, v* Y3 ?. M( g' F7 U可自动化性:中等(扫描以发现有缺陷的软件组件可以自动化;但是当发现新漏洞时,需要手动构建漏洞利用)。" s4 n: b! p" ^$ q( F3 q
0 G0 |$ [ q8 V# I
对未来的期望:随着软件系统的相互依赖和复杂性的增加,供应链漏洞可能会增加。在为 web3 安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。 + ^8 B8 V$ s) ]" Q8 u6 j. ~6 w, c2 ]$ ?* r, {
治理攻击:选举窃取者 ! Y1 p6 h/ F6 L1 D9 Y# }$ j8 y. @2 a5 Y a8 c/ X" w: t" H; b
这是第一个上榜的特定于加密货币的问题。web3 中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也为引入恶意提案打开了后门,如果实施这些提案可能会破坏网络。 ( i+ @1 @6 k- H+ D ( @$ W( n- Q. D& z; l: z攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。曾经是一个理论上的问题,现在已经证明了治理攻击。攻击者可以拿出大量的“闪电贷”来摇摆选票,就像最近发生在去中心化金融项目 Beanstalk 上一样。导致提案自动执行的治理投票更容易被攻击者利用;然而,如果提案的制定存在时间延迟或需要多方手动签署(例如,通过多重签名钱包),则可能更难实现。 9 S y" j- V p7 d / ~5 u2 w) b+ j7 t举例:算法稳定币Beanstalk Farms遭遇黑客攻击事件 a/ U& K# X; ~/ q- x6 k1 o& R* i( V* M0 q6 j
简要概括: / d3 I8 w2 x% Y8 e U0 v6 y, o; } x+ _( M% E
谁:从有组织的团体 (APT) 到任何人。 4 p8 } `( p$ m. i( K# C7 ^6 e0 ?4 L+ Q9 ~' Y& y
复杂性:从低到高,取决于协议。(许多项目都有活跃的论坛、Twitter 和 Discord 上的社区,以及可以轻松暴露更多业余尝试的委派仪表板。) / f" g* A1 z7 ?- g) q' [ % Z8 h+ M, P6 \可自动化性:从低到高,取决于协议。 4 h) G& Y2 ?' n% |
/ @: U- \( s: N& y, n: w* }& P, E
对未来的期望:这些攻击高度依赖于治理工具和标准,特别是因为它们与监控和提案制定过程有关。 u2 {+ r# X0 w# G; ]% _5 b: S 0 D% }* C$ H1 O c定价预言机攻击:市场操纵者. ?1 R$ D1 P3 ]9 `. N" u- ~4 _' |0 y$ W
8 o& D1 T' O% I, V) c准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或降低资产价格是非法的,这些人可能会因此受到罚款或逮捕。 DeFi 给随机的人提供了“闪电贷”数亿或数十亿美元的可能行,从而导致价格突然波动,在这一领域,问题就凸显出来了。: G: I# S f; r. Y4 F
# W* i* u. a4 F许多 web3 项目依赖于“预言机”——提供实时数据的系统,并且是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。但是攻击者已经找到了欺骗这些假定真相的来源的方法。 & `, g& n# _, o# Z- ^6 l% \( Z- @8 U5 C) u3 Q
随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。9 p' y/ E* G. Q# H. h* |
/ S; q- w0 c6 h- z
举例:DeFi 协议Cream Finance闪电贷攻击2 r" \ F6 y9 u- d2 J/ d2 _
5 ]9 x6 o/ \; E- ^1 n7 d/ h# N
简要概括:/ W( M( k8 D7 H% @' z X& l- J, S