據成都鏈安『安全態勢感知系統』(beosin-eagle eye)資料監測顯示:2020年9月,在區塊鏈領域,多型別安全事件頻繁發生,整體形勢不容樂觀。根據不完全統計,本月出現的典型安全事件超過44起,相比上個月有所增加,成為今年曆史最高。
典型安全事件統計
區塊鏈行業起步不久,技術發展整體處於探索階段。特別是,隨著defi的市場走紅,各種專案雨後春筍般崛起,技術底層、邏輯結構等諸多方面的鋪設相對薄弱,安全風險漏洞極易出現。因此,對於區塊鏈生態的每個環節而言,安全問題都必須放在首位,不容忽視。
交易所方面共發生『6』起較典型的安全事件
01
9月2日,首爾警方對韓國規模最大的加密貨幣交易所bithumb進行搜查。該交易所被指控預售其價值300億韓元的bxa代幣,但從未將其上市,讓投資者遭受損失。
02
歐洲交易所eterbase於週一晚間被盜,涉及btc、eth/ erc-20、xrp、trx、xtz和algo相關的六個地址。該交易所沒有透露駭客攻擊造成的具體損失金額,但根據the block research的統計,該交易所熱錢包損失超500萬美元。相關情況已報告給執法部門,該交易所正在密切配合調查。後續跟蹤資金轉移情況發現,目前大部分被盜資金在幣安等交易所。
03
日本加密貨幣交易所fisco在美國法院提起了針對幣安(binance)的訴訟。fisco聲稱,在2018年zaif(現已被fisco收購)遭遇駭客入侵丟失6300萬美元的加密貨幣後,幣安為駭客洗錢提供了便利。
04
英國加密交易所covesting發推稱,作為對庫幣安全漏洞的迴應,以及保護受影響的cov代幣持有者,covesting團隊已經凍結被舉報地址中的cov代幣(共計3,126,692 枚,價值560522美元)。
05
斯洛伐克加密貨幣交易所 eterbase 遭受駭客攻擊,共計有 540 萬美元的數字貨幣被盜。交易所稱,其六個熱錢包已被盜用,並且虹吸了比特幣,以太坊,ripple,algorand,tezos 和 tron 的資金。
06
據庫幣(kucoin)官方公告,2020年9月26日凌晨03:05:37(utc+8),官方發現了一次有計劃的駭客攻擊,根據目前的內部安全審計結果判斷,駭客透過獲取到庫幣早期熱錢包的備份映象發起提現攻擊,透過此次攻擊提走了部分熱錢包中的比特幣和erc-20等代幣,價值約4800個比特幣,約佔平臺總持有資金量的5%。
defi方面共發生『14』起較典型的安全事件
01
zengo的研究人員已正確披露了在diogenes協議證明中發現的漏洞。該證明旨在為以太坊2.0隨機信標鏈的可驗證延遲函式(vdf)提供原始熵。
02
以太坊賬戶疑遭遇gas price攻擊,損失115個eth。該使用者從交易所提現115.299個eth到以太坊賬戶,到賬後被莫名其妙迅速轉出到另一個賬號。蹊蹺的是對方實際只收到6.46個以太坊,而轉賬的gas費用卻高達108.83個以太坊,約36萬人民幣。
03
sushiswap仿盤yuno finance (yuno)與kimchi.finance (kimchi)智慧合約均存在漏洞。智慧合約擁有者可以利用漏洞,無限制地增發專案對應的代幣數目,繼而導致通脹並最終崩潰。
04
9月3日晚間,以太坊研發者philippe castonguay發推稱,defi專案baconswap和shroom.finance均存在時間鎖定漏洞,將允許專案所有者在沒有時間鎖定的情況下無限增發代幣。
05
blockstream research團隊宣佈已經開發出一種解決方案musig-dn,可用於保護musig多籤方案的使用者免遭由惡意隨機數生成器和虛擬機器重置攻擊導致的金鑰洩露攻擊。
06
開發人員在sushiswap中發現了主要的治理缺陷,sushiswap似乎很容易受到漏洞的攻擊,這個漏洞可以在不需要獲得新代幣的情況下成倍增加某人的治理能力。
07
eos defi流動性挖礦專案emd合約emeraldmine1的大量質押資金被轉移。其中,usdt正在透過defibox幣幣交易等渠道進行轉賣。
08
yfi仿盤soft yearn的一名使用者因rebase機制漏洞用200美元獲得了25萬美元的回報。
09
eos生態defi流動性挖礦專案 “珊瑚”的wram遭到駭客攻擊,損失逾12萬eos。截至9月10日已經有4.6萬個eos被轉移至changenow進行洗錢。
10
9月14日,bzx官方發推特稱,已經對itoken合約程式碼出現的漏洞進行修復,並且協議已恢復正常執行。
11
defi穩定幣協議lien釋出公告表示,團隊的審計人員發現一個lien app中的漏洞,決定暫時維護平臺以防止漏洞被利用。
12
9月23日訊息,defi pulse週二晚在twitter上表示,已識別漏洞並修復,並且已更正了歷史資料。
13
9月23日訊息,此前被爆漏洞的defi專案soda協議已於近日宣佈修復漏洞,且新部署的智慧合約預計9月22日21點生效。截至到9月23日,soda協議的soeth/weth資金池內尚有等值eth的2156個soeth。
14
9月29日,根據bluekirbyfi推特訊息,yearn.finance創始人andre cronje剛推出的遊戲專案eminence(enm)遭遇“flash貸款”攻擊,駭客將800萬美元的資金返還給了yearn部署者合約。
beosin評論
本月defi專案安全問題頻繁暴露,技術程式碼、業務邏輯等諸多方面對defi安全而言是不可忽視的漏洞多發地帶。成都鏈安再次呼籲各大專案方,在專案上線之前做好安全審計工作。同時,建議投資者注意檢視安全審計報告,投資前謹慎選擇專案方。
詐騙跑路/加密騙局方面共發生『3』起較典型安全事件
01
9月26日,名為gemswap的sushiswap仿盤專案被曝跑路,lp被捲走。查詢發現,該專案曾發推自曝其遭受了“ whatitdobb”開發者的攻擊。據瞭解,發起攻擊的開發者在流動性遷移完成之前就獲得了相關許可,能夠將流動池中的代幣取走,具體損失尚不明確。
02
9月3日,德克薩斯州證券委員會(tssb)專員travis j. iles對兩起名為forex birds和pek universe的加密騙局發出了緊急停牌令。他們被控欺詐發行與外匯(forex)和加密貨幣相關的證券。forex birds涉嫌向投資者承諾高達11%的收益,其存款最高可達100萬美元。
03
法國金融市場管理局(amf)釋出了一份新的投資網站清單,這些網站沒有在該國境內運營的授權,其中包括所謂的數字資產服務提供商(dasp)。據稱應用程式bitcoinfrance代表其客戶在加密貨幣市場進行交易,每天產生1000美元的收入,且沒有任何風險。很明顯,這些描述帶有投資欺詐的特徵。
勒索軟體/挖礦木馬方面共發生『9』起較典型安全事件
01
騰訊安全威脅情報中心檢測到新型挖礦木馬家族mrbminer,駭客透過sql server伺服器弱口令爆破入侵,爆破成功後在目標系統釋放c#語言編寫的木馬assm.exe,進一步透過該木馬與c2伺服器通訊,然後下載門羅幣挖礦木馬並維持挖礦程序。
02
特斯拉創始人elon musk埃在一條推文中證實,俄羅斯男子egor igorevich kriuchkov用100萬美元比特幣賄賂內華達州特斯拉工廠一名員工,以便在特斯拉的計算機網路上安裝勒索軟體。
03
阿根廷官方移民局dirección nacional de migraciones遭遇netwalker勒索軟體攻擊,暫時停止了出入該國的邊境。駭客要求贖金400萬美元。阿根廷政府拒絕與駭客談判,也不會支付贖金。
04
駭客向以色列納斯達克上市無線晶片和攝像頭感測器製造商tower semiconductor ltd(tsem)進行勒索軟體攻擊,並索要數十萬美元比特幣贖金。
05
智利三大銀行之一的banco estado銀行7日不得不關閉其全國性業務,原因是受到了revil勒索軟體的網路攻擊。據悉,revil以拍賣在攻擊中竊取的資料而聞名,並經常要求使用monero (xmr)支付贖金。
06
動視暴雪《使命召喚:戰區》的玩家抱怨帳戶被盜。在某些情況下,駭客要求進行比特幣支付以贖回遊戲賬戶。駭客提供的地址迄今為止已收到1.2 btc。
07
巴基斯坦最大的電力生產商k-electric遭遇勒索軟體攻擊,駭客索要約770萬美元的比特幣贖金。
08
資料中心和託管巨頭equinix遭到了netwalker勒索軟體攻擊,威脅參與者要求450萬美元購買一個解密器,以防止洩露被盜資料。
09
9月13日訊息,不久前,杭州市高新區(濱江)一家民營企業向公安機關報案,稱有人惡意攻擊該公司官網,並勒索1個比特幣。接到報案後,偵查機關很快鎖定了犯罪嫌疑人鍾某。濱江區檢察院以破壞計算機資訊系統罪對鍾某提起公訴,鍾某被法院判處有期徒刑五年零六個月。
暗網方面共發生『2』起較典型安全事件
01
9月2日訊息,美國司法部於週二宣佈暗網市場alphabay調解員bryan connor herrell被判處11年監禁,alphabay是一個可以透過tor洋蔥路由器路由器進入的暗網違禁品市場。違法者使用加密貨幣如比特幣、門羅幣以太坊進行交易。
02
由美國司法部、毒品和暗網聯合執法小組(jcode)和歐洲刑警組織等多個組織共同執行的打擊暗網犯罪的行動中沒收超650萬美元現金和虛擬貨幣。
其他方面共發生『10』起較典型安全事件
01
開發bitbox硬體錢包的瑞士公司shiftcrypto透露,在trezor和keepkey硬體錢包中發現了一個漏洞,該漏洞允許攻擊者在不靠近裝置的情況下持有使用者的加密貨幣以進行勒索。
02
瑞士硬體錢包提供商shift crypto表示,trezor和keepkey硬體錢包中存在一個漏洞,可能會引發潛在的贖金攻擊。trezor硬體錢包的製造商satoshilabs向shift crypto支付了賞金,並表示在最近釋出的升級中已經解決了這個問題。
03
風險投資家tim draper此前聲稱購買bch或為烏龍事件。9月5日凌晨tim draper突發推特稱已購買bch,並對roger ver表示感謝。該條推文也引起了加密社羣的關注。但opennode聯合創始人jo?o almeida隨後證實,tim draper推特賬戶已被洩露。
04
9月9日早間,加密瀏覽器brave官方發推宣佈,已整合網路安全公司phishfort的開源解決方案,防止網路釣魚攻擊。此後brave將檢測加密騙局,並警告使用者有關的可疑域名。
05
目前有一個比特幣錢包成為了眾多駭客的攻擊物件,該錢包有69370枚btc,價值7.14億美元。目前這個錢包還沒被人破解。
06
9月16日,美國司法部、美國國土安全部和美國財政部外國資產控制辦公室宣佈,已對兩名使用複雜的網路釣魚活動從三個不同的加密貨幣交易所的客戶那裡竊取至少1680萬美元的俄羅斯國民實施制裁。
07
9月22日,加密衍生品交易所deribit發推稱,凌晨遭遇ddos攻擊,使得平臺伺服器難以訪問。官方正在阻止攻擊。目前,ddos攻擊已被阻止,官方已採取措施減少其他潛在問題。
08
閃電網路大額通道wumbo存在漏洞,使攻擊者可以在幾乎不費力氣且零成本的情況下攻擊支付通道,或導致通道癱瘓兩週。
09
加密交易所kraken的首席安全官nick percoco宣佈,已在kraken上釋出了四個新的安全增強功能,將從今天開始向該交易所的所有客戶開放。包括安全防護、安全檢查、裝置批准和裝置管理,其中“裝置批准”功能將特別對抗網路釣魚攻擊。
10
9月25日,據外媒報道,一種名為alien的新木馬病毒正在攻擊android手機上的加密應用程式,被攻擊物件包括coinbase、blockchain.com和luno。
鑑於當前區塊鏈安全領域的新形勢,『成都鏈安』溫馨提示
從總體上看,9月區塊鏈安全事件較8月份有所增加,整體安全事件發生數量較高。區塊鏈安全形勢依然嚴峻。
本月defi專案仍是安全熱點話題,又有許多專案的智慧合約被爆出漏洞,甚至一些已經被駭客攻擊利用,造成了損失。成都鏈安在此呼籲專案方,在進行合約程式碼編寫時,一定要保持嚴謹的邏輯,在專案上線之前,尋找專業的安全公司做好安全審計工作。
此外,本月發生的詐騙跑路事件較少,但是廣大使用者仍然不能放鬆警惕,在選擇專案的時候仍然需要保持謹慎,留心考察專案資質、安全審計報告等。
