OpenZeppelin公布了2022年十大區塊鏈駭客技術
OpenZeppelin是一家加密網絡安全公司,提供開源框架以開發安全的智能合約。該公司於日前公佈了2022年十大區塊鏈駭客技術,旨在使加密領域更加安全,提升大眾對區塊鏈安全的意識與認知。
在2022年,區塊鏈開發參與度增加,新技術也相繼推出,但同時也導致新的區塊鏈駭客技術和攻擊手段不斷湧現,造成的損失超過了37億美元。為了促進行業內最佳實踐和有效的安全措施,OpenZeppelin與Web3安全專家社區合作,記錄了2022年的十大安全研究成果,以此促進更安全的Web3體驗來支持開發人員和社區。
OpenZeppelin公佈了2022年十大駭客技術,其中前兩名包括Layer 2擴展系統Optimism和虛榮地址生成器Profanity的漏洞。利用Optimism漏洞會導致本地代幣OP無限鑄造,從而使得Optimism協議崩潰。Profanity上的漏洞則可能會使至少1.6億美元面臨風險。
目前,這些駭客技術已在該項目開始前公開披露,此舉是為了突顯區塊鏈代碼各層次在安全措施上的最佳實踐,以幫助安全研究人員在審計中應用並了解它們,進而增強整個生態系統的安全性。
據官方公告,其他十大駭客技術中還包括一種漏洞,允許攻擊者清空所有包裝代幣合約,可能導致包裝的以太幣(wETH)合約破產,以及Avalanche區塊鏈上的一個漏洞,被用於打破多個協議的安全假設,包括去中心化交易所SushiSwap和借貸平台Abracadabra。
TOP 10
10 – Compound-TUSD整合問題
在《Compound-TUSD整合問題回顧》中所描述的雙進入點問題,是一個能夠微妙地破壞一個東西,並可能導致重大漏洞的後果。該漏洞是由於有兩個合約控制同一資產,使得可以繞過安全檢查,並允許從Compound協議中清除所有TUSD。這反過來又使得可以以折扣價格鑄造新的cTUSD。
值得一提的是,這個漏洞的披露過程是多個方共同努力的結果。這種合作有助於保護除了Compound-TUSD整合問題之外的其他協議。這個例子凸顯出反覆測試除錯的重要性,以確保區塊鏈協議的安全性和穩定性。
9 – StarkNet-DAI-Bridge智能合約代碼評估中的“6.2 L2 DAI Allows Stealing”問題
在對StarkNet-DAI-Bridge智能合約進行代碼評估時,發現了一個Cairo智能合約的安全問題。作為一種相對初階的語言,Cairo具有一些潛在的陷阱,而這個問題正是其中的一個主要問題。該語言的基礎類型felt目前包含252位元,這與Solidity的單位類型不同,後者具有256位元。因此,Cairo提供了一個抽象的單位256,需要進行額外的安全檢查,但很容易忘記這樣做。
幸運的是,通過在Cairo中提供更高級的API或應用靜態分析工具到代碼庫中,可以緩解這些漏洞中的許多問題。這個漏洞的發線同樣強調反覆測試和徹底的代碼評估對確保區塊鏈協議安全和穩定的重要性。
8 – Avalanche 的 3.5 億美元風險報告
Statemind 團隊的 Avalanche 漏洞報告:我們如何發現了 3.5 億美元的風險和 Avalanche 漏洞報告:技術概述 揭示了預編譯中那些看似無害的行為被技巧性的利用,使之允許發送原生資產和選擇性調用接收器。該漏洞被用於多個鏈上打破 Abracadabra 和 Sushi 合約的安全假設。
7 – 只讀重入 – 一種負責超過1億美元風險的新型漏洞
ChainSecurity展示了對檢視函數的重入可能會導致毀滅性後果。這項工作揭示了此種新的漏洞類型,不幸的是,這不是我們最後一次看到它。與大多數重入問題不同,這種類型會影響基於被重入協定上構建的協定。儘管如此,並非所有可能受到此漏洞影響的協定都已採取行動,日前已出現了幾起與此漏洞有關的駭客攻擊。對於所有協定來說,檢查此漏洞並採取適當的行動至關重要。此外,這項研究對Web3社區安全做出了相當的貢獻。
6 – 如何從完美的智能合約中竊取1億美元
PwningEth在今年的十大研究報告中的其中三篇之一強調了引入一個不會破壞應用程式安全假設的預編譯是非常困難的。該研究發現,惡意合約可以將呼叫者的資金核准給自己並竊取它們,但問題進一步升級了回撥的利用。這使得該漏洞可以成為與使用者無關的交互,並使其他智能合約也成為受害者。該研究展示了對預編譯進行全面測試和審核以確保整個系統安全性的重要性。
5 – 幻影函數和十億美元的空操作
這個錯誤看似簡單,但如果沒有被發現,可能會導致損失數十億。
這提醒我們在調用不返回值的函數 – 尤其是permit函數時 – 應謹慎小心,因為它們可能不會返回。此問題可能還會影響其他應用程式,因此對此行為進行進一步研究是有價值的。
4 – 如何拯救了70,000 ETH並贏得了600萬的漏洞賞金
在智能合約開發中考慮委派調用是非常重要的。委派調用相關問題是區塊鏈安全中常見的問題,而這個特定的漏洞則是將委派調用應用於預編譯程式。因此,這是一個嚴重的問題,為PwningEth贏得了區塊鏈領域中最大的賞金之一,並在榜單中排名第四。開發人員應該仔細審查和測試其代碼以確定可能存在的委派調用相關漏洞,以確保智能合約的安全性和安全性。
3 – 包裝代幣如WETH是否會(被迫)破產?
此漏洞允許攻擊者清空所有包裝代幣合約,並不僅控制包裝代幣的餘額,還可以使用包裝代幣作為空頭支票在去中心化交易所買入其他代幣。進一步的攻擊可以利用借貸協議以借貸所有其他價值的代幣。
2 – 以太坊虛榮地址生成工具Profanity中的漏洞
儘管已公開披露,但這個漏洞直到大約六個月後被利用時才被重視。OpenZeppelin強調了具有協調漏洞披露程序的重要性以及需要檢查是否使用工具如Profanity生成私鑰,如果是,就應該採取措施遷移密鑰以確保其安全。
1 – 利用無節制的Optimism攻擊以太坊L2
Saurik發現了一個比預編譯還要深的奇怪漏洞。在節點層面發現漏洞使其排名第一。
如果喜歡看更多與區塊鏈技術、應用、科技新知相關的內容,記得留下您的Email並追蹤我們的粉專,那麼新文章上線時,我們將在第一時間通知您,不用再擔心錯過最新消息。
台灣區塊鏈教育權威機構 (企業內訓、個人進修、人才媒合、企業顧問、線上線下活動舉辦等)
亞洲區系統技術開發商 (網站建置、App開發、智能合約撰寫修飾、區塊鏈系統規劃建置、數位行銷經營等)