蓝盟IT小贴士,来喽!
传统的威胁软件攻击和通过系统脆弱性远程控制受害者系统的攻击,是迄今为止7月份发生的黑客攻击事件中的主要攻击方式。 这种攻击行为,攻击者可以在不知道方块链知识和技术细节的情况下完成攻击,特别是推特攻击(利用社会工程的方法),其攻击者为3名青少年,其中最年龄仅为22岁,该事件是7月以来安全事件中的典型一例
对于码洞攻击的相关事件,攻击者必须理解块链的51%攻击,找到可以利用的条件(借助庞大的修正力),深入理解智能合同的技术,找到其中的逻辑洞进行利用。
8月4日,DeFi项目Opyn让攻击者通过代码的漏洞,获得了收款数2倍数的令牌,最终造成了约37万美元的损失。
此次事件发生在DeFi项目Opyn中,攻击的原因是Opyn在智能合同oToken的exercise函数中出现了漏洞。 当攻击者传输某一数量的ETH时,智能合同只检查该ETH的数量是否与完成期货交易所需的数量一致,而不动态检查攻击者传输的ETH的数量是否与每笔交易完成该期货交易所需的数量一致。也就是说,攻击者可以用一个ETH抵押,再承担两次交易,最终得到的ETH是自己发送次数的两倍。
CertiK安全研究小组表示,Opyn对完成更新的智能合同直接进行部署,而无需再次进行严格的安全审核验证,因此没有立即发现智能合同的过程代码漏洞,是此次事件发生的主要原因。
文/上海蓝盟 IT外包专家