
每周,都是相同的漏洞。相同的损失。相同的事后分析。
当这个领域成熟时,割韭菜的季节就结束了。
🧠 想要了解更多关于DeFi漏洞、智能合约风险和区块链安全趋势的帖子吗?
👉 关注 @maikaisogawa 获取更多信息
1
5,439
本页面内容由第三方提供。除非另有说明,欧易不是所引用文章的作者,也不对此类材料主张任何版权。该内容仅供参考,并不代表欧易观点,不作为任何形式的认可,也不应被视为投资建议或购买或出售数字资产的招揽。在使用生成式人工智能提供摘要或其他信息的情况下,此类人工智能生成的内容可能不准确或不一致。请阅读链接文章,了解更多详情和信息。欧易不对第三方网站上的内容负责。包含稳定币、NFTs 等在内的数字资产涉及较高程度的风险,其价值可能会产生较大波动。请根据自身财务状况,仔细考虑交易或持有数字资产是否适合您。