🚨 區塊鏈駭客:每周回顧 🚨
本周耗盡了超過 $12M。再。
同樣的錯誤,同樣的失敗,同樣的頭條新聞。
以下是我們仍未從中吸取教訓的 10 大反覆出現的攻擊媒介,以及 @Corkprotocol 成為本周駭客攻擊的原因。🧵
1/ @Corkprotocol 漏洞並不花哨。
只是一個經典的殺戮鏈,特點是:
🛑 函數訪問控制不足
🎯 價格預言機縱
💰 獎勵縱
那是 3 個教科書錯誤,$12M 消失了。
這些不是零日漏洞。
這些是已知的、可以避免的和有記錄的。
我們仍然認為「智慧合約審計」=安全性。
劇透:它沒有。
我們來談談 Reward Manipulation。
它是指攻擊者在沒有風險或實際價值的情況下提取費用/收益/排放。你的協定被耕作。你丟失。
🔥 看:
阿布拉卡達布拉 ($13M)
@picklefinance ($19.7M)
@eulerfinance ($197M)
然後是 Price Oracle Manipulation 手冊。
到 2025 年仍然有效。仍在破壞DeFi。
如果您的預言機依賴於稀薄的流動性,那麼您已經虧損了。
@chainlink也不能倖免(參見本周 deUSD 的 $500K 清算)
訪問控制失敗
最無聊、最基本和最頻繁的失敗之一。
缺少 onlyOwner,未檢查的函數調用,角色管理不善。
歡迎回來,Integer Overflow。
是的,多虧了 @SuiNetwork 上的 @CetusProtocol,我們認為我們在 2018 年留下的漏洞又回來了。
$260M,不見了。因為有人沒有檢查他們的數學。
排行榜上的新條目:Supply Chain Attacks
想想 Web2 氛圍:
- 受感染的 NPM 軟體包
- 受損的構建工具
- CI/CD 管道漏洞
DevSecOps 不再是可選的。審核您的整個堆疊或享受地毯。
安全性不僅僅在鏈上。
它是您的終端節點。
這是您的基礎設施。
這是您的金鑰管理。
被盜的私鑰仍然在排行榜上名列前茅。任何審計都無法使您免於草率的作。
區塊鏈並沒有被打破。我們是。
每周都有相同的錯誤。同樣的損失。同樣的事後分析。
當空間長大時,地毯季節就結束了。
🧠 想要更多關於 DeFi 漏洞、智慧合約風險和區塊鏈安全趨勢的帖子嗎?
👉 關注 @maikaisogawa 瞭解更多資訊
1
5,818
本頁面內容由第三方提供。除非另有說明,OKX 不是所引用文章的作者,也不對此類材料主張任何版權。該內容僅供參考,並不代表 OKX 觀點,不作為任何形式的認可,也不應被視為投資建議或購買或出售數字資產的招攬。在使用生成式人工智能提供摘要或其他信息的情況下,此類人工智能生成的內容可能不準確或不一致。請閱讀鏈接文章,瞭解更多詳情和信息。OKX 不對第三方網站上的內容負責。包含穩定幣、NFTs 等在內的數字資產涉及較高程度的風險,其價值可能會產生較大波動。請根據自身財務狀況,仔細考慮交易或持有數字資產是否適合您。