OpenZeppelin公布了2022年十大区块链黑客技术

OpenZeppelin是一家加密网络安全公司,提供开源框架以开发安全的智能合约。该公司于日前公布了2022年十大区块链黑客技术,旨在使加密领域更加安全,提升大众对区块链安全的意识与认知。

在2022年,区块链开发参与度增加,新技术也相继推出,但同时也导致新的区块链黑客技术和攻击手段不断涌现,造成的损失超过了37亿美元。为了促进行业内最佳实践和有效的安全措施,OpenZeppelin与Web3安全专家社区合作,记录了2022年的十大安全研究成果,以此促进更安全的Web3体验来支持开发人员和社区。

OpenZeppelin公布了2022年十大黑客技术,其中前两名包括Layer 2扩展系统Optimism和虚荣地址生成器Profanity的漏洞。利用Optimism漏洞会导致本地代币OP无限铸造,从而使得Optimism协议崩溃。Profanity上的漏洞则可能会使至少1.6亿美元面临风险。

目前,这些黑客技术已在该项目开始前公开披露,此举是为了突显区块链代码各层次在安全措施上的最佳实践,以帮助安全研究人员在审计中应用并了解它们,进而增强整个生态系统的安全性。

据官方公告,其他十大黑客技术中还包括一种漏洞,允许攻击者清空所有包装代币合约,可能导致包装的以太币(wETH)合约破产,以及Avalanche区块链上的一个漏洞,被用于打破多个协议的安全假设,包括去中心化交易所SushiSwap和借贷平台Abracadabra。

TOP 10

10 – Compound-TUSD整合问题

在《Compound-TUSD整合问题回顾》中所描述的双进入点问题,是一个能够微妙地破坏一个东西,并可能导致重大漏洞的后果。该漏洞是由于有两个合约控制同一资产,使得可以绕过安全检查,并允许从Compound协议中清除所有TUSD。这反过来又使得可以以折扣价格铸造新的cTUSD。

值得一提的是,这个漏洞的披露过程是多个方共同努力的结果。这种合作有助于保护除了Compound-TUSD整合问题之外的其他协议。这个例子凸显出反覆测试除错的重要性,以确保区块链协议的安全性和稳定性。

9 – StarkNet-DAI-Bridge智能合约代码评估中的“6.2 L2 DAI Allows Stealing”问题

在对StarkNet-DAI-Bridge智能合约进行代码评估时,发现了一个Cairo智能合约的安全问题。作为一种相对初阶的语言,Cairo具有一些潜在的陷阱,而这个问题正是其中的一个主要问题。该语言的基础类型felt目前包含252位元,这与Solidity的单位类型不同,后者具有256位元。因此,Cairo提供了一个抽象的单位256,需要进行额外的安全检查,但很容易忘记这样做。

幸运的是,通过在Cairo中提供更高级的API或应用静态分析工具到代码库中,可以缓解这些漏洞中的许多问题。这个漏洞的发线同样强调反覆测试和彻底的代码评估对确保区块链协议安全和稳定的重要性。

8 – Avalanche 的3.5 亿美元风险报告

Statemind 团队的Avalanche 漏洞报告:我们如何发现了3.5 亿美元的风险和Avalanche 漏洞报告:技术概述揭示了预编译中那些看似无害的行为被技巧性的利用,使之允许发送原生资产和选择性调用接收器。该漏洞被用于多个链上打破Abracadabra 和Sushi 合约的安全假设。

7 – 只读重入– 一种负责超过1亿美元风险的新型漏洞

ChainSecurity展示了对检视函数的重入可能会导致毁灭性后果。这项工作揭示了此种新的漏洞类型,不幸的是,这不是我们最后一次看到它。与大多数重入问题不同,这种类型会影响基于被重入协定上构建的协定。尽管如此,并非所有可能受到此漏洞影响的协定都已采取行动,日前已出现了几起与此漏洞有关的黑客攻击。对于所有协定来说,检查此漏洞并采取适当的行动至关重要。此外,这项研究对Web3社区安全做出了相当的贡献。

6 – 如何从完美的智能合约中窃取1亿美元

PwningEth在今年的十大研究报告中的其中三篇之一强调了引入一个不会破坏应用程式安全假设的预编译是非常困难的。该研究发现,恶意合约可以将呼叫者的资金核准给自己并窃取它们,但问题进一步升级了回拨的利用。这使得该漏洞可以成为与使用者无关的交互,并使其他智能合约也成为受害者。该研究展示了对预编译进行全面测试和审核以确保整个系统安全性的重要性。

5 – 幻影函数和十亿美元的空操作

这个错误看似简单,但如果没有被发现,可能会导致损失数十亿。

这提醒我们在调用不返回值的函数– 尤其是permit函数时– 应谨慎小心,因为它们可能不会返回。此问题可能还会影响其他应用程式,因此对此行为进行进一步研究是有价值的。

4 – 如何拯救了70,000 ETH并赢得了600万的漏洞赏金

在智能合约开发中考虑委派调用是非常重要的。委派调用相关问题是区块链安全中常见的问题,而这个特定的漏洞则是将委派调用应用于预编译程式。因此,这是一个严重的问题,为PwningEth赢得了区块链领域中最大的赏金之一,并在榜单中排名第四。开发人员应该仔细审查和测试其代码以确定可能存在的委派调用相关漏洞,以确保智能合约的安全性和安全性。

3 – 包装代币如WETH是否会(被迫)破产

此漏洞允许攻击者清空所有包装代币合约,并不仅控制包装代币的余额,还可以使用包装代币作为空头支票在去中心化交易所买入其他代币。进一步的攻击可以利用借贷协议以借贷所有其他价值的代币。

2 – 以太坊虚荣地址生成工具Profanity中的漏洞

尽管已公开披露,但这个漏洞直到大约六个月后被利用时才被重视。OpenZeppelin强调了具有协调漏洞披露程序的重要性以及需要检查是否使用工具如Profanity生成私钥,如果是,就应该采取措施迁移密钥以确保其安全。

1 – 利用无节制的Optimism攻击以太坊L2

Saurik发现了一个比预编译还要深的奇怪漏洞。在节点层面发现漏洞使其排名第一。