據 PeckShield 態勢感知平臺資料顯示,過去一個月,整個區塊鏈生態共發生10起較為突出的安全事件,危害程度評級為「中級」,受損金額數千萬元,涉及數字錢包3起、DApp2起、智慧合約1起以及資金盤跑路、釣魚詐騙等等。
數字錢包
10月份共發生3起錢包安全事件,其中包含2起錢包私鑰被盜。
1)上海某投資機構冷錢包私鑰被盜,造成的損失達數千萬元;
2)去中心化託管平臺 Payfair 官方釋出宣告稱,由於駭客攻擊,平臺冷錢包的私鑰被破解;
3)網頁版加密貨幣錢包 Safuwallet 遭到駭客攻擊,駭客透過注入惡意程式碼竊取了大量資金。
PeckShield 點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網路連線的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,使用者也要謹防網路釣魚,惡意程式碼注入等攻擊方式。
DApp 生態
10月份共發生2起 DApp 安全事件,都發生在 EOS 生態內。
EOS 遊戲 BitDice 遭受假 EOS 攻擊,損失4千 EOS;SKReos 遊戲遭受交易 memo 攻擊,損失6千 EOS。其中 SKReos 之前已被多次報道遭受交易阻塞和隨機數攻擊。
具體來說,假 EOS 攻擊是被攻擊合約在接收到玩家投入的 EOS 時,沒有驗證是官方 eosio.token 合約簽發的,玩家可以自己建立同名為 EOS 的代幣,進而觸發被攻擊合約的 transfer 函式,獲得真正的 EOS 回報。而交易 memo 攻擊是指駭客透過精心構造投注交易的 memo,導致遊戲方伺服器解析異常,從而持續中獎或異常大額退款。
PeckShield 點評:以上兩款 EOS 遊戲遭受的攻擊都是比較常見的,DApp 開發者應在合約上線前做好安全測試,防禦已知的攻擊方式,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防禦部署。
智慧合約
10月份共發生1起智慧合約安全事件,相關漏洞導致其成為第一個進行硬分叉的區塊鏈遊戲。
10 月 14 日,Cheeze Wizards 在以太坊主網上線。不到24小時內,玩家 @samczsun 向官方反映,遊戲合約存在一個嚴重的漏洞,使用該漏洞可以讓玩家處於不敗之地。隨後 Cheeze Wizards 決定採用分叉的解決方案來保護使用者的權益。官方之後修復了此漏洞並部署了新的智慧合約,同時彌補了使用者遭受的損失。
如下圖,這一漏洞主要發生在智慧合約的 resolveTimedOutDuel(uint256,uint256) 方法中。
作為一款格鬥遊戲, Cheeze Wizards 允許玩家發起一個 “單邊揭示“ 的交易,當一位玩家已經揭示了招式,另一位玩家一直不揭示招式直到時間截止 (90 分鐘)時,正常玩家可以呼叫 resolveTimedOutDuel() 方法,以此來奪走不揭示招式玩家的能量。而問題的關鍵在於誰先呼叫並如何呼叫該方法。
玩家正常呼叫和惡意呼叫的例子如下。
正常呼叫:resolveTimedOutDuel(WIZARD-A,WIZARD-B)
惡意呼叫:resolveTimedOutDuel(WIZARD-A,WIZARD-A)
由於合約開發者預設為傳入的兩個 wizard id 不同,所以沒有進行相關效驗,而該方法是公開的,任何玩家都可以設定 wizard id,一個懷有惡意的玩家,透過傳入相同的 wizard id 以此來凍結誠實玩家的能量。
修復此漏洞的方法很簡單,只需要在方法體內加上如下判斷。
PeckShield 點評:智慧合約開發者在實現相關方法時,要特別注意公開介面的相關引數,應考慮各種異常情況,做好防禦限制。
跑路事件
10月份,經媒體報道多起資金盤專案涉及傳銷和詐騙,例如被立案調查的趣步,暫停維護的 ICC 等。
PeckShield 旗下的 CoinHolmes 推出的視覺化的數字資產追蹤服務也一直監控著跑路和被盜資產的異動情況。
其中 CoinHolmes 監測到 Cryptopia 部分被盜資產流入了 Uniswap 去中心化交易所和知名 DeFi 專案 Compound。資產流向示意圖如下:
鑑於資金盤跑路詐騙事件頻發, CoinHolmes 為廣大使用者提供了爆料入口,使用者可以透過(https://forms.coinholmes.com)提交關聯鏈上地址(可點選左下角閱讀原文進入),實時查詢數字資產流向情況。
PeckShield 點評:除了傳統中心化交易所,駭客也在不斷尋求新的洗錢方式,例如此次駭客轉移資金至 Compound, 主要目的是利用 DeFi 借貸平臺進行混淆資金洗錢,同時不排除“理財生息”的可能。除 DEX 之外,當前有著較好流通性的 DeFi 借貸平臺也成了駭客洗錢的新選擇。
釣魚攻擊等其他類安全事件
除上述之外,10月份還有一些安全事件同樣值得警惕:
1)Telegram 搬磚套利騙局八天內詐騙金額高達750枚 ETH;
2)MEET.ONE 提醒 EOS 使用者警惕 DApp 詐騙釣魚。
PeckShield 點評:因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、搬磚套利等各類事件就是典型。在此提醒,參與數字資產投資的使用者應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
