據 PeckShield 態勢感知平臺資料顯示,過去一個月,整個區塊鏈生態共發生 32 起較為突出的安全事件,危害程度評級為「中級」,涉及 DeFi 5 起、錢包安全 2 起,公鏈安全 3 起,交易所相關 2 起,勒索相關 4 起,詐騙跑路 16 起等。
DeFi安全
7月份共發生 5 起 DeFi 相關安全事件,具體如下:
1)加密貨幣專案Vether(VETH)遭到閃貸攻擊,其Uniswap資金池耗盡919299 VETH,價值約合90萬美元,而且整個攻擊成本僅有0.9ETH,約合200美元。
2)知名區塊鏈安全研究員Sam Sun在小組討論中表示,自己似乎發現一種盜取yearn.finance yusdc資金池資金的方法。yearn.finance官方迴應稱這個問題已經得到解決,但依然提示使用者暫時不要投入資金。7月26日,yearn.finance公佈V2 版本的更新將新增USDC合約的資金池,但V2版本還沒有完全部署,尚在實驗測試階段,官方也已經提示該合約仍為實驗性質且具有高度風險,建議不要立即投入資金。
3)samczsun在yearn.finance新部署的yVault中發現了一個漏洞,初步分析是由於flashloan 中產生滑點導致。
4)網路安全公司OpenZeppelin已釋出Compound的開放式預言機(Open Oracle)整合Uniswap V2的審計報告。指出,開放式預言機旨在允許受信任的彙報者在鏈上釋出一系列資產價格,這些價格將以Uniswap V2的市場價格作為基礎,釋出價格的人只能在一定程度上偏離Uniswap V2的價格(具體由部署者決定),這可以很大程度上限制彙報者操縱預言機的權力。
5)DeDi入口網站DefiPrime識別了目前最流行的DeFi騙局:Uniswap上的偽造代幣列表。騙子正試圖在目標協議實際推出其加密貨幣之前,在Uniswap上列出“官方”協議代幣。DefiPrime至少確定六個被這些詐騙者鎖定的協議:Uniswap、Tornado Cash、BZRX(Fulcrum)、Curve、dYdX 和1inch。甚至已經有人因此受騙。
PeckShield 點評:隨著 DeFi 專案功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與使用者資產的緊密聯絡,DeFi 專案的安全問題非常嚴峻。由於各專案由不同團隊開發,對各自產品的設計與實現理解有限,整合的產品很可能在與第三方平臺互動的過程中出現安全問題,進而腹背受敵。PeckShield 在此建議,DeFi 專案方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
數字錢包安全
7月份共發生 2 起錢包安全事件:
1)加密貨幣錢包服務商ZenGo表示,其在Ledger、BRD和Edge等市場主流的一些錢包中發現了一個漏洞,該漏洞允許攻擊者欺騙使用者,讓使用者以為自己收到了比特幣,但實際上他們並沒有收到。ZenGo將這一漏洞命名為“BigSpender”,攻擊手法定義為“雙重支出攻擊”。
2)研究人員發現了一種新的木馬,這種木馬針對在macOS上使用交易程式的交易者。該木馬使用惡意軟體GMERA,被整合進貌似無毒的應用中,再從使用者的錢包中偷取代幣。
PeckShield 點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網路連線的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,使用者也要謹防網路釣魚,惡意程式碼注入等攻擊方式。
公鏈安全
7月份共發生 3 起公鏈相關安全事件:
1)7月3日,CryptoScope團隊發現Ravencoin(RVN)區塊鏈存在漏洞,經過rvn首席開發團隊確認後已釋出了緊急更新。據悉,該漏洞可生成額外的RVN,但是不會影響或控制已經存在的RVN資產。由於該漏洞造成了RVN總量比原計劃多出了1.5%,並且漏洞產生的RVN已經流入市場,因此無法進行回滾等操作。
2)Polkadot 聯合創始人Gavin Wood稱雪崩協議類似一箇中心化的Cosmos,由選出來的重疊的驗證人組充當了子網安全性。這將導致整個系統內各個鏈間的安全性有極大的不均。跨分片攻擊是可行的,因為來自一個(低安全性)鏈的訊息可以導致另一個(更安全的)子網上的狀態遷移。這樣一來整個網路的安全性就等同於安全性最差的那個鏈。綜上,雪崩協議並不安全,也不具備可拓展性。
3)Bitcoin Gold的開發人員團隊已經阻止了針對網路的“極長的攻擊鏈”。根據開發團隊的說法,攻擊者於7月1日從採礦服務提供商NiceHash租用了雜湊功能,並秘密開採了一條替代鏈(本質上為網路建立了新的交易記錄)持續了近10天,在此過程中挖掘了1,300多個區塊。7月10日,攻擊者釋出了秘密鏈,以試圖收集8,000多枚比特幣黃金,但是,由於比特幣黃金團隊及早發現了攻擊,並就潛在的攻擊向礦池和交易所發出了警告,從而挫敗了攻擊者。
PeckShield 點評:公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。
交易所相關
7月份共發生 2 起交易所相關安全事件:
1) OKCoin官方發推稱,OKCoin網站遭遇兩波DoS攻擊,致使使用者近四小時無法登入網站。所幸,所有客戶資產是安全的,移動應用程式和API正常執行。
2)英國加密貨幣交易所Cashaa表示,駭客從其中一個錢包中竊取了超過336枚比特幣。目前,該交易所已停止所有與加密有關的交易。
PeckShield 點評:駭客盜取資產後實施洗錢,不管過程多周密複雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的 KYC 和 KYT 業務均提升了要求,交易所應加強 AML 反洗錢和資金合規化方向的審查工作。詳情可訪問www.coinholmes.com 瞭解。
勒索相關
7月份共發生 4 起勒索相關安全事件:
1)跨國科技公司 Garmin 被俄羅斯網路犯罪團伙 Evil Corp 勒索了1000萬美元的贖金,需以加密貨幣支付。Garmin 匿名員工證實,WastedLocker勒索軟體破壞了該公司的客戶支援服務、導航解決方案等。
2)跨平臺資料庫公司MongoDB遭受了網路攻擊,駭客團伙透過擦除其內容滲透了22,900個不安全的資料庫。駭客要求每個資料庫支付0.015 BTC(約合140美元),因此要求的總金額超過320萬美元。
3)英國足球聯賽俱樂部被勒索軟體盯上,其公司安全系統被破壞。攻擊者要求的贖金金額為400 BTC(約366萬美元)。據悉,由於俱樂部拒絕付款,導致其儲存的資料丟失。根據該研究,對英國體育組織的攻擊中約有40%與惡意軟體有關,其中四分之一與勒索軟體有關。
4)烏克蘭安全域性(SSU)拘留了兩名要求獲得比特幣,否則將炸燬該國首都建築物的恐怖分子。根據SSU的帖子,兩名60歲男子在基輔的一棟公寓樓上張貼了紙條,揚言如果其比特幣地址未收到50枚比特幣,就會炸燬該建築物或另一棟建築。
PeckShield 點評:勒索類安全事件一直是影響整個網際網路生態的重大隱患,不侷限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
詐騙跑路事件
除上述之外,7 月份還發生了多起詐騙跑路事件值得警惕,例如:
1)四年前攻擊 Bitfinex 交易所的駭客再次出現,從當時偷走的加密貨幣中轉移了448.72枚 BTC,價值近500萬美元。當時Bitfinex被黑損失近7200萬美元。
2)7月22日,加密公司 Veritaseum 執行長 Reggie Middleton 對電信運營商 T-Mobile 發起訴訟,指控其透過一系列“交換SIM卡(simo -swap)”攻擊,竊取了價值870萬美元的加密貨幣。
3) 7月16日,包括比爾·蓋茨,奧巴馬,埃隆馬斯克,蘋果官方賬號等在內的諸多推特賬號被駭客攻擊併發布比特幣釣魚資訊。經查詢駭客留在推特上的地址發現,該地址目前已經收到了12.86枚比特幣。
4)白帽駭客Harry Denley在成功侵入了一個加密貨幣網路釣魚騙局的資料庫後,成功截獲了價值1.6萬美元的ETH和DEC,並已將這些加密貨幣返還給其合法所有者。
5)區塊鏈公司Veritaseum執行長ReggieMiddleton已起訴美國電信運營商T-Mobile,稱該公司因嚴重過失並未能保護其客戶,使得駭客進行了一系列SIM劫持攻擊,導致價值870萬美元的加密貨幣失竊。
6)黑龍江省牡丹江市公安局反詐中心與海林市公安局經過兩個多月縝密偵查,成功偵破涉案金額100餘萬元的特大虛擬貨幣電信詐騙案,跨省抓獲7名犯罪嫌疑人。
7)近日,灌雲警方深挖徹查、快速出擊,先後抓獲利用區塊鏈投資詐騙嫌疑人楊某等人,成功搗毀該團伙位於河南鄭州的犯罪窩點,查扣電腦、手機、硬碟等作案電子裝置,涉案金額達29萬元。據調查,2019年期間,楊某透過其所購買“百業鏈”APP,誘騙會員在軟體上投資區塊鏈,承諾購買“礦機”後,可透過挖幣、兌幣、交易的方式獲取高額回報。
8)韓國蔚山地方法院刑事審判員金正錫14日表示,涉嫌謊稱“人工智慧(AI)透過交易比特幣獲得收益”,從投資者處騙取68億韓元的5人犯罪團伙被判處有期徒刑和罰款。2018年1月至9月期間,他們以投資名義共獲得了944次共計68億多韓元贓款。
9)虛構柬埔寨“西港特區”投資專案,虛構亞泰坊“數字貨幣”,引誘他人加入傳銷組織。短短6個月,就發展下線層級108層,吸納會員註冊賬號67萬個,涉案金額達8.14億元。
10)浙江溫州甌海警方破獲全國首例利用區塊鏈“智慧合約”犯罪案件,搗毀兩處作案窩點,抓獲犯罪嫌疑人10名,扣押查封邁凱倫、法拉利等豪華轎車及房產,涉案金額高達億餘元。
11)一個名為“Keeper”的駭客團伙建立了一個互連網路,從570多個電子商務網站竊取信用卡資料。自2017年以來,該組織透過在暗網出售信用卡資訊而獲得了超過700萬美元的加密貨幣。
12)雲算力平臺Miningzoo疑似跑路。該平臺偽造大量資訊,包括偽造獲得知名VC策源創投投資的資訊。截止到7月6日,仍然大量投資者無法提取在平臺投資雲算力獲得的加密貨幣,一些投資者準備報案處理。
13)駭客利用遊戲Runescape的漏洞進行雙花攻擊獲取了數萬億的遊戲幣,價值超25萬美元,並利用這些資金購買比特幣。
14)亡命徒(Outlaw)殭屍網路已造成國內約2萬臺Linux伺服器感染,影響上萬家企業。此次攻擊傳播的母體檔案為dota3.tar.gz,推測為亡命徒(Outlaw)殭屍網路木馬的第3個版本,母體檔案釋放shell指令碼啟動對應二進位制程式,kswapd0負責進行門羅幣挖礦,tsm32、tsm64負責繼續SSH爆破攻擊傳播病毒。
15)有假冒Ripple CEO Brad Garlinghouse的非法人員在Change.org上發起請願,該請願包含了假冒的XRP空投內容。這個“請願”分享了一個到可疑網站的連結,該網站邀請所有空投參與者將他們的XRP傳送到一個可以保證獲得100%利潤的特殊地址。
16)近日,按照公安部統一指揮部署,公安機關立案偵辦“Plus Token平臺”網路傳銷案,先後將潛逃境外的全部27名主要犯罪嫌疑人和該案82名骨幹成員抓捕歸案,徹底摧毀了這一盤踞境內外的特大跨國網路傳銷組織。該案系公安機關偵破的首起以比特幣等數字貨幣為交易媒介的網路傳銷案,涉及參與人員200餘萬人,層級關係多達3000餘層,涉案數字貨幣總值逾400億元。
PeckShield 點評:因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,使用者應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
