事件
黑客勒索及其他攻擊
傳統的勒索軟件攻擊以及通過系統漏洞遠程控制受害者系統的攻擊,是7月至今發生的黑客勒索攻擊事件中的主要攻擊方式。
此類攻擊行為,攻擊者不需要了解熟悉區塊鏈的知識和技術細節就可以完成攻擊,尤其是twitter攻擊(利用了社會工程的方法),其攻擊者是三名青少年,其中最大年齡僅有22歲,這起事件在7月以來的安全事件中較典型的一例,產生的影響范圍極廣。
①
7月2日,MongoDB遭受到攻擊,約22900個數據庫被清空,攻擊者要求以BTC作為贖金贖回被清空數據庫的備份。
②
LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]
7月11日, Cashaa交易所發生交易異常,攻擊者通過控制受害者電腦,操作受害者在Blockchain.info上的比特幣錢包,向攻擊者賬戶轉移約合9800美元的BTC。
首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道,今日,中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。
區塊鏈技術及軟件安全實戰基地主要涉及領域為:非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等,聯合社會治理、城市安全、前沿技術領域的行業專家,進行警協合作。
據公開報道,近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案,打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙,抓獲犯罪嫌疑人83名,扣押凍結涉案資金2700萬元。[2020/7/21]
③
首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]
7月15日, twitter遭受社會工程攻擊,員工管理賬號被盜,造成多個組織和個人的推特上發布欺詐信息,誘使受害者向攻擊者比特幣賬戶轉賬。
④
7月22日,約克大學信息被盜取,攻擊者要求約合114萬美金的BTC作為贖金。
IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]
⑤
7月23日,英國足球聯盟信息被盜取,攻擊者要求BTC作為贖金。
⑥
7月25日,西班牙鐵路基礎建設管理局約800gb信息被盜,攻擊者要求BTC作為贖金。
⑦
7月30日,佳能遭受到黑客攻擊,約10tb照片和其他類型數據被盜,用戶要求以數字貨幣作為贖金。
⑧
7月31日,數字貨幣交易所2gether遭受到黑客攻擊,約139萬美金的BTC被盜。
代碼漏洞攻擊
對于代碼漏洞攻擊相關事件,攻擊者則必須要理解區塊鏈51%攻擊并且能夠找到可以利用的條件(租用龐大的算力)來完成攻擊,并且需要對智能合約的技術有深刻的了解,找到其中的邏輯漏洞并加以利用。
⑨
8月4日,DeFi項目Opyn被攻擊者通過代碼漏洞,獲得數目等于存入數目兩倍的代幣,最終造成了約37萬美金的損失。
攻擊類型及危險
攻擊事件類型及危險程序:
勒索及其他攻擊——攻擊的方法和媒介如下:
代碼漏洞攻擊:——攻擊的方法和媒介如下:
因勒索攻擊門檻低,攻擊方式大同小異,因此可供分析程度有限,下文將為大家具體分析第9號代碼漏洞攻擊事件。
代碼漏洞攻擊事件分析
第9號事件
此次事件發生于DeFi項目Opyn中,攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。
攻擊者在向智能合約中發送某一數量的ETH時候,智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致,并沒有動態的檢查攻擊者發送的ETH數量是否在每一次交易之后,仍舊等于完成該次期貨買賣所需要的數量。
也就是說,攻擊者可以用一筆ETH進行抵押,并再贖回兩次交易,最終獲得自身發送數量兩倍的ETH。
CertiK安全研究團隊認為,Opyn沒有對其更新完成后的智能合約再次進行嚴謹的安全審計驗證就直接進行部署運行,從而造成了其智能合約中的程序代碼漏洞沒有被及時發現,是此次事件發生的主要原因。
總結
在此,CertiK安全團隊建議如下:
做好區塊鏈項目運行的硬件以及平臺軟件的安全漏洞篩查,在日常工作中關注培養員工對于黑客攻擊常見手段的認識和防御意識。
做好對區塊鏈運營中可能出現的某方占有超過全區塊鏈一半總算力的“支配”情況,對于特定區塊鏈項目中的防護,可以考慮采用提高交易確認必須次數或者優化共識算法。
做好對區塊鏈項目中鏈代碼和智能合約代碼的驗證審計工作,邀請多個獨立的外部安全審計服務來審計代碼,并在每次更新代碼后進行重新審計。
我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000001%被攻擊的可能性
Tags:區塊鏈ETHBTCBOS區塊鏈技術不包括哪一項Ethernity ChainWrapped xBTCBOSS幣
美聯儲雖然目前沒有立即推出數字貨幣的計劃,不過波士頓聯邦儲備銀行安全支付小組助理副總裁Robert Bench認為,但這并不意味著美國不需要為此進行準備.
1900/1/1 0:00:00金色財經 區塊鏈7月30日訊 加密貨幣市場分析公司Messari在本周三(7月29日)發布了一套去中心化金融(DeFi)行業分析數據.
1900/1/1 0:00:00據火幣行情顯示,今日凌晨BTC再度拉升并持續上漲,上午最高觸及11386USDT,隨后進入整理回調,開啟下降通道.
1900/1/1 0:00:00金色財經聯合DappBirds獨家發布「DeFi Data」最新數據周榜。金色晨訊 | BCH網絡升級將增加兩項新功能,ETC就支持PoW發起提案:1、比特幣安全專家:比特幣和以太坊只有在完全失.
1900/1/1 0:00:00OASIS綠洲游戲平臺2.0版本,于2020年7月29日全新上線。本次的綠洲2.0經過精心策劃設計,由OASIS項目技術團隊原生開發。 除了全新的UI界面,全面提升用戶的體驗感.
1900/1/1 0:00:00文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00