对 Solana 的黑客攻击回顾:有什么共同点以及如何避开它们?

zashen2022-09-08 22:41:38去中心化金融社区




原文作者:sec3

自一年前以来,Solana 生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和Slope Wallet),这些黑客攻击总共造成了近4亿美元的损失。

重要的是,这些黑客攻击(Slope Wallet除外)大多是由于智能合约漏洞,即链上协议的编码缺陷:

  • Wormhole:3.2亿美元被盗,原因是缺少帐户验证;

  • CashioApp :由于缺少账户验证,导致5000万美元被盗;

  • CremaFinance:1000万美元被盗(返还800万美元),原因是缺少账户验证;

  • Nirvana:通过闪贷操纵价格,350万美元被盗;

  • Slope钱包:由于助记词被泄露,400万美元被盗。


在本文中,我们回顾了这些攻击的本质,并旨在找到有效的解决方案,以防止未来发生此类攻击。

这些黑客有什么共同之处?

  1. 几乎所有黑客(Slope Wallet除外)都精心设计了一个或多个假账户。


  • Wormhole:黑客创建了两个假的sysvar帐户来跳过密钥验证。

  • CashioApp:黑客创建了8个假账户来通过有效性检查。

  • CremaFinance :黑客创建了一个虚假的帐户,并使用闪贷窃取费用。

  • Nirvana:黑客精心制作了一个闪贷账户来操纵代币价格。

  • Slope Wallet:黑客通过泄露的助记词直接获取了用户钱包的私钥。


  1. 所有黑客攻击都涉及多次交易


  • Wormhole:整个攻击用了6个交易来完成:第一个tx创建第一个假sysvar帐户,最后一个tx调用complete_wrapped。

  • CashioApp:整个攻击从创建所有的假账户到发送最后的攻击交易,期间进行了超过10笔的交易。

  • CremaFinance :每次攻击至少需要进行3笔交易;创建一个虚假的帐户,部署一个闪贷程序,发起窃取费用的攻击;此外,黑客还多次发起10+笔闪贷交易,从不同的代币池中进行窃取。

  • Nirvana:攻击至少进行了2笔交易;部署一个精心设计的闪电贷款接收程序,并调用Solend闪贷。

  • Slope Wallet :整个攻击抽干了9000多个钱包,涉及9000多个SOL或SPL代币转账交易。


  1. 所有攻击至少持续几分钟(几个小时甚至几天)


  • Wormhole:从创建第一个假sysvar账户的tx到完成转账的tx之间的时间跨度为6个小时。

  • CashioApp:黑客的第一个假账户是在交易发生前5天创建的。

  • CremaFinance :这个假账户是在第一次攻击前一个多小时创建的。

  • Nirvana:两个交易(部署闪贷接收方和调用Solend闪贷)之间的时间窗口跨度为4分钟。

  • Slope钱包:广泛的攻击持续至少8个小时。


  1. 最大的损失是由于缺少帐户验证


前三次黑客攻击(Wormhole、CashioApp和CremaFinance)的根源在于缺少正确的账户验证。

无论是否是巧合,这些攻击都造成了很大的经济损失。

  1. 闪贷牵涉到两次黑客攻击


CremaFinance和Nirvana的黑客攻击都涉及直接闪贷交易,而且都是通过Solend进行的。

在CremaFinance,闪贷被用来引导存款流动性。

在 Nirvana 中,其内部价格预言机被闪贷操纵。

如何防止未来类似的黑客攻击?

根据上面总结的这些攻击的特点,我们推荐以下的安全措施:

  1. 预部署:验证智能合约的所有输入帐户


在编写Solana智能合约时,要时刻牢记所有输入都可能被攻击者伪造,包括所有账户和外部程序(即用户钱包账户、PDA账户和其他智能合约)。

Solana的编程模型将代码和数据解耦,因此程序中使用的所有帐户都必须作为数据输入传递。

在几乎所有情况下,都应该验证:

  • 账户所有权

  • 账户签名者

  • 帐户之间的关系(或逻辑约束)

根据协议逻辑,还应该检查:

  • 如果任何内部价格预言机操纵闪电贷款(与大量转移),需增加约束以防止差异。

  • 如果可以计算任何异常状态(如费用或奖励),需添加约束以防止差异。


  1. 部署后:主动使用实时威胁监控


由于所有这些黑客攻击都涉及跨越至少几分钟或几小时的多个交易,因此可以提前主动检测可疑交易,并在中间遏制攻击。

这是Solana的独特属性,它允许链上威胁监控技术作为一种防御解决方案,来帮助有效地预防和阻止安全攻击:

原则上,威胁监控解决方案可能会有帮助:

  • 监控SOL或SPL代币的大规模转移;

  • 监控针对你的智能合约的闪贷交易;

  • 通过升级依赖程序来监控潜在的漏洞;

  • 监控异常状态(例如,计算费用);

  • 监控往返交易事件例如deposit- claim-withdraw在单个 tx 中);

  • 监控来自同一签名者的重复交易;

  • 任何针对协议特定属性的自定义监控。


如果任何被监控的交易导致了在随后的黑客攻击中使用的异常状态,及早发现它们可能有助于阻止黑客攻击。

Source:https://medium.com/coinmonks/a-review-of-recent-hacks-on-solana-whats-in-common-and-how-to-prevent-them-2c35da8452ce

关于

ChinaDeFi - ChinaDeFi.com 是一个研究驱动的DeFi创新组织,同时我们也是区块链开发团队。每天从全球超过500个优质信息源的近900篇内容中,寻找思考更具深度、梳理更为系统的内容,以最快的速度同步到中国市场提供决策辅助材料。

Layer 2道友 - 欢迎对Layer 2感兴趣的区块链技术爱好者、研究分析人与Gavin(微信: chinadefi)联系,共同探讨Layer 2带来的落地机遇。敬请关注我们的微信公众号 “去中心化金融社区”



用于流动质押和收益生成的 Web3 基础设施

用于去中心化互联网堆栈的Web3基础设施的市场规模如此之大,以至于它经常被低估。撰写:MasonNystrom编译:TechFlowintern虽然以太坊和其他第一层资产存在流动质押,但其他Web3基础设施资产基本上不可用。Tenderize...

伊朗央行目标:2个月内推出加密里亚尔试点版本

外媒news.bitcoin消息指出,德黑兰政府正在采取措施准备推出伊朗新的数字货币,即加密货币里亚尔。伊斯兰共和国货币当局希望在未来两个月内启动该项目的试点阶段。伊朗中央银行(CBI)表示,加密货币里亚尔将不同于...

除了备受攻击的 S2F,PlanB 还有哪些常用分析模型?

吴说作者|GaryMa本期编辑|ColinWu近日推特KOLPlanB例举了自己除了熟知的S2F以外常用的辅助决策的几个指标模型,鉴于当前波动较大的行情走势以及暴跌后的抄底情绪,我们将这些指标模型展开介绍,以供参考使用之需。有...

a16z 联合创始人:旧互联网的原罪是不能建立金融

原文标题:《a16z联合创始人:旧互联网的原罪是不能建立金融》撰文:ShekarRamaswamy编译:RR来源:老雅痞Web3领域的活动层出不穷:项目的启动、项目的失败、两个拥有5万粉丝的卡通人物之间的Twitter大战……在所有...

DAOrayaki | Messari 对optimism治理基金的观察

DAOrayakiDAO研究奖金池:资助地址:DAOrayaki.eth投票进展:DAOReviewer2/0通过赏金总量:45USD研究种类:DAOGovernance,Funding原文作者:Raho创作者:Heyyawn@DAOrayaki.org审核者:DAOctor@DAOrayaki.org原文:Gove...

游戏经济思考:加密游戏是否真的需要加密货币?

游戏将不可避免的跨越鸿沟进入加密货币。原文标题:《加密游戏:最实用的论文》撰文:Arad编译:Blockunicorn现在是审视现实本身的时候了,而不是审视其背后抽象的概念想法。感谢Naavik的Lars,他启发了我写这篇文章...

Post Voyager与Ozys合作宣布多链扩张计划

近日,日本手游巨头Cocone旗下区块链分公司PostVoyager宣布与区块链开发公司Ozys合作。作为合作的一部分,双方同意扩大合作,以拓展MOOINetwork的生态系统。据了解,PostVoyager是日本手游巨头Cocone旗下区块链分公...

加密慈善的历史、领袖、案例、工具及未来范式

为了追求加密货币的使用和加密货币捐赠所带来的好处,新的慈善模式将继续存在。这份报告重点关注的问题是通过加密慈善来衡量加密货币对社会的影响力或者人类社会福祉的促进。简介自从比特币白皮书发布以来,已经过去...

Foresight Ventures: Rollup 的现在, 阻碍, 竞赛, 和未来

作者:msfew@ForesightVentures这篇文章着眼于以太坊的Layer2Rollup宇宙(仅包括Securedrollup),会从简单易懂的核心概念与机制设计出发,探讨目前Rollup的好与坏,畅想它们未来在去中心化,进一步扩容,可组合性,以及隐私...

DeFi 入门必备:你需要了解的 DeFi 重要词语

入门DeFi必须要弄清楚的几个概念和工具推荐。原文标题:《你需要了解的DeFi重要词语》撰文:Ai姨DeFi的门槛很高,虽然它的目标是建立一个人人可以参与,对等的金融系统,但复杂的概念并不容易被普通用户所接纳,甚至...

TAG:SOL
上一篇:全面解析Web3社交:深层次的链上社交将成为可能
下一篇:金色观察|早期互联网发展对加密行业有什么启示