在区块链行业,安全问题是最根本的问题,相信你一定听过“1行代码损失几十亿”、“干了一年被黑客一夜搞走”等言论,因为区块链发展还处于早期,加上一旦上链就不可篡改等特性,让它成为了黑客攻击的重灾区。猎豹区块链安全将在本月开始,对区块链行业发生的安全事件进行盘点,旨在帮助大家认识区块链的安全问题,以此推动行业向前发展。2018年9月9日——DEOSgames
事件背景
DEOSGames是一个运行在EOS区块链之上的去中心的类游戏应用平台,9月9日,一位名为RunningSnail的DEOSGames用户进行了一次看起来相当成功的下注,用1000美元支付了数十次,存入10个EOS,然后在30秒后赢得头奖。损失规模:价值约24,000美元的EOS攻击媒介:智能合约漏洞事件经过及安全分析
◆DEOS在刚刚创建不到一小时的时间里,就向EOS帐户进行了24笔转账,而且,这些账户都是该合约在不到一天之内创建的,根据EOS的交易记录,每次恶意账户存入10个EOS时,它收到的DEOSGames合约金额约为20倍。换句话说,黑客利用了该游戏的某个漏洞,每次都能够赢得头奖,此次攻击的整体收益约为成本的20倍◆DEOSGames官方在推文中发表看法,“这是一个很好的压力测试,我们的项目在合约层面得到了显著改善。”◆目前尚不清楚黑客利用了DEOSGames合约中的哪个漏洞,或者EOS内核中是否存在其他漏洞安全小豹的看法
巴西金融科技公司CloudWalk完成1.5亿美元融资,将推出区块链:金色财经消息,为中小型企业提供支付解决方案的巴西金融科技公司CloudWalk宣布在新一轮投资中筹集了1.5亿美元,市场估值达到21.5亿美元。该公司还宣布将推出自己的区块链。
这家公司还称,已有超过13万用户在使用巴西数字稳定币BRLC,启动区块链是朝着金融服务的去中心化迈出的又一步。[2022/6/28 1:35:17]
◆发生该攻击事件之后,DEOSGames团队的反应令人费解,他们没有对社区声明自己是如何监控黑客攻击的,按照常识,一个简单的监控脚本就可以检测到这种异常现象。◆我们假设DEOS游戏是有这样的检测工具的,那么此次攻击的深层次原因就值得深究了,不排除团队坐庄割韭菜的嫌疑。◆目前,此类游戏风险太高,建议广大用户理性投资,谨慎选择。2018年9月18日——NewDexNewDex是全球首家基于EOS区块链的去中心化交易所,8月8上线,号称能够完美支持平台性能,交易速度媲美中心化交易所,且不接触用户私钥,导入钱包即交易,以此保障资产安全。但是在上线后一个多月后,就遭遇EOS刷假币事件,通过这起事件,外界开始质疑NewDex是否是真正的去中心化交易所。损失规模:58,000美元事件经过及安全分析
◆恶意帐户EOS账户“oo1122334455”于2018年9月1414:01:45发行10亿个假EOS,并全额分配给dapphub12345账户。◆随即由dapphub12345转入iambillgates账户,iambillgates账户于14:21:37尝试性的多次用1个假EOS挂单委托买入IPOS和ADD,并且成功以假EOS买入IPOS和ADD。成功买入BLACK、IQ、ADD后,iambillgates账户立刻将非法获得的Token转入xx1234512345与x12345x12345账户,最终由xx1234512345在Newdex中挂市价单卖出部分非法获得的Token,共计卖得4028个真实的EOS◆然后,真的EOS本地货币被发送到Bitfinex与其他加密货币进行交易◆此次假EOS刷币事件共给Newdex用户造成11803个EOS的损失,NewDex团队为此事件道歉,本着负责任的态度决定承担此次全部损失,并且也已经在第一时间修复相关问题并恢复正常运营。◆对NewDex基础设施的进一步调查显示,Newdex没有使用智能合约来验证用户发送的token安全小豹的看法
共为2020区块链应用·创新大会(深圳)今日开幕:由金色财经主办、币核科技冠名赞助的“共为2020 区块链应用·创新大会”今日开幕!本次大会将于深圳华侨城洲际酒店举行,以“区块链应用创新”为主题,围绕区块链的应用落地、技术前沿、行业趋势和热点问题进行探讨,赋能区块链生态创新。
大会持续6月21日全天,设置主题演讲、圆桌对话等环节,就行业洞察、破局、创新、抢滩四个阶段的10个热点话题进行深入探讨,与此同时,展会汇聚众多企业。叩问区块链的未来,行业对区块链下一个十年的憧憬,所想听到的区块链声音,所期待的区块链顶尖项目及应用展示,都在这里。[2020/6/21]
◆这起事件中,黑客用EOS原生货币来交易假的代币,导致NewDex系统中EOS严重贬值◆之所以黑客能够得手,是因为NewDex没有通过其智能合约验证token的事实性,因此我们可以得出结论:本质上看,NewDex只是处理用户交易时使用的帐户订单的中心化场外交易所,并不是像他自己宣称的一样,是一家去中心的交易所!◆种种迹象表明一个事实:NewDex在冒充自己是一家去中心化的交易所。他们只是在他们的中央服务器上进行交易匹配,在处理交易时系统甚至没有检查存入的token真实性。◆在这里,我们建议大家,在选择数字货币交易所交易时,需要进行详细的尽职调查,而不要媒体宣传所蛊惑,最好能够在客观中立的第三方评级机构查看他们的相关信息。2018年9月19日——Zaif交易所被盗事件
iQSTEL宣布即将推出其区块链手机号码管理平台测试版:电信技术服务提供商iQSTEL及其最近收购的子公司ItsBchain宣布,其基于区块链的手机号码可移植性和管理平台的测试版即将推出。(Globe Newswire)[2020/3/25]
事件背景:
2018年9月19日,总部位于大阪的TechBureauCorp.旗下的Zaif交易所发生了比特币、萌奈币(MonaCoin)和比特币现金被盗事件,被盗总额为价值6,000万美元的数字货币,其中约有22亿日元(约合1,960万美元)的被盗加密货币属于该交易所,其余的是客户资金。损失规模:6000万美元被盗取的数字货币:比特币、比特币现金和MonaCoin事件经过及安全分析
◆2018年9月14日之后,zaif交易所关闭了用户的存取款服务。◆根据Zaif交易所的说法,关闭该服务的原因是在9月14日17:00至19:00之间,发现有人非法入侵了其热钱包◆经核实,该黑客的非法行为导致了5,900美元价值的BTC、比特币现金和萌奈币损失◆Zaif在公告上没有公布被攻击的细节,它寻求了日本当局帮助调查此次被盗案◆事实证明,在此攻击行为发生前,日本金融厅分别于3月8日和6月22日,向zaif发出过关于其内部管理系统和安全措施的预警。◆被盗事件发生后第一时间,日本金融厅向Zaif母公司TechBureau发出了今年的第三份业务改善令。但是Zaif交易所没有对FSA的建议做出任何行动◆根据扎伊夫对当局的透露,事件的起因居然是交易所一名员工的电脑被黑◆11月22日,Zaif交易所把虚拟货币的相关业务转移至FISCO集团,Fisco集团将接管Zaif并赔付用户此次被盗的资金。◆需要强调的一点是,这起事件是加密货币历史上损失最大的安全事件之一安全小豹的看法
动态 | 三家法国银行加入基于R3 Corda区块链的贷款平台:据Cointelegraph报道,英国金融软件公司Finastra 5月14日宣布,三家法国的全球性银行已加入其基于R3 Corda区块链的贷款平台Fusion LenderComm,包括法国巴黎银行(BNP Paribas)、法国国家贸易银行(Natixis)和法国兴业银行(Societe Generale)。[2019/5/15]
◆根据种种迹象表面,该事件的起因很可能是Zaif员工的计算机被黑客成功利用钓鱼网站的方式攻击了◆对于数字货币交易所来说,犯这种低级错误是不非常不应该的。◆我们认为,该事件对广大数字货币交易所敲响了警钟,安全意识是数字货币交易所的根基,每家交易所都应在新员工入职工作之前,进行必要的网络安全培训。其他相似的攻击事件
2017年7月,在Bithumbhack也使用了相同的方法,数百万美元的加密货币被盗,并且导致客户数据被泄露SpankChain事件背景
SpankChain是一个基于以太坊公链的成人娱乐区块链项目。团队于10月9日在博客上表示,上周六遭受到黑客攻击,损失了165.38ETH(当时价值约3.8万美元)。另有价值4000美元的BOOTY币遭到冻结。损失规模:超过40,000美元攻击方式:通过智能合约的重入漏洞事件经过及安全分析
◆此次黑客攻击利用到是SpankChain智能合约中的重入漏洞,该漏洞类似于著名到TheDAO事件中的漏洞◆技术团队发现合约被黑客入侵是在攻击发生后的24小时,SpankChain团队第一时间关闭了自己的官网◆攻击发生后,该公司表示,他们会为ETH的airdrop工作,来偿还那些在攻击中损失资金的用户◆10月12日,黑客竟然主动联系了SpankChain的首席执行官,将165.38ETH退还给该团队,另外黑客还帮助SpankChain恢复了因攻击而被冻结的大约4000个BOOTY代币。作为回报,SpankChain团队给了该黑客一些奖励。◆SpankChain曾公开表示,他们进行没有给智能合约对已经发生过的安全漏洞进行审计,认为审计费用“非常昂贵”。安全小豹的看法
动态 | 中船物流与上海银行合作 运用区块链等技术搭建供应链线上系统平台:据财联社消息,3月27日,中船集团成套物流有限公司与上海银行股份有限公司签署供应链服务战略合作协议。根据协议,中船物流与上海银行将合资组建供应链科技服务平台公司,运用大数据、云计算、物联网、区块链等新技术,搭建线上系统平台,实践“供应链+区块链”新业态;上海银行将对平台上注册的中小企业提供20亿元专项授信额度。[2019/3/29]
◆SpankChain区块链社区对该事件的反应比较激烈,原因很可能是难以接受被黑客利用著名的重入漏洞进行攻击。◆重入其实就是递归,就是对于一个函数的循环调用和对自身的循环调用,针对重入漏洞最根本的解决方案还是在转账之前就把所有应该变更的状态提前更新,而不是在转账之后再进行更新。◆在这里,再次提醒大家,区块链行业里安全审计的重要性。在上链前,只需投入很少的费用,对智能合约进行安全审计,就可以很好的避免这种事情。◆在区块链里,没有删除和修改的概念,一旦合约部署到公链,就无法篡改,全球数以万计的黑客可以慢慢的,一行一行的找上面的漏洞。对于区块链行业来说,安全审计是必不可少的流程。◆庆幸的是,当时黑客返回了价值数百万美元的Ether。目前还不清楚黑客为何会归还被盗资金,这对受害者来说可能是一种安慰,但是这种事情不常有。但这也不是第一次发生,在CoinDashICO的事件中也曾经出现过黑客归还被盗资金的事情。◆希望这次事件过后,项目方、交易所都能够警醒,认识到安全审计的重要性。猎豹区块链安全中心提供相应的审计服务,详情请访问:safe.cmcm.com其他相似的攻击事件
DAOHack——以太坊区块链历史上最臭名昭着的事件之一,引起以太坊区块链的硬分叉,分裂成以太坊和以太坊的经典的事件。EOSBetEOSBet是EOS上的游戏平台,分别在9月14日和10月15日遭受了两次黑客的攻击,损失分别为44427.4302个EOS和138,319.7995EOS。损失规模:200,000美元+338,000美元攻击方式:利用智能合约中的漏洞事件经过及安全分析
第一次黑客攻击:◆9月14日,EOSBet遭到黑客攻击,EOSBet团队官方宣称:这个攻击并不简单,我们正在进行取证,并将所发生的事情拼凑在一起,来寻找蛛丝马迹◆根据TheNextWeb的分析,“黑客的攻击方式是使用假哈希在外部调用'传输'功能”◆攻击发生后,一个与EOSBet官方帐户名称非常相似的EOS帐户,向攻击者的地址发送了少量EOS,并且附带一个要求对方退回被盗资金的消息,声称如果不退回,他们将雇用一个律师团队追捕并起诉攻击者。◆9月16日,EOSBet重新上线,并且官方发布了关于黑客攻击的详细报告,承诺他们的合约已经修补了全部漏洞,目前是非常安全的第二次攻击:◆一个月后,黑客利用EOSBet合约在检验收款方时存在的漏洞,伪造转账通知,总计从eosbetdice11获利138,319.7995EOS。◆其中72,150EOS流入了Bitfinex,65,100EOS流入了Poloniex。根据EOS当前行情价格37元估算,EOSBet平台此次损失额超500万元。◆该公司报告称,他们正与这两家交易所谈收回资金的事情安全小豹的看法◆EOS的智能合约发展相对ETH来说还比较早期,频频发生的安全事件对这个新生儿来说是不可承受之痛结语9、10两个月的安全大事件主要集中在EOS的智能合约漏洞和交易所相关的漏洞,损失的金额可以说是非常高。但是在这些事件中,有很多是完全可以避免的,之所以频频发生安全事件,很大程度上是因为我们的安全意识还太过于薄弱。安全事件的频发,加上行业的暴跌,不断打击着区块链参与者的信心,但是不妨我们换个视角,放眼整个行业的发展来看,如果行业的参与者能够从这些巨额损失的安全事件中获得警醒,汲取过往的教训,更加注重安全方面的建设,相信这对于茁壮发展的区块链行业来说是非常利好的。猎豹区块链安全以金山霸的技术为依托,结合人工智能、nlp等技术,为区块链用户提供合约审计、情感分析等生态安全服务,旗下产品Ratingtoken是专注于数字货币和ICO评级和排?行行的区块链评级机构。了解更多请访问:Ratingtoken官网
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。