' }2 z7 e5 b" ]+ ]4 ?$ F举例:DeFi 协议Cream Finance闪电贷攻击 5 Q$ f( q/ o5 E9 c1 c! \7 y, E: J
简要概括: , G* `: D- J) T; T3 V : Q* e" f! Y6 G谁:有组织的团体 (APT)、个人和内部人士。 R. }+ d, V- a
7 ]+ Q! Z& Q( v' D复杂程度:中等(需要技术知识)。( c- V. W; z9 N- k
' ~4 p, Y4 k& Q$ U" X自动化程度:高(大多数攻击可能涉及自动化检测可利用问题)。1 q1 e" G$ R3 ~" ~6 ]7 ]
. i/ a" B. r& x
对未来的期望:随着准确定价方法变得更加标准,可能会降低。' X! `, L% t1 S# z1 B2 J7 f$ d
7 U/ U' S5 C! y8 {* f" G
新漏洞:不知之不知. u+ E8 V) c. z! G+ r0 D
' n% G+ \3 o; }& Q3 ^5 O
零日漏洞(Zero - day ),是指被发现后立即被恶意利用的安全漏洞。之所以如此命名,是因为它们在出现时就已为人所知——是信息安全领域的热点问题,在 web3 安全领域也不例外。因为它们来得突然,所以它们是最难防御的攻击。6 {8 L5 z, A6 z9 F5 U& ]/ U& ~9 o
1 u( l) M0 U: x, L" v/ f8 [
如果有什么不同的话,web3 让这些昂贵的劳动密集型攻击变得更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个错误以证明他们的努力。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目:著名的重入漏洞TheDAO是早期的以太坊企业,今天继续在其他地方重新浮出水面。5 H6 c) b, Y' g& Z! X5 l
' h& Q- N. P- j, p5 |目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图利用这些漏洞的成本。 * l; M; X' t/ v- P' R. m1 C1 d. C* m* [! a2 K; j5 H! p% o
举例:6 T6 v. Q4 F! A' x1 @* H7 ~! U