据成都链安态势感知平台统计数据显示,在过去一个月中,共发生『9』起较典型的安全事件。其中包括:DApp方面,本月内仅发生『1』起在波场上的安全事件:12月6日,TronLoungeDApp遭到回滚交易攻击,共计损失54653TRX。公链方面,本月内共发生『4』起安全事件。12月14日,唯链官方宣布遭遇黑客攻击,被盗走了11亿枚VET,640万美元不翼而飞,超级权益节点已对黑名单中469个与窃贼相关的地址进行了拦截,从而冻结共计约7.27亿VET。12月20日,NULS公链官方账户被盗200万NULS代币,凌晨2点官方修复完漏洞,有548354.34696095NULS已流入到交易市场;硬分叉后,未流入到交易市场的1451645.65303905NULS将会以永久冻结的方式销毁。12月30日,公链IOTA主网出现共识分裂而无法更新的情况,TPS一度接近0,原因是在极端情况下,IRI没有考虑两个不同bundle之间共享的交易;一旦在一个bundle将某个交易标记为『已计数』,下一个bundle就会将其忽略,这一bug导致了账本状态的损坏,目前漏洞已修复。12月1日,Vertcoin遭受了51%攻击,攻击者成功利用自己的553个区块替代了603个VTC主链区块,此次攻击攻击者花费大概超过0.5BTC,然而收到的区块奖励总价值为13825VTC。值得一提的是,2018年12月VTC公链也曾遭到51%攻击。钱包方面,本月内发生『1』起恶意代码注入事件:以太坊钱包『ShitcoinWallet』疑似被恶意JavaScript代码,企图从浏览器窗口抓取数据并发送至远程服务器erc20wallet.tk。其他方面发生的安全事件有:Poloniex加密货币交易所发邮件告知客户或存在数据泄漏,泄露的电子邮件地址和密码列表可能会被用于登录Poloniex帐户;交易所强制在拥有该交易所帐户的任何电子邮件地址上重设密码。黑客被发现利用著名流行歌手泰勒·斯威夫特的JPEG照片来隐藏恶意加密挖矿软件MyKingz。58COIN官方公告,通过用户反馈,近期有不明人士或团伙冒用58COIN官方名义,利用高仿网站、高仿社群、高仿客服等手法误导投资者以达成钓鱼目的。总的来说,12月较11月所发生的安全事件有所减少,在钱包、交易所、DApp方面发生的安全事件较少,且并未造成恶劣影响。值得关注的是,本月发生的两起公链安全事件,唯链和NULS公链的接连『爆雷』,都在警示我们公链安全问题不容忽视,不能够简单认为通过审计代码便是万无一失。鉴于当前区块链安全领域的新形势,『成都链安』在此提醒:公链方面应尤其需要重视安全风险的发生。公链运营方需要从代码安全、人员安全培训、项目风险预案等多方面,建立起一套完善的安全体系来提高抵御攻击的能力和降低被攻击的风险。必要时可寻求安全公司合作,通过第三方技术支持,完成安全检测、安全加固等基础设施建设,排查安全漏洞,以避免造成不必要的损失。
成都链安:fortress被盗金额已被转换成1048eth并转入了Tornado Cash:5月9日消息,据成都链安安全舆情监控数据显示,fortress 遭受预言机价格操控攻击,被盗金额已被转换成1048eth并转入了Tornado Cash。经成都链安技术团队分析,本次攻击原因是由于fortress项目的预言机FortressPriceOracle的数据源Chain合约的价格提交函数submit中,将价格提交者的权限验证代码注释了,导致任何地址都可以提交价格数据。攻击者利用这个漏洞,提交一个超大的FST价格,导致抵押品价值计算被操控,进而借贷出了项目中所有的代币。
攻击交易:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
攻击者地址:0xa6af2872176320015f8ddb2ba013b38cb35d22ad
攻击者合约:0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]
成都链安CEO杨霞:DeFi项目方应重视合约安全问题:据官方消息,在由OKEx主办的“后疫情时代:DeFi的机遇与挑战”社群活动上,成都链安创始人兼CEO杨霞谈到最近dForce攻击事件,她表示,DeFi项目正在快速发展壮大,据我们统计截止2020年,锁定在以太坊DeFi应用中资产已达到10亿美元。DeFi项目火爆主要来源它的高收益。DeFi又被称为“去中心化金融”,开放式金融基础,则是高达8%-10%收益率必然会伴随巨大风险。各方DeFi团队开发自己合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格安全审计,这就导致各种合约漏洞与相关安全问题层出不穷,此次事件项目方就应该进行重入防护:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合约状态变量,再进行外部调用。任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。[2020/4/30]
动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商(VASP)监测交易风险、执行反合规程序,帮助监管部门监督VASP合规流程执行情况,帮助执法部门快速收集虚拟资产犯罪案件证据,为受害者提供技术协助,成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务,受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后,可在网站提交相关信息,平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统,采集链上交易数据,分析加密货币犯罪和安全事件,结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。