2019年1月3日是一个特别的日子,全球的区块链从业者都在以“比特币十年”的特殊仪式,纪念比特币创世区块诞生十周年。十年风雨不由人,十年踪迹十年心。如果说过去七年,这是条少有人走的路的话,过去三年尤其是刚刚过去的2018年,这条路街景开始变得亮丽且繁华。我们都不再孤独。在区块链生态的各个环节包括公链、智能合约、交易所、钱包、矿池、DApp等各个环节,都有了众多心怀“信仰”的建设者。安全公司就是其一。在这个生来便被认为安全和效率不可兼得的行业,安全事件注定会伴随生态发展始终,安全公司则成为记录这“如歌青春”的最忠诚守护者。根据区块链安全公司PeckShield和BCSEC的数据显示,2018全年区块链安全事故数量高达138起,造成的经济损失高达22.38亿美元。其中以太坊公链出现安全事故超54起,主要因为上半年智能合约和交易所安全事件的频发,比如:BEC美链遭黑客攻击一日便蒸发9亿美元,让大众认识到安全对于区块链的扼喉作用。另外EOS公链出现安全事故超49起,基本都是源于EOSDApp生态爆发引起的随机数攻击、交易回滚等攻击事件,不仅直接经济损失高达747,209个EOS,更让大众形成了EOS公链会囿于菠菜类游戏的认知。相较之下,过去一年BTC仅发生安全事件3起,危害相对较小,大的安全事件比如9月份的BTC超发漏洞,漏洞在造成危害前就得以修复,虚惊一场。PeckShield认为,目前整个区块链安全现状存在三大矛盾:1、攻击者强于建设者,表现在,大多智能合约在链上公开透明,处于“明处”且目前数字资产价值不菲,惩处机制还不完善,自然成了很多处于“暗处”的黑客首要攻击对象;2、图利还是做事难分辨,表现在,处于生态早期的野蛮生长期,智能合约开发者鱼龙混杂,存在一些空气项目、项目乃至卷款跑路的项目,给生态带来极大的信任破坏和透支,只有真正做事的项目安全防御、应急响应、危机善后上才会有正确的态度和应对方式,进而不断积累用户,扩大市场份额。3、区块链技术门槛高却亟需新鲜流量入场,表现在,当前整个区块链行业流量池不够大,普通小白用户进场在下载钱包、保存私钥、转账买卖等基础操作层面尚且有很大障碍,因而各类账号、操作层面的安全问题尚不能杜绝。如果把目前的区块链安全划分为非常安全、安全、令人堪忧、极度危险四个等级的话,现阶段区块链安全是令人堪忧的。PeckShield认为,区块链生态的主要威胁在于,智能合约和DApp生态有个逐步崛起完善的过程,前仆后继踊进了一大批参差不齐的从业者,他们可能会携带大量未知的问题入场,也加剧了安全对于区块链生态的迫切性,需要安全公司的持续护航以及分布在整个区块链生态各个环节的合作伙伴协同努力。事实证明,安全问题或许会伴随区块链生态壮大愈演愈烈,今年年初ETC遭遇的双花攻击事件、以及可致使EOS公链瘫痪或“稳赢”所有竞猜类DApp的“交易阻塞攻击"(CVE-2019-6199)等等。新年一系列重磅安全事件的来袭,在向我们敲响警钟,新的一年,安全问题同样不容忽视。为了让更多生态从业者认清当前行业安全现状,提升安全意识,并加以必要的安全防御举措。2019年01月25日,全球区块链数据与安全服务商PeckShield(派盾)联合多家媒体共同发布《2018年度区块链十大安全事件》。PeckShield综合实际经济损失、生态连带性威胁、社会传导性危害等各个层面的影响,从账号安全、底层公链、交易所和钱包、智能合约、DApp等多个重要生态环节整理了上百起安全事件。先由媒体合作伙伴提名选出20个候选安全事件,然后再联合12位媒体评审伙伴,共同评选出2018年度十大安全事件:
ApeCoin社区发起提案AIP-222,拟推出Web3流媒体平台:金色财经报道,ApeCoin社区今日发起提案AIP-222,旨在推出一个类似于YouTube或Twitch但支持代币门控的流媒体平台,同时还将融合Web3元素,允许内容创作者可以在其中保留他们的知识产权并从广告中获得更多收益,并且将APE作为平台的支付手段,确保广告商可以直接向创作者和社区付款。据悉,AIP-222投票窗口已经开启,当前赞成票比例为66.55%,投票结束时间为4月13日。[2023/4/7 13:50:28]
以下安全事件,仅以时间线进行先后排序:
YAM2.0智能合约已通过PeckShield安全审计:8月19日, 区块链安全公司PeckShield(派盾)正式宣布完成了对YAM2.0智能合约的安全审计。YAM 2.0将对YAM 1.0合约进行系统迁移工作,同时持币用户可以进行1:1的映射,为其挖矿产品的上线做必要准备工作。
PeckShield表示,经过数天的严密安全审计,我们发现YAMv2迁移合约的整体设计清晰,逻辑缜密,代码简练有效。
注:此前,备受关注的YAM1.0曾因一行代码漏洞,致使项目服务搁浅,并造成治理合约中的75万枚yCRV代币被永久锁定,而其项目代币YAM二级市场价格也在数分钟内跌落99%以上。[2020/8/19]
关于PeckShield:PeckShield是面向全球、业内顶尖的区块链数据与安全服务提供商。PeckShield对各大公链生态数据进行全面挖掘和深入剖析,实时感知公链的运转动态并全方位地提炼多个维度的价值数据。通过及时发布行业趋势报告、敏锐监测生态安全风险、负责任地曝光0day漏洞,奠定了领先的科技创新力和广泛的行业影响力。商业与媒体合作(包括智能合约审计需求)。
动态 | PeckShield预警:黑客利用EOS系统帐号onerror特性恶意挖矿:今日下午,PeckShield安全盾风控平台DAppShield监测到黑客向系统合约发起连续攻击,劫持延迟交易执行失败时系统合约调用的onerror动作,进行恶意挖矿EIDOS,目前攻击仍在持续进行中。PeckShield安全人员分析发现,有黑客利用延迟交易执行失败时,系统合约 eosio 会调用用户合约的 onerror 接口的特性,在合约的 onerror 接口中嵌入恶意挖矿操作。与之前利用系统合约的短帐号竞拍功能挖矿相比,该攻击同样利用系统帐号拥有无限制的CPU资源的同时,成本更低。因此,该攻击的蔓延会进一步加剧EOS网络的拥堵状况。[2019/11/12]
声音 | PeckShield:P网累计接收超1亿枚比特币为计算错误,实际仅为300余万:针对Poloniex交易所一个钱包地址累计接收超过1亿枚比特币的消息,PeckShield研究人员分析发现,此数据来源于Blockchair,并非BTC官方浏览器,且存在统计错误。17A16QmavnUfCW11DAApiJxp7ARnxN5pGX地址实际累积接收的BTC应为3,279,378枚,之所以造成计算误差,PeckShield分析原因可能为,Blockchair在计算一个地址接收BTC数额时没有过滤找零的情况:比方该地址实际接收仅0.2枚BTC,找零6.09枚BTC,总接收额度却被夸大统计为0.2+6.09枚,这并不符合比特币UTXO交易的统计逻辑。[2019/10/23]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。