2023 年下半年,哪些风险不容忽视?
封面:Photo by Andrew Kliatskyi on Unsplash
区块链生态中,链平台、智能合约、应用平台以及用户都是黑客觊觎的目标,由于区块链的分布式、防篡改、匿名性等特征,被盗的资产追回难度极大。
另外,由于虚拟货币的匿名性,以及追踪难等特征,采用虚拟货币进行洗钱,诈骗,暗网交易等非法行为层出不穷,监管机构面临新的挑战。
在刚刚发布的 2023 年上半年 Web3 区块链安全态势、反洗钱分析回顾里,我们对上半年的安全态势进行了梳理,2023 下半年,黑客继续觊觎着 Web3 生态,我们仍然需要关注以下安全风险。
智能合约面临的安全挑战
根据 Beosin 刚刚发布的半年报统计数据发现,2023 年上半年最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56%。
按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑缺陷、权限问题和重入。36 次业务逻辑漏洞共造成了约 2.39 亿美元的损失,占所有因合约漏洞攻击损失的 90% 。此类漏洞是开发者最容易遗漏的问题,被攻击后造成的损失往往较大,有 9 起事件的损失金额都超过了 100 万美元。
可见 2023 年下半年,智能合约面临的安全挑战依然不可忽视。关于一些智能合约引起的安全事件,大家可阅读下面的链接。
合约安全扩展阅读:
1 狡猾黑客如何盗取 514 万美元?Shata Capital 旗下 EFVault 合约遭受黑客攻击事件分析
2 重入攻击如何破解?Dex Finance 损失约 400 万美元攻击事件分析3 闪电贷攻击如何防范?Avalanche 链上 Platypus 项目损失 850 万美元攻击事件分析
跨链桥面临的安全挑战
近年来,随着区块链技术的不断发展和应用场景的不断扩大,跨链桥的应用也越来越广泛。跨链桥的主要作用是连接不同的区块链,实现数字资产的跨链转移和交易。在过去的几年中,跨链桥得到了快速发展,然而,跨链桥仍然存在一些风险点,包括以下几个方面:
(1)跨链消息验证不完整。
跨链协议在检查跨链数据时,应包含合约地址、用户地址、数量、链 ID 等等。比如 pNetwork 安全事件由于未验证事件记录的合约地址,导致攻击者伪造 Redeem 事件去提取资金,累计损失约为 1300 万美元
(2)验证者私钥泄露。
目前大部分跨链仍是借助验证者来执行跨链错误,如果私钥丢失,将威胁整个协议的资产。Ronin 侧链由于其四个 Ronin 的四个验证器和一个第三方验证器被攻击者利用社会工程学所控制,随意提取协议资产,最终损失 6 亿美元。
(3)签名数据复用。
主要是指提款凭证可以复用,多次提取资金。Gnosis Omni Bridge 安全事件 ,由于硬编码化了 Chain ID,导致黑客可以使用相同的取款凭证,在分叉链 ETH 和 ETHW 链上取出对应的锁定资金。累计损失约为 6600 万美元
因此,2023 年的下半年,跨链桥安全依然需要引起重视。
跨链桥安全扩展阅读:
1 扑朔迷离的一次盗币案件?涉及资金约 1.26 亿美元——Multichain 黑客盗币案分析
2 Poly Network 被攻击后续,Beosin KYT/AML 带你追踪被盗资金流向,解锁黑客更多套路
链平台面临的安全挑战(1)语言编码安全
常见的链平台开发语言有 C++/Go/Rust/Java 等,编译后的链平台可执行文件(即节点程序),其直接运行在 Linux/Windows 等服务器上,相应的,节点程序也存在对应的语言编码问题。
比如下面这个例子:一个 ETH 中潜伏了近两年的重叠拷贝漏洞:CVE-2021-39137
成因:
以太坊的 GETH 节点程序在做数据拷贝时,未考虑到特殊情况下的重叠拷贝问题,导致内部函数返回值所存储的内存位置在数据拷贝时可以被覆盖。
影响:
黑客在 ETH 实施了攻击,由于部分 ETH 节点程序未升级,导致 ETH 主链产生分叉;由于 BSC、HECO、Polygon 等公链是在 ETH 的基础上进行二次开发,所以这些链平台也可能存在该漏洞。
(2)链平台层面的安全问题
共识层面的安全问题包括双花攻击、51% 攻击。
权限管理层面的安全问题则包括私钥泄漏、DNS 攻击、CA 攻击。
zk 平台面临的安全挑战
近两年,零知识证明技术(Zero-Knowledge Proof,简称 zk)得到快速发展,随着区块链技术和数据隐私保护的重要性越来越受到重视,zk 平台也得到更多人的关注,并出现了一些新的特点和趋势。然而,这项技术仍然存在一些安全风险点,包括以下几个方面:
(1)欠约束电路
欠约束电路不具备强制证明提供者遵循电路预期规则所需的所有必要约束。会导致证明校验被绕过,从而证明失效。
(2)非确定性电路
非确定性电路是欠约束电路的一个子集,通常是因为缺少约束使电路具有不确定性。在这种情况下,非确定性意味着有多种方法可以为特定结果创建有效证明。
(3)Forzen Heart
Fiat-Shamir 协议中存在的算法漏洞,许多 zk 协议都使用 Fiat-Shamir 转换,而 Fiat-Shamir 转换的不安全实施可以让攻击者成功伪造证明。
(4)可信设置泄露
对于 Pinocchio 和 Groth16 等零知识协议,需要可信设置(Trusted Setup)来生成证明者密钥和验证者密钥。可信设置过程通常涉及的参数(称为 “有毒废料”),如果被恶意证明者利用则可以伪造证明。
(5)双花攻击
不正确的设计和实现可能会导致双花攻击,比如 CVE-2023-33252,由于未对参数进行完整的合法性检查,使得攻击者可以伪造出多个证明通过校验,实现双花攻击。
为了确保 zk 平台的安全性和可靠性,需要采取多种安全措施,如技术审计、风险管理、隐私保护等。此外,zk 平台的开发者还需要不断更新和改进 zk 技术和平台的协议和技术,以适应不断变化的安全威胁。
zk 安全扩展阅读:
1 Beosin 硬核研究 | 3 种针对 ZK 基础算法 Groth16 的攻击手法分享
2 漏洞复现 | Beosin 提交 Circom 验证库漏洞 CVE-2023-33252,并附修复方案,zk 项目方需警惕!3 深度剖析零知识证明 zk-SNARK 漏洞:为什么零知识证明系统并非万无一失?
用户面临的安全挑战
2023 年 2 月发生了多起用户 NFT 钓鱼诈骗事件,BAYC、Otherdeed、Doodles、Meebits 等多种 NFT 资产被盗,总损失超过 2000 万美元。
紧接着,Algorand 钱包项目 MyAlgo 遭到攻击,25 名用户被盗,总损失超过 920 万美元;Trust Wallet 也发现其钱包漏洞,2022 年 11 月 14 日至 23 日使用浏览器插件创建的新地址都有安全风险。
因此,2023 年下半年用户安全依然需要得到重视,Beosin 整理了此前梳理的用户安全防范文章,希望能对大家有所帮助。
用户安全扩展阅读:
1 FTX 暴雷后,钱包成为存储资产的 “香饽饽”,钱包安全我们应该注意什么?
2 Beosin 安全防范系列 | 层出不穷的 “新花招”,如何警惕 Telegram 诈骗?
3 加密大 V 遭遇木马病毒,其钱包大额资产被盗给我们哪些启示?
监管安全
在 Beosin 发布的半年报里,我们对全球监管政策进行了全面的梳理:Beosin 半年报解读(三)| 2023 上半年全球 Web3 虚拟资产行业监管政策、事件观察,可见目前虚拟资产市场与传统金融市场日趋紧密而带来的风险,凸显了对虚拟资产行业施行有效监管重要性和必要性。
目前,Beosin 已在香港特别行政区推出 “一站式”Web3 安全与合规解决方案,主要包括 KYT/AML,智能合约安全审计,虚拟资产合规技术尽调,虚拟资产安全监控与预警,交易所安全解决方案等全流程产品和服务,使 VASP 满足香港全新的虚拟资产服务商发牌制度以及安全与监管技术要求。
可以预见的是,2023 年下半年,全球主要司法辖区正将监管方针从宽松(即从打击洗钱和支付的角度进行监管)转变为较全面监管(即从投资者保障角度进行监管)。因此,监管安全也将是下半年值得关注的一点。
监管安全扩展阅读:
香港虚拟资产管理新规正式上线,Beosin 助力香港 Web3 生态的安全与合规
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。