341 讀數

涉及 DAG 网络的 5 个安全事件以及如何保护自己

经过 Obyte8m2023/10/25

太長; 讀書

我们将深入研究涉及 DAG 平台的一些攻击，并讲述其相关服务遭受黑客攻击的五个实例。

featured image - 涉及 DAG 网络的 5 个安全事件以及如何保护自己

有向无环图（DAG）已成为区块链技术的一种有前景的替代方案。与区块链不同，DAG 拥有独特的结构，其中交易以定向、非循环的方式链接，并以新的方式达成共识。这项创新有望实现更快的交易速度和更高的去中心化程度，使其成为加密货币爱好者的有吸引力的选择。然而，它们可能会带来自己的一系列安全挑战。

毕竟，漏洞赏金计划是有原因的。然而，到目前为止，我们可以说还没有 DAG 结构被黑客入侵。另一方面，他们的相关服务，来自社交媒体甚至智能合约，则是另一回事了。网络犯罪分子将瞄准最脆弱的点，这通常位于 DAG 本身之外，但无论如何都会瞄准其用户。

我们将深入研究涉及 DAG 平台的一些攻击，并讲述其相关服务成为黑客攻击受害者的五个实例。此外，我们将探索保护自己免受此类威胁的策略和最佳实践。无论您是经验丰富的投资者还是新手，都需要了解这些挑战对于在日益复杂的加密生态系统中保护您的数字资产至关重要。

纳米+比特Grail

2018年，加密货币世界发生了重大安全漏洞，涉及意大利加密货币交易所BitGrail和数字货币Nano（原名Raiblocks）。这种货币使用类似于 DAG（更准确地说是块格子）结构的分类账，其共识系统与权益证明（PoS）区块链非常相似。

事件经过当 BitGrail 报告其平台上丢失了大量 Nano 代币时，事件就开始了。该交易所创始人 Francesco Firano 声称，此次黑客攻击导致约 1700 万个 Nano 代币被盗，相当于当时约 1.7 亿美元。

BitGrail 遭到黑客攻击后，交易所管理层与 Nano 开发团队之间发生了一场有争议的纠纷。 Firano 最初认为 Nano 的代码是造成该漏洞的原因，并将盗窃行为归咎于开发人员。他要求 Nano 团队进行有争议的分叉（更新）（以消除黑客攻击），但他们拒绝了。

随后更多调查显示，BitGrail 的安全措施和内部控制不完善，导致用户资金受到损害。事实上，这次黑客攻击恰逢 Nano 价格上涨，而 Firano 隐瞒了自 2017 年以来就发生的违规事件。BitGrail 和 Firano 至少收到了两起集体诉讼最终，菲拉诺被认定对此次袭击负有直接责任。

在这种情况下，DAG 没有受到攻击，但用户信任了错误的公司。在中心化交易所中，您没有资金的私钥。相反，只提供一个带有密码的帐户，并且资金由该公司完全保管（控制）。如果他们输了（黑客攻击、破产等），那么你也会输。这就是为什么不要将交易所用作永久钱包很重要。

IOTA + 月付

IOTA 是一个加密货币平台，利用有向无环图（DAG）技术来实现更快的交易，并且专注于物联网（IoT）领域。与区块链不同，IOTA 的 Tangle DAG 允许用户通过确认其他交易来验证交易，但有一个最终的协调节点来达成共识。他们打算（自 2016 年起）摆脱它，但与此同时，协调员由 IOTA 基金会控制，并且网络是中心化的。

2020 年 2 月，这一点得到了充分证明，当时整个网络在发生重大漏洞后被协调员冻结。当时，黑客直接从用户那里窃取了 850 万枚 IOTA 原生代币 MIOTA，当时价值约 200 万美元。物联网三位一体钱包由于 Moonpay（一种加密支付服务）的第三方依赖性，Moonpay 遭受了安全漏洞，该第三方通过从 Moonpay 的服务器加载 Moonpay SDK 的非法版本来危害用户的钱包种子。

网络犯罪分子等待新的 Trinity 版本来覆盖缓存文件并消除痕迹。 IOTA 基金会立即采取了行动，包括停止协调员并制定包含公共状态更新的事件管理计划。该攻击涉及 DNS 拦截、代码修改和 API 密钥滥用。

IOTA 的应对措施是为受影响的用户开发迁移工具、增强分析工具以及与安全专家和执法部门合作。 Trinity 不再使用，MoonPay合作的与他们一起解决问题。因此，这并不是一个被破坏的 DAG，而是与之相关的外部服务。

常春藤哈希图

Hedera Hashgraph 是一种分布式账本系统，利用有向无环图 (DAG) 达成共识。在赫德拉的八卦协议，节点之间互相分享新的信息，通过多轮共享逐渐达成共识。信息共享事件的历史记录被表示为哈希图——一种 DAG。该系统已获得专利，但并非没有错误。

2023 年 3 月 9 日，Hedera Hashgraph 网络成为受害者智能合约漏洞，导致 Pangolin、SaucerSwap 和 HeliSwap 等去中心化交易所 (DEX) 的各种代币被盗。零售用户账户和 Hedera 钱包并未受到影响，但攻击者成功窃取了价值近 60 万美元的代币。其中包括 DAI 稳定币、Tether USD、USD Coin 和 Wrapped HBAR。

我们迅速采取行动减轻攻击。 DEX 和桥接器合作，在收到违规警报后一小时内停止了桥接器上的代币流动。 Hedera 团队禁用了对 Hedera 主网的代理访问（由于网络是中心化的，如 IOTA），从而防止用户和攻击者进一步访问。在发现漏洞后 41 小时内，我们迅速开发、测试并实施了修复程序。

与之前其他 DAG 中的攻击不同，这一次，本机系统实际上是受到损害的系统，特别是其智能合约层。该团队迅速采取行动来缓解这一问题。

隋网络+Discord

Sui Network 是一个于 2023 年 5 月推出的分布式账本。它将交易分为简单交易（如汇款）和复杂交易（如在线拍卖）。简单的交易不需要共识，但是复杂的交易使用权益证明 (PoS) 验证器和称为 Bullshark 的基于 DAG 的高吞吐量共识协议。

该网络证明预防很重要，尤其是在涉及新技术时。就在主网发布之前，安全公司 CertiK 在系统中发现了一个严重错误。该缺陷是 Sui 代码中的无限循环错误，可能由恶意智能合约触发。这种类型的攻击被称为“HamsterWheel 攻击”，不会使节点崩溃，而是让它们无休止地运行而不处理新事务，从而导致网络无法运行。

一旦出现bug 被识别，Sui 开发人员迅速实施了修复程序以减轻其影响，并且 CertiK 确认这些修复程序已经部署。 Sui 基金会向 CertiK 提供了 500,000 美元作为漏洞赏金。然而，这并不是该平台面临的唯一威胁。

甚至在潜在错误出现之前，2022 年 8 月， Mysten Labs（Sui 创建者）的 Discord 服务器就遭到黑客攻击。该公告已共享在推特上，一些用户抱怨由于该事件而损失了资金。该事件涉及黑客在服务器的公告频道上分享涉嫌空投的链接。从那时起，他们加强了聊天中的安全和验证流程。

雪崩+DeFi

Avalanche 是另一种使用 DAG 结构而不是区块链的加密协议。它包括不同的链条：用于智能合约的合约链（C-Chain）、用于低费用快速资金转移的交易链（X-Chain）以及用于质押和奖励的平台链（P-Chain）。尤其是X-Chain，利用DAG技术来实现高吞吐量和快速交易终结。

多年来，多个基于 Avalanche 的 DeFi 协议都面临着重要的攻击。第一次备受瞩目的黑客攻击是针对借贷平台的Vee金融2021 年 9 月。发生攻击是因为他们依赖单一来源（oracle）获取价格信息，而该来源无法正确处理小数点。这使得攻击者能够操纵价格并对不应该交易的货币对执行交易。

这导致 8804.7 ETH 和 213.93 BTC（当时约 3600 万美元）被未经授权提取。这些代币随后桥接到以太坊并仍由攻击者持有。 Vee Finance 暂停了平台合约和相关功能（这表明该平台并不像 DeFi 一词所暗示的那样去中心化），积极开展资产追回工作。然而，这并不是雪崩的全部。更多的攻击将会及时到来。

去年 2023 年 2 月，又有两个 DeFi 协议再次遭到黑客攻击：多链聚合器 Dexible 和 DEX Platypus。在第一种情况下，攻击者利用该应用程序的 selfSwap 功能从授权该应用程序访问其代币的用户那里转移了价值超过 200 万美元的加密货币。 Dexible 暂停了合约并建议用户撤销代币授权。

第二种情况，鸭嘴兽迷失了闪电贷攻击金额达 850 万美元。黑客使用带有未经验证源代码的恶意智能合约来利用该协议的资产合约。现在，关于这三个案例，我们可以说，一些bug从一开始就从DeFi开发者那里逃逸出来，导致了资金的损失。