BTC/HKD+0.03%
ETH/HKD+0.17%
LTC/HKD+1.5%
DOT/HKD+0.16%
ADA/HKD+0.46%
SOL/HKD-0.06%
XRP/HKD+0.91%
DOGE/US-0.23%作者:GoPlusSecurity
受FTX事件影響,近期大量用戶將數字資產從中心化交易所向去中心化錢包轉移,導致鏈上活躍用戶激增,DEX用戶數及交易量均達到六個月內高點。
同時活躍的還有Honeypot攻擊者。截至2022年11月21日,GoPlusSecurity近一周監測到的新增攻擊方式超過120種,攻擊次數增長6倍。這些數據表明,近期鏈上用戶數量增長的同時,攻擊者也更加活躍。初到去中心化“黑暗森林”的新增用戶對陌生環境的安全意識、攻擊手段缺乏認知,被攻擊者屢屢得手。
GoPlusSecurity對Honeypot新增攻擊方式的分析表明,隨著資產發行合約攻防的加劇,攻擊方式愈加呈現復雜化和動態化的趨勢,我們梳理了幾種常用的攻擊方式:
北美上市礦企Marathon?Patent Group完成2億美元融資,將購買更多礦機:北美最大比特幣挖礦公司之一?Marathon?Patent Group, Inc.宣布完成2億美元的融資。Marathon?Patent Group在最新的報告中表示,繼此前宣布的現貨發行后,該公司已以2.176億美元現金和74656549股流通股結束了2020財年。該公司計劃用這筆資金向比特大陸購買大量比特幣礦機,并進一步拓展業務。(Coindesk)[2021/1/4 16:25:53]
混淆代碼
通過降低代碼可讀性,增加無效邏輯或混亂的調用關系,通過復雜的實現邏輯,增加安全引擎的分析難度。
聲音 | F2Pool王純:曾經用660個比特幣買iPhone:1月3日,F2Pool聯合創始人王純在F2Pool魚池大客戶年度答謝宴上發表演講,分享了自己挖礦的趣事。2011-2013年王純挖了7700個比特幣,其中4000個用來交了電費,還拿660個買了iPhone 4s,又在兩個月后在圣彼得堡地鐵站被偷了。到2013年1月份幣價上漲到17美元,又把比特幣賣光了。之后,南瓜張率先發布了Asic礦機,全網算力大幅上漲,GPU礦場自然就無法繼續營業。至此挖礦產業化初現,挖礦進入下一階段,魚池也在這樣的行業背景下誕生。[2020/1/3]
偽造知名合約
日本加密貨幣交易所bitbank在iphone版APP增加控件功能:據BITDAY報道,日本加密貨幣交易所bitbank于5月9日在iphone版APP增加控件功能,可在控件欄中確認加密貨幣價格。據悉,只有將APP版本更新為1.0.4才能使用此功能。[2018/5/10]
把攻擊合約偽造成知名項目的合約,通過偽造合約名稱、偽造合約實現過程,誤導引擎,增加誤判概率。
隱蔽的觸發方式
把觸發條件隱藏在用戶交易行為里,交易行為再做復雜化處理,往往通過嵌套幾層判斷條件,才觸發交易中斷、增發或轉移等風險行為,達到實時修改合約狀態,盜取用戶資產的目的。
偽造交易數據
為了讓交易看起來更真實,攻擊者還會隨機觸發空投、對敲等行為,這樣一是可以引誘更多用戶上鉤,二是可以讓交易行為看起來更自然。
代碼示例
此示例中攻擊者使用多種方式掩蓋自己的攻擊意圖,最終達到兩個主要目標:
交易暫停
241行返回的lpTotalSupply不能減少,否則不滿足245行的require判斷導致交易失敗,達到交易暫停的目的。
_uniswapV2Pair不一定是UniswapPair合約,也有可能是項目方自己部署的其他實現了totalSupply方法的合約,只要這個方法的返回值小于上次交易的值,就能暫停交易。
先增發再轉賬
滿足257行的判斷條件from為特定地址,并且amount大于totalSupply,則會憑空給from增加大于totalSupply的余額,實現先增發再轉賬的效果。
GoPlusSecurity提醒用戶,Honeypot攻擊往往還會設計前置場景,比如通過錢包空投、在行情網站上線交易數據,或在社群散布虛假信息、碰瓷知名項目等方式引導用戶上鉤。市場恐慌情緒甚囂塵上、假信息橫飛、用戶操作變形等都會給攻擊者更可多趁之機。GoPlusSecurity會實時關注攻擊者動向,并對新型攻擊方式進行及時播報。
GoPlusSecurityAPI提供實時、準確的Honeypot識別。用戶可以在GoPlus合作伙伴的產品中使用安全檢測功能,調取GoPlus實時更新的安全數據,規避風險。
去中心化錢包:
TokenPocket—內置Token安全檢測及授權合約安全檢測功能。
ONTOWallet—內置Token安全檢測功能。
HyperPay—內置Token安全檢測功能。
BitKeep—內置Token安全檢測功能。
插件錢包:
MaskNetwork—可查詢Token及NFT的安全信息,同時具備授權合約安全檢測功能。
行情軟件:
AVE—可查詢Token的安全信息。
ApeSpace—可查詢Token的安全信息。
瀏覽器:
GoPlusEco—可直接輸入安全相關問題,搜索解決方案。
來源:EthSign EthSign宣布正式推出第一個連接法律協議與智能合約的垂直場景——TokenTable.
1900/1/1 0:00:00作者:WhoKnowsDAO 01Intro 本文純屬作者的胡說八道,不構成任何投資意見,作者不持有文中提到的任何項目的FT/NFT.最近兩年,我們看到了許多打著去中心化的名號做郵箱服務的項目.
1900/1/1 0:00:00作者:Adaverse 要完全理解Cardano是如何工作的,需要了解幾個概念—Cardano機制和比特幣非常類似,只是延伸了一些附加功能: UTXOs 原生資產 智能合約 簡言之.
1900/1/1 0:00:00三箭資本聯合創始人KyleDavies對CNBC表示,FTX、Alameda互相“串通”擊垮了三箭,“FTX、Alameda串通進行獵殺止損,作為他們最大的客戶,3AC遭到獵殺.
1900/1/1 0:00:00原文標題:《NewNFT/CryptoGamemodel-PlaytoDie》作者:DaveStanton 編譯:DeFi之道 讓死亡在元宇宙中成為現實準確點來講,我的意思是.
1900/1/1 0:00:00作者:Pagoda,NEARProtocol自2020年10月發布主網至今已過去兩年時間,NEAR在此期間有了迅猛的增長.
1900/1/1 0:00:00
比特幣價格
