CER:CertiK:7月加密领域相关黑客攻击事件总结

事件

黑客勒索及其他攻击传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是7月至今发生的黑客勒索攻击事件中的主要攻击方式。此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击,其攻击者是三名青少年,其中最大年龄仅有22岁,这起事件在7月以来的安全事件中较典型的一例,产生的影响范围极广。①7月2日,MongoDB遭受到攻击,约22900个数据库被清空,攻击者要求以BTC作为赎金赎回被清空数据库的备份。②7月11日,Cashaa交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移约合9800美元的BTC。③7月15日,twitter遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。④7月22日,约克大学信息被盗取,攻击者要求约合114万美金的BTC作为赎金。⑤7月23日,英国足球联盟信息被盗取,攻击者要求BTC作为赎金。⑥7月25日,西班牙铁路基础建设管理局约800gb信息被盗,攻击者要求BTC作为赎金。⑦7月30日,佳能遭受到黑客攻击,约10tb照片和其他类型数据被盗,用户要求以数字货币作为赎金。⑧7月31日,数字货币交易所2gether遭受到黑客攻击,约139万美金的BTC被盗。代码漏洞攻击对于代码漏洞攻击相关事件,攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。⑨8月4日,DeFi项目Opyn被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约37万美金的损失。攻击类型及危险

Arbitrum:“Sequencer资金用完”报道不实:金色财经报道,Arbitrum Sequencer(排序器)今日凌晨出现Bug,导致该网络批量提交交易的功能短暂中断,交易无法在主链上得到确认,目前问题已得到解决。Arbitrum Developer官推在社交媒体就相关问题进行了澄清,表示网络临时暂停只是为了完成交易排序,而Sequencer服务本身没有中断,有报道称Sequencer资金用完是不正确的。Arbitrum Developer官推进一步解释称,Arbitrum资金机制由两个钱包组成,分别是:“Sequencer”钱包和“gas-refunder”钱包,只有当Sequencer可以成功发布批次时才会被退款,Arbitrum网络没有就此故障向Sequencer退款,相关问题也不是因为Sequencer资金耗尽所致。[2023/6/8 21:23:34]

攻击事件类型及危险程序:

CertiK:ALG代币跌幅超过94%,需警惕风险:5月30日消息,CertiK Alert发推称,此前曾在5月17日提醒社区ALG代币暴跌超过99%。5月19日,新ALG代币被创建,今天的跌幅超过94%,CertiK提醒社区警惕风险。合约创建者地址为0xb428bf8b0b42d12f8ff38786ff6e226353709223。[2022/5/31 3:51:35]

Balancer计划参考veCRV推出veBAL Token经济模型:2月7日消息,去中心化交易平台 Balancer 计划参考 CRV 被锁定到 veCRV 中的机制设计,推出 veBAL Token 经济模型,主要包括 veBAL 和治理权、新的 BAL 通胀时间表、链上计量系统(用于确定流动性挖矿分布)等。其中 80/20 BAL/ETH 池的 BPT(Balancer 资金池的流动性代币凭证)将被锁定到 veBAL 中,任何人都可以将 80/20 BAL/ETH 池的 BPT 锁定 1 周到 1 年之间的任何时间段而获得对应的 veBAL,veBAL 可投票决定每个流动性池的奖励份额,且协议费收取者收取的协议收入的 75% 将分发给 veBAL 持有者。另外 25% 的费用将由 DAO 财务部门作为储备金保留。[2022/2/8 9:36:27]

勒索及其他攻击——攻击的方法和媒介如下:

Ocean Protocol与Balancer Labs合作将创建数据自动做市商:9月24日消息,基于区块链的数据货币化创业公司OceanProtocol宣布将与BalancerLabs合作,创建首个用于数据的自动做市商(AMM)。据悉,OceanProtocol旨在帮助个人和企业解锁数据并将其货币化,将数据和人工智能的好处扩展到少数囤积、控制并从中致富的组织之外。Ocean创始人TrentMcConaghy表示,创建高效的数据市场是实现这一目标的关键,因此与BalancerLabs达成合作。(CoinDesk)[2020/9/24]

代码漏洞攻击:——攻击的方法和媒介如下:

因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析第9号代码漏洞攻击事件。代码漏洞攻击事件分析

⑨第9号事件此次事件发生于DeFi项目Opyn中,攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。也就是说,攻击者可以用一笔ETH进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的ETH。CertiK安全研究团队认为,Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。总结

在此,CertiK安全团队建议如下:做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:723ms