知名加密网络安全企业OpenZeppelin近期发布了2022年度区块链安全领域内的十大黑客技术,此举旨在提升公众对区块链安全性的认识和重视,以促进加密行业的安全发展。
2022年,随着区块链开发领域的不断深入和新技术的涌现,区块链黑客技术和攻击手段也层出不穷,给加密市场造成了超过37亿美元的损失。为了推动行业内的最佳实践和安全措施,OpenZeppelin联合Web3安全专家社区,整理了2022年的十大安全研究成果,以期助力开发人员和社区实现更安全的Web3体验。
OpenZeppelin公布的2022年十大黑客技术中,Optimism Layer 2扩展系统和虚荣地址生成器Profanity位列前两名。Optimism漏洞可能导致本地代币OP无限铸造,使Optimism协议崩溃;而Profanity的漏洞可能使高达1.6亿美元的资产面临风险。
目前,这些黑客技术已在项目启动前公开披露,旨在强调区块链代码各层次的安全最佳实践,帮助安全研究人员在审计过程中应用并了解这些技术,从而提升整个生态系统的安全性。
官方公告显示,其他十大黑客技术还包括允许攻击者清空所有包装代币合约的漏洞,可能导致包装的以太币(wETH)合约破产,以及Avalanche区块链上的漏洞,被用于打破去中心化交易所SushiSwap和借贷平台Abracadabra等协议的安全假设。
TOP 1010 – Compound-TUSD整合问题《Compound-TUSD整合问题回顾》中描述的双进入点问题,可能对区块链安全造成严重影响。该漏洞是由于两个合约控制同一资产,导致安全检查被绕过,并可能从Compound协议中清除所有TUSD,进而以折扣价格铸造新的cTUSD。
这个漏洞的披露得益于多方合作,凸显了反复测试和彻底代码评估对保障区块链协议安全稳定的重要性。
9 – StarkNet-DAI-Bridge智能合约代码评估中的“6.2 L2 DAI Allows Stealing”问题在对StarkNet-DAI-Bridge智能合约进行代码评估时,发现了一个Cairo智能合约的安全问题。Cairo作为一种相对初阶的语言,存在一些潜在陷阱,这个问题便是其中之一。该漏洞提醒我们,反复测试和彻底代码评估对保障区块链协议安全和稳定至关重要。
8 – Avalanche 的3.5 亿美元风险报告
Statemind团队发布的Avalanche漏洞报告揭示了预编译中的潜在风险,并分析了该漏洞如何被用于多个链上攻击,包括Abracadabra和Sushi合约。
7 – 只读重入– 一种负责超过1亿美元风险的新型漏洞
ChainSecurity团队的研究揭示了只读重入漏洞,该漏洞可能导致基于被重入协定构建的协定受到攻击,并提醒开发者检查此漏洞并采取适当措施。
6 – 如何从完美的智能合约中窃取1亿美元
PwningEth的研究强调了预编译的安全性,并指出恶意合约可能通过回拨利用窃取资金,提醒开发者对预编译进行全面测试和审核。
5 – 幻影函数和十亿美元的空操作
这个错误看似简单,但可能导致巨额损失,提醒我们在调用不返回值的函数时需谨慎。
4 – 如何拯救了70,000 ETH并赢得了600万的漏洞赏金
这个漏洞提醒开发者关注委派调用,并强调对代码进行仔细审查和测试的重要性。
3 – 包装代币如WETH是否会(被迫)破产?
这个漏洞允许攻击者清空所有包装代币合约,并可能通过借贷协议进一步攻击其他代币。
2 – 以太坊虚荣地址生成工具Profanity中的漏洞
尽管已公开披露,但这个漏洞直到被利用时才被重视,提醒我们检查并迁移使用此类工具生成的私钥。
1 – 利用无节制的Optimism攻击以太坊L2
Saurik发现了一个深层次的漏洞,使Optimism节点面临攻击,提醒我们关注区块链底层安全问题。
标签: 区块链
