在区块链行业,安全问题是最根本的问题,相信你一定听过“1行代码损失几十亿”、“干了一年被黑客一夜搞走”等言论,因为区块链发展还处于早期,加上一旦上链就不可篡改等特性,让它成为了黑客攻击的重灾区。猎豹区块链安全将在本月开始,对区块链行业发生的安全事件进行盘点,旨在帮助大家认识区块链的安全问题,以此推动行业向前发展。2018年9月9日——DEOSgames
事件背景
DEOSGames是一个运行在EOS区块链之上的去中心的类游戏应用平台,9月9日,一位名为RunningSnail的DEOSGames用户进行了一次看起来相当成功的下注,用1000美元支付了数十次,存入10个EOS,然后在30秒后赢得头奖。损失规模:价值约24,000美元的EOS攻击媒介:智能合约漏洞事件经过及安全分析
◆DEOS在刚刚创建不到一小时的时间里,就向EOS帐户进行了24笔转账,而且,这些账户都是该合约在不到一天之内创建的,根据EOS的交易记录,每次恶意账户存入10个EOS时,它收到的DEOSGames合约金额约为20倍。换句话说,黑客利用了该游戏的某个漏洞,每次都能够赢得头奖,此次攻击的整体收益约为成本的20倍◆DEOSGames官方在推文中发表看法,“这是一个很好的压力测试,我们的项目在合约层面得到了显著改善。”◆目前尚不清楚黑客利用了DEOSGames合约中的哪个漏洞,或者EOS内核中是否存在其他漏洞安全小豹的看法
Zebec协议在Solana区块链上启动并筹集550万美元:金色财经报道,为员工提供实时加密货币支付的Zebec协议宣布,已在Solana区块链上启动,并筹集了由Republic Capital共同领导的550万美元融资。其首个应用程序Zebec Payroll允许员工以USDC或其他稳定币获得工资的立即支付。本轮融资由Republic Capital、Shima Capital和Breyer Capital领投,Launchpad Capital、Meltem Demirors、Resolute Ventures、Infinity Ventures Crypto和Joe McCann跟投。[2021/11/11 6:45:10]
◆发生该攻击事件之后,DEOSGames团队的反应令人费解,他们没有对社区声明自己是如何监控黑客攻击的,按照常识,一个简单的监控脚本就可以检测到这种异常现象。◆我们假设DEOS游戏是有这样的检测工具的,那么此次攻击的深层次原因就值得深究了,不排除团队坐庄割韭菜的嫌疑。◆目前,此类游戏风险太高,建议广大用户理性投资,谨慎选择。2018年9月18日——NewDexNewDex是全球首家基于EOS区块链的去中心化交易所,8月8上线,号称能够完美支持平台性能,交易速度媲美中心化交易所,且不接触用户私钥,导入钱包即交易,以此保障资产安全。但是在上线后一个多月后,就遭遇EOS刷假币事件,通过这起事件,外界开始质疑NewDex是否是真正的去中心化交易所。损失规模:58,000美元事件经过及安全分析
Overstock将于5月19日为股东发放区块链股息:美国电子商务巨头Overstock计划在5月19日发放其推迟已久的“数字安全(digital security)”股东红利。4月27日,股东持有的每10股网络零售商股票将获得1股数字投票A-1系列优先股(OSTKO)。OSKTO是一种数字股息,可在tZERO的区块链平台上进行交易。(CoinTelegraph)[2020/4/8]
◆恶意帐户EOS账户“oo1122334455”于2018年9月1414:01:45发行10亿个假EOS,并全额分配给dapphub12345账户。◆随即由dapphub12345转入iambillgates账户,iambillgates账户于14:21:37尝试性的多次用1个假EOS挂单委托买入IPOS和ADD,并且成功以假EOS买入IPOS和ADD。成功买入BLACK、IQ、ADD后,iambillgates账户立刻将非法获得的Token转入xx1234512345与x12345x12345账户,最终由xx1234512345在Newdex中挂市价单卖出部分非法获得的Token,共计卖得4028个真实的EOS◆然后,真的EOS本地货币被发送到Bitfinex与其他加密货币进行交易◆此次假EOS刷币事件共给Newdex用户造成11803个EOS的损失,NewDex团队为此事件道歉,本着负责任的态度决定承担此次全部损失,并且也已经在第一时间修复相关问题并恢复正常运营。◆对NewDex基础设施的进一步调查显示,Newdex没有使用智能合约来验证用户发送的token安全小豹的看法
动态 | 360“安全大脑”结合区块链等新兴技术 获财经中国创新研发奖:据中新经纬消息,由中国新闻社旗下财经媒体中新经纬、中国产业发展促进会联合主办的“财经中国2019V峰会?致敬创新”16日在北京举行。会上,360“安全大脑”获得财经中国2019创新研发奖。据了解,“安全大脑”是一个分布式智能网络安全防御系统,它综合利用了人工智能、大数据、云计算、 IoT智能感知、区块链等新技术,保护国家、国防、关键基础设施、社会、城市及个人的网络安全。“安全大脑”由360集团董事长兼 CEO周鸿祎在2018年5月召开的第二届世界智能大会上首次提出,并在同月正式发布。[2019/1/17]
◆这起事件中,黑客用EOS原生货币来交易假的代币,导致NewDex系统中EOS严重贬值◆之所以黑客能够得手,是因为NewDex没有通过其智能合约验证token的事实性,因此我们可以得出结论:本质上看,NewDex只是处理用户交易时使用的帐户订单的中心化场外交易所,并不是像他自己宣称的一样,是一家去中心的交易所!◆种种迹象表明一个事实:NewDex在冒充自己是一家去中心化的交易所。他们只是在他们的中央服务器上进行交易匹配,在处理交易时系统甚至没有检查存入的token真实性。◆在这里,我们建议大家,在选择数字货币交易所交易时,需要进行详细的尽职调查,而不要媒体宣传所蛊惑,最好能够在客观中立的第三方评级机构查看他们的相关信息。2018年9月19日——Zaif交易所被盗事件
动态 | 区块链支付公司Nuggets与Devery合作开发区块链解决方案:据xbt.money消息,区块链支付和身份认证公司Nuggets宣布与区块链的开源产品验证公司 Devery建立战略合作伙伴关系。两家公司将合作开发基于区块链的解决方案,以提高效率并加强供应生态系统。[2018/10/10]
事件背景:
2018年9月19日,总部位于大阪的TechBureauCorp.旗下的Zaif交易所发生了比特币、萌奈币(MonaCoin)和比特币现金被盗事件,被盗总额为价值6,000万美元的数字货币,其中约有22亿日元(约合1,960万美元)的被盗加密货币属于该交易所,其余的是客户资金。损失规模:6000万美元被盗取的数字货币:比特币、比特币现金和MonaCoin事件经过及安全分析
◆2018年9月14日之后,zaif交易所关闭了用户的存取款服务。◆根据Zaif交易所的说法,关闭该服务的原因是在9月14日17:00至19:00之间,发现有人非法入侵了其热钱包◆经核实,该黑客的非法行为导致了5,900美元价值的BTC、比特币现金和萌奈币损失◆Zaif在公告上没有公布被攻击的细节,它寻求了日本当局帮助调查此次被盗案◆事实证明,在此攻击行为发生前,日本金融厅分别于3月8日和6月22日,向zaif发出过关于其内部管理系统和安全措施的预警。◆被盗事件发生后第一时间,日本金融厅向Zaif母公司TechBureau发出了今年的第三份业务改善令。但是Zaif交易所没有对FSA的建议做出任何行动◆根据扎伊夫对当局的透露,事件的起因居然是交易所一名员工的电脑被黑◆11月22日,Zaif交易所把虚拟货币的相关业务转移至FISCO集团,Fisco集团将接管Zaif并赔付用户此次被盗的资金。◆需要强调的一点是,这起事件是加密货币历史上损失最大的安全事件之一安全小豹的看法
信通院金键博士:应用场景过于局部和简单会导致对区块链价值的误判:中国信息通信研究院研究员、蓝石区块链实验室主任金键称,虽然很多人乐观认为区块链可以产生颠覆性效果,但是现实却是又有很多应用场景是在局部使用,比如现在有很多企业是为了区块链而区块链,只是简单的利用,这其实是发挥不了区块链真正价值的,对于提升效率或解决问题也不一定有帮助。[2018/2/28]
◆根据种种迹象表面,该事件的起因很可能是Zaif员工的计算机被黑客成功利用钓鱼网站的方式攻击了◆对于数字货币交易所来说,犯这种低级错误是不非常不应该的。◆我们认为,该事件对广大数字货币交易所敲响了警钟,安全意识是数字货币交易所的根基,每家交易所都应在新员工入职工作之前,进行必要的网络安全培训。其他相似的攻击事件
2017年7月,在Bithumbhack也使用了相同的方法,数百万美元的加密货币被盗,并且导致客户数据被泄露SpankChain事件背景
SpankChain是一个基于以太坊公链的成人娱乐区块链项目。团队于10月9日在博客上表示,上周六遭受到黑客攻击,损失了165.38ETH(当时价值约3.8万美元)。另有价值4000美元的BOOTY币遭到冻结。损失规模:超过40,000美元攻击方式:通过智能合约的重入漏洞事件经过及安全分析
◆此次黑客攻击利用到是SpankChain智能合约中的重入漏洞,该漏洞类似于著名到TheDAO事件中的漏洞◆技术团队发现合约被黑客入侵是在攻击发生后的24小时,SpankChain团队第一时间关闭了自己的官网◆攻击发生后,该公司表示,他们会为ETH的airdrop工作,来偿还那些在攻击中损失资金的用户◆10月12日,黑客竟然主动联系了SpankChain的首席执行官,将165.38ETH退还给该团队,另外黑客还帮助SpankChain恢复了因攻击而被冻结的大约4000个BOOTY代币。作为回报,SpankChain团队给了该黑客一些奖励。◆SpankChain曾公开表示,他们进行没有给智能合约对已经发生过的安全漏洞进行审计,认为审计费用“非常昂贵”。安全小豹的看法
◆SpankChain区块链社区对该事件的反应比较激烈,原因很可能是难以接受被黑客利用著名的重入漏洞进行攻击。◆重入其实就是递归,就是对于一个函数的循环调用和对自身的循环调用,针对重入漏洞最根本的解决方案还是在转账之前就把所有应该变更的状态提前更新,而不是在转账之后再进行更新。◆在这里,再次提醒大家,区块链行业里安全审计的重要性。在上链前,只需投入很少的费用,对智能合约进行安全审计,就可以很好的避免这种事情。◆在区块链里,没有删除和修改的概念,一旦合约部署到公链,就无法篡改,全球数以万计的黑客可以慢慢的,一行一行的找上面的漏洞。对于区块链行业来说,安全审计是必不可少的流程。◆庆幸的是,当时黑客返回了价值数百万美元的Ether。目前还不清楚黑客为何会归还被盗资金,这对受害者来说可能是一种安慰,但是这种事情不常有。但这也不是第一次发生,在CoinDashICO的事件中也曾经出现过黑客归还被盗资金的事情。◆希望这次事件过后,项目方、交易所都能够警醒,认识到安全审计的重要性。猎豹区块链安全中心提供相应的审计服务,详情请访问:safe.cmcm.com其他相似的攻击事件
DAOHack——以太坊区块链历史上最臭名昭着的事件之一,引起以太坊区块链的硬分叉,分裂成以太坊和以太坊的经典的事件。EOSBetEOSBet是EOS上的游戏平台,分别在9月14日和10月15日遭受了两次黑客的攻击,损失分别为44427.4302个EOS和138,319.7995EOS。损失规模:200,000美元+338,000美元攻击方式:利用智能合约中的漏洞事件经过及安全分析
第一次黑客攻击:◆9月14日,EOSBet遭到黑客攻击,EOSBet团队官方宣称:这个攻击并不简单,我们正在进行取证,并将所发生的事情拼凑在一起,来寻找蛛丝马迹◆根据TheNextWeb的分析,“黑客的攻击方式是使用假哈希在外部调用'传输'功能”◆攻击发生后,一个与EOSBet官方帐户名称非常相似的EOS帐户,向攻击者的地址发送了少量EOS,并且附带一个要求对方退回被盗资金的消息,声称如果不退回,他们将雇用一个律师团队追捕并起诉攻击者。◆9月16日,EOSBet重新上线,并且官方发布了关于黑客攻击的详细报告,承诺他们的合约已经修补了全部漏洞,目前是非常安全的第二次攻击:◆一个月后,黑客利用EOSBet合约在检验收款方时存在的漏洞,伪造转账通知,总计从eosbetdice11获利138,319.7995EOS。◆其中72,150EOS流入了Bitfinex,65,100EOS流入了Poloniex。根据EOS当前行情价格37元估算,EOSBet平台此次损失额超500万元。◆该公司报告称,他们正与这两家交易所谈收回资金的事情安全小豹的看法◆EOS的智能合约发展相对ETH来说还比较早期,频频发生的安全事件对这个新生儿来说是不可承受之痛结语9、10两个月的安全大事件主要集中在EOS的智能合约漏洞和交易所相关的漏洞,损失的金额可以说是非常高。但是在这些事件中,有很多是完全可以避免的,之所以频频发生安全事件,很大程度上是因为我们的安全意识还太过于薄弱。安全事件的频发,加上行业的暴跌,不断打击着区块链参与者的信心,但是不妨我们换个视角,放眼整个行业的发展来看,如果行业的参与者能够从这些巨额损失的安全事件中获得警醒,汲取过往的教训,更加注重安全方面的建设,相信这对于茁壮发展的区块链行业来说是非常利好的。猎豹区块链安全以金山霸的技术为依托,结合人工智能、nlp等技术,为区块链用户提供合约审计、情感分析等生态安全服务,旗下产品Ratingtoken是专注于数字货币和ICO评级和排?行行的区块链评级机构。了解更多请访问:Ratingtoken官网
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。