欧易okex靠谱吗
自从DeFi兴起,短短9个月就风靡全球。
BSC以其低成本的气体和快速增长的生态应用建立了一个日益完整的生态系统,并成功成为领先的公共链平台之一。
来源:https://bscscan.com/
现在几百个项目每天在BSC上交易几千万。
这幅画来自https://twitter.com/BinanceChain/status/1395060714390315008
然而,连锁交易的热度给我们带来了另一个隐患。
目前,黑客可以利用的不同级别的漏洞越来越多。
CertiK安全专家将这些漏洞分为四类,以下将向读者解释与DeFi相关的安全风险。
管理员密钥泄漏
在智能合约,中,一些功能由功能修改器——保护。只有特定的运算符才能调用特定的函数。
在大多数情况下,这些功能用于修改合约配置或管理智能合约持有的资金。因此,如果攻击者破坏管理密钥,他们可以完全控制智能合约,并调用此功能来窃取用户的资产。
钥匙泄漏的原因
第一种可能是电脑木马程序。
攻击者可以使用特洛伊木马窃取存储在计算机上的私钥,或者进行网络钓鱼攻击来欺骗用户将其私钥发送给攻击者。
对迪菲合约,来说,几个人经常分享一把管理钥匙。
这意味着,如果内部人员有不良意图,他可以调用管理功能将项目的令牌转移到他的钱包地址。
这里有两个案例:2021年3月5日,PAID Network因私钥管理不当而遭受“造币”攻击。据推测,攻击者可能通过网络钓鱼攻击从管理员的计算机中窃取了密钥。
付费令牌合约位于可扩展代理服务器的后面,这意味着令牌合约可以被代理服务器的所有者替换。
这种恶意代码具有铸币功能,攻击者破坏6000万个PAID令牌,然后为自己铸造5900万个令牌。
当时,Uniswap上出售了2,501,203美元的已支付代币(约2,040ETH),代币价格从2.8美元暴跌至0.3美元。
2021年4月19日,EasyFi创始人声称,黑客为了获取管理密钥,将管理员作为目标。298万个EASY代币(当时价值约7500万美元)从EasyFi官方钱包转移到几个不知名的钱包。
因此,私钥的安全存储对于项目安全的重要性可见一斑。管理人员不应在没有任何防范措施的情况下将未加密的管理员密钥存储在计算机设备上,或将它们放在元屏蔽热钱包中。
CertiK安全专家建议管理者使用硬件钱包来创建账户。
如果一个多人团队的每个管理人员都使用硬件钱包,一旦其中一个管理人员试图进行特权交易,就需要获得大多数成员的签名同意,这样可以防止攻击者在只获得一把钥匙的访问权限时调用所有特权函数。
代币合约应该尽可能避免铸造新代币的功能。如果需要铸造新的代币,应使用合约DAO或合约时间锁,而不是EOA帐户。
