前不久,猎豹区块链中心盘点了9、10月的区块链安全事件,在9月和10月,黑客的攻击主要集中在EOS和交易所。而在11月的安全事件中,这两类攻击暂时消停,但2个月未见的51%攻击却再现江湖;钢铁侠马斯克“被”卷入了Twitter案;另外,我们还发现了潜在的代码共享的漏洞危机......2018年11月13日:Twitter
损失规模:32,700美元
事件经过及安全分析
11月12日,黑客入侵了电影制作公司、国会议员甚至是哥伦比亚交通部等经过认证的“蓝V”推特账号,通过修改名字、头像并上传新内容,假装是特斯拉CEO马斯克本人。黑客在推文中以马斯克的口吻称,自己将离任特斯拉董事长职务,并送出10000枚比特币(近6000多万美元)回报大家。而参与活动的前提,则是需要先转小额比特币(0.1-3个)到制定的地址来确认账户信息。他们甚至找了托给推文评论:“我刚转了2.7个比特币,现在收到了54个!”、“我发了0.50比特币并拿回了5个”、“+25BTC,谢谢你”在推文删除之前,点赞和转发都已上万,钱包地址则已经收到超过32,700美元价值的比特币。在同一天,GoogleGSuit也发出了类似的消息,要求用户在0.1到2之间发送BTC,并承诺能获得10倍的BTC回报,幸运的是,没有人将BTC发送到那个地址。安全小豹的想法:
甘道智能发布5G+区块链及Cat.1+区块链模组:金色财经报道,近日,甘道智能联合无线通信模组及解决方案提供商美格智能共同发布了两款区块链模组:物链1号—5G版SRM815BC模组(5G+区块链),及物链1号—Cat.1版SLM320BC模组(Cat.1+区块链)。这两款模组集成了国产、安全、自主、可控的Hyperchain区块链核心技术,同时采用了TrustZone芯片级安全架构,对于满足不同业务场景的个性化需求,尤其是对数据安全性有较高要求的场景,提供了更具有针对性的解决方案。[2020/8/10]
这种方式并不能成为一种攻击手段,我更愿意把它称之为局,黑客充分利用和放大了人性的贪婪,浮躁和急功近利的丑陋真相在这种简单的诱惑面前展现的一览无遗。上个月是美国的安全月,我认为每个入行区块链的人都应该好好的学习一下基本的网络知识。但更重要的事,是在浮躁的币圈里保持清醒的头脑,不要再诱惑面前失去基本的智商。2018年11月13日:AurumCoin遭受51%攻击
动态 | Willis Lease Finance Corporation与合作伙伴启动MRO区块链联盟:Willis Lease Finance Corporation和主要行业合作伙伴启动了MRO区块链联盟,据称这是航空业首次针对使用区块链追踪、跟踪和记录飞机部件展开全行业调查。到目前为止,联盟成员包括博洛雷物流、国泰航空、FLYdocs、HAECO Group、Ramco Systems、赛峰集团、SITA和Willis Lease Finance Corporation。(Bernama)[2020/2/5]
事件背景:
AurumCoin是以黄金为价值支撑的加密货币,每个代币都与纯24K价值的黄金挂钩。AurumCoin声称,每发行一个代币,就会在全球安全保险库中存0.75克的黄金。自2014年以来,它一直在运行自己的区块链,其中AU是可开采的,硬币上限为300,000。损失规模:550,000美元
行情 | 在美上市区块链中概股涨跌各异:今日美股收盘,在美上市区块链中概股涨跌各异。嘉楠科技收涨5.15%,人人网收跌3.66%,中网载线收跌5.19%,寺库收涨4.54%,迅雷收涨1.67%,猎豹移动收跌0.27%,兰亭集势收涨3.88%。[2020/1/9]
事件经过及安全分析
11月13日,AurumCoin在新西兰数字货币交易所Cryptopia遭到51%攻击,损失的15752.26AUAurumCoin官方发推表示:“我们并非责怪cryptopia,但是事实是,币确实是在cryptopia的钱包里丢的。”AurumCoin的态度是,坚持认为Cryptopia交易所被黑导致自己遭受51%攻击。然而,笔者认为可能性不大。AurumCoin是一个拥有少量矿工的公链,因此平均哈希率较低,租用矿机并执行51%的攻击是很容易的。安全小豹的看法:
动态 | 俄罗斯莫斯科大学学生会计划在6月份试行区块链电子投票:据Cointelegraph消息,莫斯科当局正计划在2019年6月下旬的大学学生会选举中试行基于区块链的电子投票,建立该市市长选举可能下一步适用的方法。该项目将在莫斯科信息技术部(DIT)和莫斯科市选举委员会(Mosgorizbirkom)的支持下进行测试。DIT副主管Artem Kostyrko透露,试点项目的技术规格将于5月中旬提交Mosgorizbirkom审批;一旦必要的立法获得通过,委员会批准规范,DIT将公开启动该项目。 莫斯科市议会今年2月首次提交一项在电子投票系统中使用区块链的法案。4月下旬,俄罗斯国家杜马一读通过法案,允许莫斯科市杜马在9月8日的选举中进行此类电子投票。莫斯科市杜马计划用分布式分类账技术(DLT)保护电子投票的过程和结果。[2019/5/7]
使用POW共识算法的公链,如果参与挖矿的算力不足,遭到51%的攻击的风险非常大的。在整体市场低迷的行情下,甚至有人坦言,曾经租用矿机执行过51%攻击。所以,在此提醒广大用户,在选择和使用这类加密货币时,应该意识到这些风险。各家公链51%攻击的成本2018年10月29日——MapleChange交易所被盗
食品巨头嘉吉公司开展区块链跟踪试验:美国农业巨头嘉吉公司(Cargill)正在测试一个区块链平台,以追踪火鸡产品的来源。根据声明,在今年的感恩节庆祝活动开始之前,嘉吉的Honeysuckle White品牌将会利用这一技术,让消费者找到有关火鸡的信息,包括它们在哪里饲养的照片,以及农民自己的评论。当顾客购买火鸡时,包装上的标签将印有一段代码,顾客可以在Honeysuckle White网站上输入这一代码,查验具体信息。该公司还表示,被追踪来源的火鸡将主要在德克萨斯州出售。[2017/12/3]
事件背景
MapleChange是加拿大交易量非常小的交易所。损失规模:600万美元
事件经过及安全分析
10月29日,媒体宣称,MapleChange被黑客攻击,致使919个比特币被盗。10月30日以来,MapleChange关闭社交媒体账户和平台,导致用户没有办法提币接着,MapleChange创始人也失去下落,但是后来,社区成员找到了CEO的家庭地址,并把他送入监狱。此后MapleChange交易所官方表示,并没有919个比特币被盗,被盗的比特币只有8个而已。知情人士称,此次攻击是由于开发人员将关键代码行被注释掉引发的安全小豹的看法:
虽然规模较大的数字货币交易所也有被攻击的风险,但是相对于小规模的交易来说,还是比较安全的。道理也很简单,只有当交易所有足够大的交易量,才能收到足够多的手续费,有了足够多的手续费,才有可能在安全建设和防护上投入更多。希望大家在进行交易所时,尽量选择规模较大的头部交易所交易,不要因为贪图小型交易所的小恩小惠,而造成不必要的损失。2018年10月29日——OysterProtocol
Oyster协议是IOTADLT之上的数据存储解决方案,在以太坊区块链ERC20的token为:Oyster。损失规模:$30万美元
事件经过及安全分析
10月29日下午,有关OysterPearltoken的大量转账和大规模抛售的报道在社交媒体渠道中发酵。原来,在不到8小时的时间里,PRL交易量从156,351美元飙升至1,577,860美元——涨幅超过900%。但是在同一时间,PRL的价格却下跌超过63%——从0.22美元降至0.08美元。Oyster官员发布声明称,Oyster智能合约已经通过了3次不同的审核,没有发现任何漏洞但在第二次声明中,他们却说,“某人”接管了合约的所有权,并成功地铸造了新的300万PRL代币经证实,这个“某人”实际上是Oyster项目的前联合创始人和架构师Oyster首席执行官表示:这简直太糟糕了,项目创始团队从最初招聘,到后来让每个人都参与其中,都从没怀疑他们会破坏自己一手创造的项目。安全小豹的看法:
俗话说的好,“日防夜防,家贼难防”,对代码最熟悉的人莫过于开发人员,反过来就是最容易攻击。小豹认为,区块链项目的创始人在招募早期的核心骨干时,应该在自己最信任的名单开始,而不是通过社会招聘或朋友介绍等渠道。同样,在招募员工时,应该把道德品质考虑进去。2018年10月31日——以太坊的潜在威胁
背景
10月31日,马里兰大学和东北大学的分析师发布报告称,由于ETH的智能合约缺乏多样性,以太坊的整个生态系统将存在很大的风险。安全分析
10月31日,马里兰大学和东北大学的分析师发布对以太坊的代码分析报告,并得到了美国国家科学基金会的支持。研究分析了以ETH的前500万个区块的智能合约的字节码。研究发现,目前,以太坊智能合约是其他公链合约总和的三倍。但是,超过60%的智能合约从未与用户有过互动,只有不到10%的的智能合约是独一无二的。安全小豹的看法:
小豹认为,“开源”是一把双刃剑,它是区块链蓬勃发展的助推剂、降低了行业的准入门槛,但不得不说,它也或多或少的阻碍了创新。小豹建议广大的区块链项目,在组建技术团队时,一定要配置至少一位安全专家,可以避免很多未来的风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。