在區塊鏈行業,安全問題是最根本的問題,相信你一定聽過“1行程式碼損失幾十億”、“幹了一年被駭客一夜搞走”等言論,因為區塊鏈發展還處於早期,加上一旦上鍊就不可篡改等特性,讓它成為了駭客攻擊的重災區。
獵豹區塊鏈安全中心將在本月開始,對區塊鏈行業發生的安全事件進行盤點,旨在幫助大家認識區塊鏈的安全問題,以此推動行業向前發展。
2018年9月9日——DEOS games
事件背景
DEOS Games是一個執行在EOS區塊鏈之上的去中心的博彩類遊戲應用平臺,9月9日,一位名為RunningSnail的DEOSGames使用者進行了一次看起來相當成功的下注,用1000美元支付了數十次,存入10個EOS,然後在30秒後贏得頭獎。
損失規模:價值約24,000美元的EOS
攻擊媒介:智慧合約漏洞
事件經過及安全分析
◆ DEOS在剛剛建立不到一小時的時間裡,就向EOS帳戶進行了24筆轉賬,而且,這些賬戶都是該合約在不到一天之內建立的,根據EOS的交易記錄,每次惡意賬戶存入10個EOS時,它收到的DEOS Games合約金額約為20倍。換句話說,駭客利用了該賭博遊戲的某個漏洞,每次賭博都能夠贏得頭獎,此次攻擊的整體收益約為成本的20倍
◆ DEOS Games官方在推文中發表看法,“這是一個很好的壓力測試,我們的專案在合約層面得到了顯著改善。”
◆ 目前尚不清楚駭客利用了DEOS Games合約中的哪個漏洞,或者EOS核心中是否存在其他漏洞
安全小豹的看法
◆ 發生該攻擊事件之後,DEOS Games團隊的反應令人費解,他們沒有對社羣宣告自己是如何監控駭客攻擊的,按照常識,一個簡單的監控指令碼就可以檢測到這種異常現象。
◆ 我們假設DEOS遊戲是有這樣的檢測工具的,那麼此次攻擊的深層次原因就值得深究了,不排除團隊坐莊割韭菜的嫌疑。
◆ 目前,此類博彩遊戲風險太高,建議廣大使用者理性投資,謹慎選擇。
2018年9月18日——NewDex
NewDex是全球首家基於EOS 區塊鏈的去中心化交易所,8 月 8 上線,號稱能夠完美支援平臺效能,交易速度媲美中心化交易所,且不接觸使用者私鑰,匯入錢包即交易,以此保障資產安全。但是在上線後一個多月後,就遭遇EOS刷假幣事件,透過這起事件,外界開始質疑NewDex是否是真正的去中心化交易所。
損失規模:58,000美元(11803個EOS)
事件經過及安全分析
◆ 惡意帳戶EOS賬戶“oo1122334455”於2018年9月14 14:01:45發行10億個假EOS,並全額分配給dapphub12345賬戶。
◆ 隨即由dapphub12345轉入iambillgates賬戶(實施攻擊的賬戶),iambillgates賬戶於14:21:37嘗試性的多次用1個假EOS掛單委託買入IPOS和ADD,並且成功以假EOS買入IPOS和ADD。成功買入BLACK、IQ、ADD後,iambillgates賬戶立刻將非法獲得的Token轉入xx1234512345與x12345x12345賬戶,最終由xx1234512345在Newdex中掛市價單賣出部分非法獲得的Token,共計賣得4028個真實的EOS
◆ 然後,真的EOS本地貨幣被髮送到Bitfinex與其他加密貨幣進行交易
◆ 此次假EOS刷幣事件共給Newdex使用者造成11803個EOS的損失,NewDex團隊為此事件道歉,本著負責任的態度決定承擔此次全部損失,並且也已經在第一時間修復相關問題並恢復正常運營。
◆ 對NewDex基礎設施的進一步調查顯示,Newdex沒有使用智慧合約來驗證使用者傳送的token
安全小豹的看法
◆ 這起事件中,駭客用EOS原生貨幣來交易假的代幣,導致NewDex系統中EOS嚴重貶值
◆ 之所以駭客能夠得手,是因為NewDex沒有透過其智慧合約驗證token的事實性,因此我們可以得出結論:本質上看,NewDex只是處理使用者交易時使用的帳戶訂單的中心化場外交易所,並不是像他自己宣稱的一樣,是一家去中心的交易所!
◆ 種種跡象表明一個事實:NewDex在冒充自己是一家去中心化的交易所。他們只是在他們的中央伺服器上進行交易匹配,在處理交易時系統甚至沒有檢查存入的token真實性。
◆ 在這裡,我們建議大家,在選擇數字貨幣交易所交易時,需要進行詳細的盡職調查,而不要媒體宣傳所蠱惑,最好能夠在客觀中立的第三方評級機構檢視他們的相關資訊。
2018年9月19日——Zaif交易所被盜事件
事件背景:
2018年9月19日,總部位於大阪的Tech Bureau Corp.旗下的Zaif交易所發生了比特幣(Bitcoin)、萌奈幣(MonaCoin)和比特幣現金(Bitcoin Cash)被盜事件,被盜總額為價值6,000萬美元的數字貨幣,其中約有22億日元(約合1,960萬美元)的被盜加密貨幣屬於該交易所,其餘的是客戶資金。
損失規模:6000萬美元
被盜取的數字貨幣:比特幣、比特幣現金和MonaCoin(萌奈幣)
事件經過及安全分析
◆ 2018年9月14日之後,zaif交易所關閉了使用者的存取款服務。
◆ 根據Zaif交易所的說法,關閉該服務的原因是在9月14日17:00至19:00之間,發現有人非法入侵了其熱錢包
◆ 經核實,該駭客的非法行為導致了5,900萬美元價值的 BTC、比特幣現金和萌奈幣損失
◆ Zaif在公告上沒有公佈被攻擊的細節,它尋求了日本當局幫助調查此次被盜案
◆ 事實證明,在此攻擊行為發生前,日本金融廳(FSA)分別於3月8日和6月22日,向zaif發出過關於其內部管理系統和安全措施的預警。
◆ 被盜事件發生後第一時間,日本金融廳(FSA)向Zaif母公司Tech Bureau發出了今年的第三份業務改善令。但是Zaif交易所沒有對FSA的建議做出任何行動
◆ 根據扎伊夫對當局的透露,事件的起因居然是交易所一名員工的電腦被黑
◆ 11月22日,Zaif交易所把虛擬貨幣的相關業務轉移至FISCO集團,Fisco集團將接管Zaif並賠付使用者此次被盜的資金。
◆ 需要強調的一點是,這起事件是加密貨幣歷史上損失最大的安全事件之一
安全小豹的看法
◆ 根據種種跡象表面,該事件的起因很可能是Zaif員工的計算機被駭客成功利用釣魚網站的方式攻擊了
◆ 對於數字貨幣交易所來說,犯這種低階錯誤是不非常不應該的。
◆ 我們認為,該事件對廣大數字貨幣交易所敲響了警鐘,安全意識是數字貨幣交易所的根基,每家交易所都應在新員工入職工作之前,進行必要的網路安全培訓。
其他相似的攻擊事件
2017年7月,在Bithumb hack也使用了相同的方法,數百萬美元的加密貨幣被盜,並且導致客戶資料被洩露
SpankChain(2018年10月9日)
事件背景
SpankChain是一個基於以太坊公鏈的成人娛樂區塊鏈專案。團隊於10月9日在部落格上表示,上週六(10月6日)遭受到駭客攻擊,損失了165.38 ETH(當時價值約3.8萬美元)。另有價值4000美元的BOOTY幣遭到凍結。
損失規模:超過40,000美元(以損失ETH和BOOTY代幣當時的價格合計)
攻擊方式:透過智慧合約的重入漏洞
事件經過及安全分析
◆ 此次駭客攻擊利用到是SpankChain智慧合約中的重入漏洞,該漏洞類似於著名到The DAO事件中的漏洞
◆ 技術團隊發現合約被駭客入侵是在攻擊發生後的24小時,SpankChain團隊第一時間關閉了自己的官網
◆ 攻擊發生後,該公司表示,他們會為ETH的airdrop工作,來償還那些在攻擊中損失資金的使用者
◆ 10月12日,駭客竟然主動聯絡了SpankChain的執行長,將165.38 ETH退還給該團隊,另外駭客還幫助SpankChain恢復了因攻擊而被凍結的大約4000個BOOTY代幣。作為回報,SpankChain團隊給了該駭客一些獎勵。
◆ SpankChain曾公開表示,他們進行沒有給智慧合約對已經發生過的安全漏洞進行審計,認為審計費用“非常昂貴”。
安全小豹的看法
◆ SpankChain區塊鏈社羣對該事件的反應比較激烈,原因很可能是難以接受被駭客利用著名的重入漏洞進行攻擊。
◆ 重入其實就是遞迴,就是對於一個函式的迴圈呼叫和對自身的迴圈呼叫,針對重入漏洞最根本的解決方案還是在轉賬之前就把所有應該變更的狀態提前更新,而不是在轉賬之後再進行更新。
◆ 在這裡,再次提醒大家,區塊鏈行業裡安全審計的重要性。在上鍊前,只需投入很少的費用,對智慧合約進行安全審計,就可以很好的避免這種事情。
◆ 在區塊鏈裡,沒有刪除和修改的概念,一旦合約部署到公鏈,就無法篡改,全球數以萬計的駭客可以慢慢的,一行一行的找上面的漏洞。對於區塊鏈行業來說,安全審計是必不可少的流程。
◆ 慶幸的是,當時駭客返回了價值數百萬美元的Ether。目前還不清楚駭客為何會歸還被盜資金,這對受害者來說可能是一種安慰,但是這種事情不常有。但這也不是第一次發生,在CoinDash ICO 的事件中也曾經出現過駭客歸還被盜資金的事情。
◆ 希望這次事件過後,專案方、交易所都能夠警醒,認識到安全審計的重要性。
其他相似的攻擊事件
DAO Hack ——以太坊區塊鏈歷史上最臭名昭著的事件之一,引起以太坊區塊鏈的硬分叉,分裂成以太坊和以太坊的經典的事件。
EOSBet賭場(2018年9月14日和10月15日)
EOSBet是EOS上的遊戲平臺,分別在9月14日和10月15日遭受了兩次駭客的攻擊,損失分別為44427.4302個EOS和138,319.7995EOS。
損失規模:200,000美元+ 338,000美元(均是損失EOS)
攻擊方式:利用智慧合約中的漏洞
事件經過及安全分析
第一次駭客攻擊:
◆ 9月14日,EOSBet遭到駭客攻擊,EOSBet團隊官方宣稱:這個攻擊並不簡單,我們正在進行取證,並將所發生的事情拼湊在一起,來尋找蛛絲馬跡
◆ 根據TheNextWeb的分析,“駭客的攻擊方式是使用假雜湊在外部呼叫'傳輸'功能”
◆ 攻擊發生後,一個與EOSBet官方帳戶名稱非常相似的EOS帳戶,向攻擊者的地址傳送了少量EOS,並且附帶一個要求對方退回被盜資金的訊息,聲稱如果不退回,他們將僱用一個律師團隊追捕並起訴攻擊者。
◆ 9月16日,EOSBet重新上線,並且官方釋出了關於駭客攻擊的詳細報告,承諾他們的合約已經修補了全部漏洞,目前是非常安全的
第二次攻擊:
◆ 一個月後,駭客利用EOSBet合約在檢驗收款方時存在的漏洞,偽造轉賬通知,總計從eosbetdice11獲利138,319.7995EOS。
◆ 其中72,150 EOS流入了Bitfinex,65,100 EOS流入了Poloniex。根據EOS當前行情價格37元估算,EOSBet平臺此次損失額超500萬元。
◆ 該公司報告稱,他們正與這兩家交易所談收回資金的事情
安全小豹的看法
◆ EOS的智慧合約發展相對ETH來說還比較早期,頻頻發生的安全事件對這個新生兒來說是不可承受之痛
結語
9、10兩個月的安全大事件主要集中在EOS的智慧合約漏洞和交易所相關的漏洞,損失的金額可以說是非常高。但是在這些事件中,有很多是完全可以避免的,之所以頻頻發生安全事件,很大程度上是因為我們的安全意識還太過於薄弱。
安全事件的頻發,加上行業的暴跌,不斷打擊著區塊鏈參與者的信心,但是不妨我們換個視角,放眼整個行業的發展來看,如果行業的參與者能夠從這些鉅額損失的安全事件中獲得警醒,汲取過往的教訓,更加註重安全方面的建設,相信這對於茁壯發展的區塊鏈行業來說是非常利好的。
