CertiK：7月加密领域相关黑客攻击事件总结_CER:Defilancer token

事件

黑客勒索及其他攻击传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击，是7月至今发生的黑客勒索攻击事件中的主要攻击方式。此类攻击行为，攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击，尤其是twitter攻击，其攻击者是三名青少年，其中最大年龄仅有22岁，这起事件在7月以来的安全事件中较典型的一例，产生的影响范围极广。①7月2日，MongoDB遭受到攻击，约22900个数据库被清空，攻击者要求以BTC作为赎金赎回被清空数据库的备份。②7月11日，Cashaa交易所发生交易异常，攻击者通过控制受害者电脑，操作受害者在Blockchain.info上的比特币钱包，向攻击者账户转移约合9800美元的BTC。③7月15日，twitter遭受社会工程攻击，员工管理账号被盗，造成多个组织和个人的推特上发布欺诈信息，诱使受害者向攻击者比特币账户转账。④7月22日，约克大学信息被盗取，攻击者要求约合114万美金的BTC作为赎金。⑤7月23日，英国足球联盟信息被盗取，攻击者要求BTC作为赎金。⑥7月25日，西班牙铁路基础建设管理局约800gb信息被盗，攻击者要求BTC作为赎金。⑦7月30日，佳能遭受到黑客攻击，约10tb照片和其他类型数据被盗，用户要求以数字货币作为赎金。⑧7月31日，数字货币交易所2gether遭受到黑客攻击，约139万美金的BTC被盗。代码漏洞攻击对于代码漏洞攻击相关事件，攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件来完成攻击，并且需要对智能合约的技术有深刻的了解，找到其中的逻辑漏洞并加以利用。⑨8月4日，DeFi项目Opyn被攻击者通过代码漏洞，获得数目等于存入数目两倍的代币，最终造成了约37万美金的损失。攻击类型及危险

CoinMarketCap集成区块链安全公司CertiK的安全评分功能:金色财经报道，加密货币排名平台CoinMarketCap宣布已完成区块链安全机构CertiK旗下安全评分功能的集成，使用户能够快速了解其平台上列出的加密项目安全性。另据披露数据显示，在CoinMarketCap上排名前500的Web3项目中， 截至目前CertiK已完成了约70%的审计工作。（globenewswire）[2023/5/22 15:19:07]

攻击事件类型及危险程序：

赛车游戏Riot Racers与雪铁龙合作推出NFT汽车:3月18日消息，赛车游戏Riot Racers宣布与法国汽车制造商雪铁龙（Citro?n）合作推出NFT汽车，玩家可以在Riot Racers的汽车电子游戏中驾驶这些Citro?n NFT汽车。

据悉，Riot Racers是一款玩赚赛车游戏，玩家可以NFT的形式持有游戏的一部分，包括司机、汽车、汽车升级、加油站、机械店、赛马场土地和广告牌土地，初级和二级销售都在Polygon上。(DappRadar)[2022/3/18 14:05:22]

勒索及其他攻击——攻击的方法和媒介如下：

Cere Network和DaoMaker达成战略合作 将在DaoMaker上发行部分公募:3月19日消息，波卡生态去中心化数据云平台Cere Network发布官方推文透露与DaoMaker达成战略合作，根据该预告视频，Cere Network将在DaoMaker平台上首次发行部分公募。[2021/3/19 18:59:16]

代码漏洞攻击：——攻击的方法和媒介如下：

DeFi协议Balancer将在NEAR可用:基于以太坊的去中心化金融（DeFi）协议Balancer将在NEAR可用。据悉，NEAR是以太坊的竞争对手，上周刚刚完全开放了其主网。该智能合约平台的团队承诺，与以太坊相比，将减少延迟和费用。Balancer Labs增长负责人Jeremy Musighi表示，除了专注于NEAR的工作之外，该团队还将继续专注于基于以太坊的开发。（The Block）[2020/10/27]

因勒索攻击门槛低，攻击方式大同小异，因此可供分析程度有限，下文将为大家具体分析第9号代码漏洞攻击事件。代码漏洞攻击事件分析

⑨第9号事件此次事件发生于DeFi项目Opyn中，攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。攻击者在向智能合约中发送某一数量的ETH时候，智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致，并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后，仍旧等于完成该次期货买卖所需要的数量。也就是说，攻击者可以用一笔ETH进行抵押，并再赎回两次交易，最终获得自身发送数量两倍的ETH。CertiK安全研究团队认为，Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行，从而造成了其智能合约中的程序代码漏洞没有被及时发现，是此次事件发生的主要原因。总结

在此，CertiK安全团队建议如下：做好区块链项目运行的硬件以及平台软件的安全漏洞筛查，在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况，对于特定区块链项目中的防护，可以考虑采用提高交易确认必须次数或者优化共识算法。做好对区块链项目中链代码和智能合约代码的验证审计工作，邀请多个独立的外部安全审计服务来审计代码，并在每次更新代码后进行重新审计。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。