原文作者:sec3
原文编译:ChinaDeFi
自一年前以来,Solana生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),这些黑客攻击总共造成了近4亿美元的损失。
重要的是,这些黑客攻击(SlopeWallet除外)大多是由于智能合约漏洞,即链上协议的编码缺陷:
Wormhole:3.2亿美元被盗,原因是缺少帐户验证;
CashioApp:由于缺少账户验证,导致5000万美元被盗;
外交部发言人:不了解FTX创始人行贿中国官员近4000万美元的情况:金色财经报道,美国联邦检察官当地时间周二公布了一项针对山姆·班克曼-弗里德的新起诉书,指控这位现已破产的加密货币交易平台FTX的创始人向中国官员行贿近4000万美元,试图让他们解冻他的对冲基金账户。29日,有记者在外交部例行记者会上就此进行提问。外交部发言人毛宁回应称,我不了解你说的情况。(环球时报)[2023/3/29 13:33:00]
CremaFinance:1000万美元被盗(返还800万美元),原因是缺少账户验证;
Nirvana:通过闪贷操纵价格,350万美元被盗;
Slope钱包:由于助记词被泄露,400万美元被盗。
嘉楠科技第三季度收入9.8亿元,前三季总收入近40亿元:11月14日消息,嘉楠科技发布2022年第三季度财务报表,公司第三季度收入为9.782亿元,2022年1-9月总收入为39.9亿元,同比增长42.3%,收入的增长主要源自每T销售单价的提高。据公司财报,2022年第三季度,嘉楠科技毛利为2.342亿元(合3292万美元),2022年1-9月毛利为19.9亿元,同比增长46.2%。2022年第三季度归属于普通股东的净利润为6107.8万元(合858.5万美元),2022年1-9月归属于普通股东的净利润为11.1亿元,同比增长38.3%。研发投入方面,2022年第三季度研发费用为1.181亿元(合1660.0万美元),2022年1-9月研发费用为3.23亿元,同比增长46.3%。[2022/11/14 13:03:41]
在本文中,我们回顾了这些攻击的本质,并旨在找到有效的解决方案,以防止未来发生此类攻击。
CryptoPunks系列NFT近24小时交易额涨幅近400%:金色财经报道,据NFTGo.io数据最新数据显示,CryptoPunks系列NFT总市值为821,480.14 ETH,过去24小时的交易额为712.98 ETH,涨幅达395.12%;地板价为65.99 ETH,持有NFT地址总数为3,619个。[2022/10/15 14:28:38]
Wormhole:黑客创建了两个假的sysvar帐户来跳过密钥验证。
CashioApp:黑客创建了8个假账户来通过有效性检查。
CremaFinance:黑客创建了一个虚假的帐户,并使用闪贷窃取费用。
报告:丹麦通货膨胀率创下近40年来的最高水平,加密市场可能会受益:4月12日消息,丹麦银行Danske Bank发布了一份关于总体市场状况的报告,并表示未来非常不确定。丹麦正在经历自20世纪80年代中期以来最高的通货膨胀水平。通货膨胀率目前为5.4%,这也可能对加密市场产生影响。
报告涵盖了四个北欧国家的经济前景:丹麦、瑞典、挪威和芬兰。通货膨胀的上升部分原因是乌克兰的冲突,这场冲突导致了食品和商品价格的上涨。从俄罗斯获得石油和天然气的机会有限,可能会在不久的将来进一步影响通货膨胀。
Danske Ba的高级分析师Bjorn Tangaa Sillemann告诉彭博社,千禧一代和年轻人受到的影响最大。加密市场可能会受益,资产类别的市值可能会飙升。由于高通胀率,比特币的价格可能会上涨。尽管比特币从去年的高点大幅下跌,但长期以来一直被认为是通胀的解决方案。(Beincrypto)[2022/4/12 14:19:58]
Nirvana:黑客精心制作了一个闪贷账户来操纵代币价格。
SlopeWallet:黑客通过泄露的助记词直接获取了用户钱包的私钥。
2.所有黑客攻击都涉及多次交易
Wormhole:整个攻击用了6个交易来完成:第一个tx创建第一个假sysvar帐户,最后一个tx调用complete_wrapped。
CashioApp:整个攻击从创建所有的假账户到发送最后的攻击交易,期间进行了超过10笔的交易。
CremaFinance:每次攻击至少需要进行3笔交易;创建一个虚假的帐户,部署一个闪贷程序,发起窃取费用的攻击;此外,黑客还多次发起10笔闪贷交易,从不同的代币池中进行窃取。
Nirvana:攻击至少进行了2笔交易;部署一个精心设计的闪电贷款接收程序,并调用Solend闪贷。
SlopeWallet:整个攻击抽干了9000多个钱包,涉及9000多个SOL或SPL代币转账交易。
3.所有攻击至少持续几分钟(几个小时甚至几天)
Wormhole:从创建第一个假sysvar账户的tx到完成转账的tx之间的时间跨度为6个小时。
CashioApp:黑客的第一个假账户是在交易发生前5天创建的。
CremaFinance:这个假账户是在第一次攻击前一个多小时创建的。
Nirvana:两个交易(部署闪贷接收方和调用Solend闪贷)之间的时间窗口跨度为4分钟。
Slope钱包:广泛的攻击持续至少8个小时。
4.最大的损失是由于缺少帐户验证
前三次黑客攻击(Wormhole、CashioApp和CremaFinance)的根源在于缺少正确的账户验证。
无论是否是巧合,这些攻击都造成了很大的经济损失。
5.闪贷牵涉到两次黑客攻击
CremaFinance和Nirvana的黑客攻击都涉及直接闪贷交易,而且都是通过Solend进行的。
在CremaFinance,闪贷被用来引导存款流动性。
在Nirvana中,其内部价格预言机被闪贷操纵。
安全措施:
账户所有权
账户签名者
帐户之间的关系(或逻辑约束)
根据协议逻辑,还应该检查:
如果任何内部价格预言机操纵闪电贷款(与大量转移),需增加约束以防止差异。
如果可以计算任何异常状态(如费用或奖励),需添加约束以防止差异。
监控SOL或SPL代币的大规模转移;
监控针对你的智能合约的闪贷交易;
通过升级依赖程序来监控潜在的漏洞;
监控异常状态(例如,计算费用);
监控往返交易事件例如deposit-claim-withdraw在单个tx中);
监控来自同一签名者的重复交易;
任何针对协议特定属性的自定义监控。
如果任何被监控的交易导致了在随后的黑客攻击中使用的异常状态,及早发现它们可能有助于阻止黑客攻击。
标签:BALDAYTHENCESnowball FinanceMOONDAY价格togetherbnb为什么恐怖INCEPTION
在过去的几天里,我们再次看到加密货币市场出现更大的损失。比特币跌破19,000美元大关,而以太坊也出现重大损失.
全文导读 LUNC在引进1.2%燃烧费引发迷因式暴涨,近期再飙45%,而燃烧费提案发起人EdwardKim也在个人Medium公告,预定在9/10开始燃烧参数投票,预期在9/20开始正式实施.
Dearvaluedusers:HuobiEarnislaunchingaCrazyEarningsDayeventeveryThursday!GethigherAPYreturnswithne.
随着以太坊合并的日期逐渐临近,以太坊必将进行大规模的结构性转变,这无疑将是加密货币历史上最大的结构性转变,而这一转变不仅仅证明了是加密货币市场供需的风向调整.
Decentrader的Filbfilb表示,2022年至2023年的冬天对政界人士和欧盟公民来说不仅仅是一个令人头疼的问题——全球的加密货币持有者可能会看到切实的影响.
实盘跟单一周一评的交易之星活动目前已进行四期了,目前荣获交易之星头衔的交易员有:“老鬼”,“赚他一个亿美金‘’,“币圈浩博”,“趋势靓仔与指标师爷‘’.