Retric
欢迎打赏。BTC:1MibfK26s4u8GBLEAsTy82uVEBPBUG4z3F
写了 336 篇文章
一次黑客攻击|预言家周报#70
发表于 2020-04-20 21:05:52

前段时间,我搭了一个很简陋的博客,想用来写点个人日记。代码写得很简单,潦潦草草发布上去。后面有天我才发现,网站存在cookie里的session是没有加密的,前端很容易就能解析出来,而我犯的一个错误是在session里存了敏感的信息。

软件世界有无数的陷阱。拿最简单的web网站来说,SQL注入、XSS攻击、利用第三方cookie重复使用的CSRF攻击、图片或者文件上传的漏洞,各种死法花式上演。一个新手在网络上架起了自己的第一个网站,就像水手驾着一艘颤颤巍巍的小帆船第一次出海,他不知道前方路上埋伏着无数的风暴、冰山和海怪。

只是在大部分情况下,这些风险是幻象。船上的漏洞当然是一直存在的,风暴和海怪却并不一定会出现。毕竟风暴和海怪也很忙,他们只攻击那些值得攻击的对象,要么掀翻满载而归的渔船,要么掠夺富商的货轮。

所以,也难怪有人说,软件工程不像其他“硬工程”,土木工程如果出错,楼会倒、路会塌,需要付出人命的代价;硬件芯片如果出 bug,则会导致几十上百亿的损失;软件如果挂了?最多让一个网站宕机半天。

当然,这句话其实是错误的。软件正在吞噬整个世界。代码充斥着世界的每个角落。今天软件的漏洞,代表的不止是一个网站或者一个app,也是飞机和火箭上的控制系统。波音公司把客机软件外包给更廉价的第三方,最终在航天史上留下了血淋淋的BUG。

Dijkstra 大神也讲过类似的故事。1969 年阿波罗登月后,他曾经问飞船软件的负责人,你们为什么能把那么多的代码写正确,没想到对方坦白道:仅仅在发射前五天,他才从登月器计算轨道的代码里发现一个错误,这行代码把月球的重力方向算反了。本来该吸引的,结果写成了排斥。

除了军用软件和航空软件,现在我们还多了另一个领域——区块链。天生与货币和金融绑在一起的crypto,让我们又一次感受到,软件世界的代码安全究竟有多重要。

昨天对中国DeFi圈而言是黑暗的一天。dForce 的借贷平台 Lendf.Me 遭黑客攻击损失2500万美元的资产,黑客利用了 ERC777 标准和 Lendf.Me 合约的组合漏洞,使用重入攻击凭空制造出一堆 imBTC,又用 imBTC 借走了平台上的其他币种,洗劫一空。就在 dForce 出事的前一天,Uniswap 也刚刚遭受相似手法的攻击。而 ERC 777 标准的这个漏洞,在2019年6月份就被 OpenZeppelin 公布了,只是并未引起重视。

这件事将会成为 DeFi 发展的一个重要节点。事件仍在发展中,最终能否追回资产、最大限度的降低用户损失还要看后续进展,但各个crypto群里已经吵翻天了。这里面有太多的教训。许多人将对 DeFi 失去信心,认为 DeFi 是伪概念,怀疑以太坊(也是各大公链)过去这几年围绕去中心化金融所讲的这个故事。也有不少用户从此不愿意把资产放入到 DeFi 产品中,而更愿意选择中心化的金融产品,因为“ CeFi 出了事至少能维权”。

这些争吵都是正常的。DeFi 是乐高,也是蜜罐,从现在到将来,永远都会有一小撮黑客盯着,尝试挖走里面的金币。任何金融系统都需要经历这样的过程,逃不掉的。能通过考验的、最终能幸存下来的,才有机会走向主流人群,成为更稳固的金融基础设施。

只是在这样的过程中,每发生一次类似的事件,都让人难免扼腕。因为背后的代价是由用户真金白银买单的。我想这应该是整个区块链行业都不愿意看到的。只是很遗憾,事情发生后,我在 Twitter 和其他社交平台上看到了挺多冷嘲热讽的围观,有国外社区对中国社区的嘲讽、对以太坊社区对嘲讽,也有非 DeFi 圈对 DeFi 圈的戏谑。

恰好也是在昨天,宅在家里看完了因为疫情而举办的全球慈善演出 one world together at home。在一片 Global Citizen 的氛围中,默默听完了来自世界各地的艺术家和歌手在家里录制的表演。有人说,在病毒和反全球化趋势下,象征人类大团结的东京奥运会都被取消了,唯有这场2020年的live aid,能让人从心里感受到一些联结和温暖。

而其实整个 crypto 行业才多大呢?就这么小的一个圈子,中国真正从事区块链的核心玩家,可能一个微信5000好友就能加满了。何必如此。

希望这次攻击事件,能让 crypto 圈和所有从事 DeFi 行业的人都能吸取教训。开发者在写智能合约时,对每一行代码能更有敬畏之心;用户在使用 Crypto 产品时,对风险能有更清楚的认识——记住哪怕是小概率的风险,只要时间够长就一定会发生。安全,才是区块链的立身之本。

值得阅读的文章

Lendf被盗过程分析和对ERC777的思考

https://mp.weixin.qq.com/s/tps3EvxyWWTLHYzxsa9ffw

https://www.chainnews.com/articles/461365073330.htm

https://learnblockchain.cn/article/893

@Leon:前两篇基本讲清楚了攻击的过程,但是漏洞存在的原因还有待当事人说明。第三篇认为不能因噎废食,ERC777本身没有错。

Bitcoin: The Halving and Why It Matters

https://www.coindesk.com/crypto-investment-research/bitcoin-halving-2020-research-report

@Hope:多元视角下的比特币减半报告,为你解答为什么这次减半币价一直没有涨。

HashKey:深度解析 Libra 2.0 的取舍与坚持

https://mp.weixin.qq.com/s/VOMBBXKwXS84eYLPfUGK6w

@JZ:Libra 协会在最近更新了白皮书 2.0,相比 1.0 版本白皮书及愿景,有许多改变。在这其中,Libra 向监管表现出了最大的善意,但我们认为, Libra 的长期愿景是没有变化的,也没有放弃成为金融基础设施的想法,甚至有更为宏大的目标。这是我们和市场认知最大的不同观点。

此外Libra生态似乎更加开放了,有很多种不同的角色可以参与其中,对于区块链从业者,里面蕴藏着一些长期机会。

Libra对监管的探索还会进行下去,其架构也不会在2.0白皮书被定型,最终形态仍让人拭目以待。

去中心化第一原理

https://ethfans.org/posts/37095

@郭宇:到底怎样的项目能称得上「去中心化」,到底我们是否需要纯粹的「去中心化」,究竟是目的还是手段?理想很丰满,现实很骨感。过去三年发生了太多的事情,以致于大家已经没心情再纠结这些问题了,不过区块链的方向在哪里?相信很多朋友并没有停止思考。推荐这篇理想主义十足的文章。

Layer2的投资现状

https://www.tokendaily.co/blog/the-state-of-l2-investments

@铁拳:Tokendaily大概是有四个月没更新文章了,这是他们今年以来的第一篇文章更新。写Layer2方向的一些投资现状,回顾了不少之前的一些亮眼但现在很挣扎的Layer2项目,并展望了一些仍在前进的项目。

闪电网络和侧链他都讲挺多,也介绍了很多比较全面的科普知识。我们仍处于起步阶段,在未来两年,依然会看到很多在Layer2方面的尝试和投资增长。

区块链基础设施投资(上)-周期与反脆弱

https://mp.weixin.qq.com/s/4lpuXqTBnXM23sdfr6kTgA

@Leon:Hashkey的这篇文章展示了一个综合型集团的投资策略,给出的建议和思考的角度都很有意思。

erasure

https://erasure.world/

@卡咩:今天推荐的这篇文章是一个产品的官网,官网为了解释整个产品,几乎整个版面都是介绍文字。Erasure是这个产品的名字,通过创建一个押金的市场,来保证信息的价值,否则,押金则会扣除,产品瞄准的领域脑洞很大,其背后的本质就是PoS共识中的Staking和Slash,Staking情况下,做系统要求的事情,如果做的不对,则会被Slash,Erasure把这套方式应用到了信息甄别上,预测市场上,建议意见上等等,画了一个大框架,产品还不够完善,但推荐大家阅读。


欢迎打赏。BTC:1MibfK26s4u8GBLEAsTy82uVEBPBUG4z3F
写了 336 篇文章

评论

this comment section is using the amazing decentralized database engine - Gun.db

推荐阅读

价值捕获与量化:论加密资本和加密商品
技术的本质:填补更多空白的可能性
信任的崩溃:区块链是新文化思潮的产物
股份制公司创造了世界主要的财富,加密网络会是下一个吗?
积了灰的虚拟资产,原来也是一门好生意
无尽的环形监狱:从美国历史上三次“隐私事件”看今天