2024-12-24 小编:zmz
真实案例
智能合约升级中的漏洞:LI.FI 协议
LI.FI 平台的智能合约升级中存在一个漏洞,可供攻击者在未经适当验证的情况下任意调用任何合约。借此,攻击者能够利用给予 LI.FI 合约无限制代币授权的钱包,无需用户进一步授权即可从中提取资金。由于漏洞随时可能出现,用户须始终谨慎行事,定期撤回授权,以保障资金安全。
多重签名者遭遇攻击:Radiant Capital
恶意行为者入侵了三名多重签名者的设备,由此控制了 Radiant Capital 的多重签名钱包。通过该访问权限,他们将钱包的所有权转移给自己,并强行更新了借贷资金池合约。借助此次更新,他们能够从借贷资金池及已完成无限制授权的用户钱包中抽取所有资金。因此,尚未撤回无限制授权的用户仍然面临风险,尤其是在特定区块链上。
此案例表明,在项目遭到入侵后不撤回授权是相当危险的行为。如下图所示,这位 Web3 钱包用户已对遭到入侵的 Radiant Capital 借贷资金池合约进行了无限制授权 。此种“无限制 ”许可意味着合约可以不受限制地从用户的钱包中提取代币。
只要授权有效,攻击者就可以反复从用户的钱包中提取 BUSC-USD。此外,由于合约保留提取资金的授权,因此任何新存入钱包的资金也存在风险。该案例告诫用户,当项目遭到入侵时,应及时检查并撤回相关授权,以保护资产安全。
社会工程攻击:Monoswap
攻击者冒充风险投资家,针对 Monoswap 开发人员开展定向骗局。其邀请开发人员参与据称是讨论融资机会的电话会议,诱骗他安装了 Kakaotalk 即时通讯程序的恶意假冒版本。他不知道的是,攻击者借此机会在他的办公室电脑上安装了僵尸网络,可通过该电脑访问与 Monoswap 相关的钱包及合约。
通过该访问权限,不法分子提取了大部分质押的流动性仓位,令协议及其用户蒙受了巨大损失。此事件表明,我们应始终采用严格的安全协议,并在授予敏感系统的访问权限之前认证应用程序或通信渠道的合法性。
自我保护的方法
在 Web3 世界中,时刻保持警惕是保障资产安全的关键。虽然没有系统可以做到绝对零风险,但采取主动措施仍可显著减少潜在威胁。以下将介绍自我保护的方法:
谨慎授权
尽量不要给出无限制代币授权,即使是信誉良好的项目。限制授权增加了额外的安全性,确保当项目遭遇入侵时,攻击者无法利用该授权窃取您的资产。
定期撤回不再使用的授权
学会定期检查并从不再使用的合约撤回代币授权。只需简单一步,即可降低恶意攻击或意外漏洞为资产带来的风险。
开展尽职调查
在授权合约之前,请花些时间通过 honeypot.is 等信誉良好的安全工具对其进行验证。尽管此类工具不能保证绝对的安全,但其针对潜在风险提供了宝贵见解,比完全不核查要好得多。养成这些习惯,以谨慎态度构筑抵御潜在威胁的强大屏障,即可在 Web3 世界中安全遨游。
使用币安 Web3 钱包
使用币安 Web3 钱包等可信工具保护您的钱包。该钱包优先考虑用户安全,并配备强大功能以应对常见的 Web3 威胁,包括滥用授权等问题。
当项目遭到入侵时,币安 Web3 钱包会迅速采取行动保护用户。系统将立即发送安全提醒和 App 内通知,敦促用户撤回有风险的授权或保护其资产安全。在完全撤回有风险的智能合约授权之前,系统将以持续弹窗不断提醒用户,确保用户采取行动保护资金。
这些积极主动的保护措施有助于用户随时了解情况并迅速做出反应,从而降低潜在损失。
随时了解新动态
在不断发展的 DeFi 领域中,专业知识就是最佳防御手段。您可通过币安学院了解最新的安全新闻、项目发展以及新出现的漏洞。如欲深入了解潜在威胁,敬请参阅我们的识破骗局系列。这些资源提供了宝贵的见解,帮助您识别骗局,免受新型风险威胁,为您的生态系统之旅保驾护航。
结语
在 Web3 世界中,只需养成一些简单的习惯,即可大大提升资产安全性。定期检查您的授权,使用币安 Web3 钱包等可靠工具,并通过币安学院等资源随时了解最新信息。这些步骤虽小,却能有效保护资金安全,助您安心享受去中心化金融带来的无限可能性。