1 月 5 日下午,ETC 高度為 7245623 的區塊發生異動,1 月 7 日慢霧安全團隊披露稱,ETC 疑似發生了 51% 攻擊,有不少區塊發生回滾,在短短兩天之間,ETC 網路共遭受了至少 11 次疑似雙花攻擊,損失約值 46 萬美元的 ETC,1 月 8 日,Gate.io 研究院釋出公告稱,已確認 ETC 網路遭受 51% 攻擊並定位到攻擊者的 ETC 地址。
慢霧觀點
沒經過真實攻擊洗禮且保持進化的公鏈都不是安全的公鏈。當雙花攻擊變得常見時,公鏈需要將防控雙花攻擊作為風控機制的一部分。作為加密貨幣生態的參與者,防範雙花攻擊可能並不僅僅是公鏈的責任,交易所、錢包、投資人都有必要提高警惕。
No.2 Cryptopia遭攻擊後破產
發生日期:2019-01-14
事件描述:
1 月 14 日,紐西蘭加密貨幣交易所 Cryptopia 遭受駭客攻擊,駭客共偷走了價值 1600 萬美元的以太坊和 ERC20 代幣,隨後暫停了其平臺服務,早在推文發出之前的 13 個小時,該公司曾對外表示“平臺正在進行計劃外的維護”,暗示交易所已經受到駭客攻擊。隨後警方參與了對駭客攻擊事件的調查,而 Cryptopia 交易所無力繼續運營。今年 5 月,Cryptopia 交易所宣佈關閉並申請破產保護,該交易所欠債權人超過 270 萬美元。
慢霧觀點
Cryptopia 被黑事件成為交易所 2019 新年第一“盜”,地下駭客將攻擊的重點目標轉向了加密貨幣交易所,加密貨幣交易所側的攻防戰場開始火熱起來。跟隨加密貨幣大生態的發展,地下駭客職業軍團相繼踏入區塊鏈攻防世界。
No.3 眾多EOS DApp遭遇交易排擠攻擊
發生日期:2019 年 1 月開始
事件描述:
2019 年 1 月 11 日凌晨,EOS.WIN 遭遇駭客攻擊。EOS.WIN 的攻擊者採用的是新型攻擊手法,為“交易排擠攻擊”,這種攻擊手法與之前攻擊 bocai.game 的攻擊手法為同一種攻擊手法。攻擊者首先是發起正常的轉賬交易,然後使用另一個合約帳號檢測中獎行為。如果不中獎,則發起大量的 defer 交易,將專案方的開獎交易“擠”到下一個區塊中。該類攻擊源於專案方的隨機數演算法使用了時間種子,使攻擊者提升了中獎機率,導致攻擊成功。
慢霧觀點
區塊鏈上沒有完美的隨機數方案,只要是採用鏈上的變數作為隨機數因子,都存在被駭客攻破的可能。建議開發者採用 EOS 官方推薦的隨機數安全實踐“Randomization in Contracts”,或者引入預言機。同時在合約設計時加上風控機制,比如獎池大額轉出超過某個閾值自動暫停。
No.4 DragonEx遭入侵損失超600萬美元加密貨幣
發生日期:2019-03-24
事件描述:
加密貨幣交易所 DragonEx 釋出公告稱平臺錢包遭受駭客入侵,導致使用者和平臺的數字資產被盜,涉及 BTC、ETH、EOS、XRP、TRX 等 20 餘種主流數字資產,總損失超 600 萬美元。
慢霧觀點
在攻擊事件發生後,國內外多家安全公司證實該事件是駭客組織 Lazarus 所為。該組織透過運營和模擬正常的量化軟體,以高利潤和高收益透過交易所對外的客服誘惑交易所高層使用。量化軟體中隱藏有後門,一旦軟體被傳遞到關鍵人電腦上執行就會進行一序列滲透和駭客動作。
隨著加密貨幣的發展,駭客組織 Lazarus 對加密貨幣的興趣已經越來越濃厚,駭客攻擊也越來越多,呈現出 APT(高階持續性威脅)性質,只有交易所自身做好防護措施,才能讓駭客不再有機可乘。
No.5 Bithumb被盜3百萬EOS和2千萬XRP
發生日期:2019-03-29
事件描述:
3 月 29 日,韓國加密貨幣交易所 Bithumb 承認遭到駭客攻擊。一名管理人員表示,當地時間 3 月 29 日晚 10 點 15 分左右,檢測到熱錢包出現異常取款。駭客盜走約 300 萬枚 EOS,價值約 1340 萬美元,以及 2000 萬枚 XRP,價值 600 萬美元。早在 2018 年 6 月,該交易所就因駭客攻擊損失了價值達 3100 萬美元的加密貨幣,不到 1 年的時間裡 Bithumb 接連出現 2 次被黑事件。
慢霧觀點
加密貨幣交易所遭受二次攻擊,不排除內鬼作案。確實在金錢魔力面前,人性經不住考驗,而許多交易所的內部安全風控建設工作又過於缺失,這促使了內鬼有足夠動機作案,導致交易所被盜幣。
No.6 幣安被盜7074枚比特幣
發生日期:2019-05-08
事件描述:
5 月 8 日,加密貨幣交易所幣安釋出安全公告稱,5 月 7 日 17:15:24,駭客在區塊高度 575012 處從幣安熱錢包中盜取 7074 枚比特幣(價值約 4000 萬美元),駭客此前已發現系統存在的安全漏洞,但一直很耐心,直到系統出現大額交易才出手。
慢霧觀點
隨著地下駭客職業軍團相繼進場,職業的地下駭客透過高階釣魚及木馬植入,層層滲透最終拿到交易所的私鑰許可權,導致加密貨幣交易所被盜幣。面對地下駭客職業軍團的攻勢,交易所側安全防禦表現極其無力。交易所可以與可信且職業的安全團隊進行深入合作,部署因地制宜的安全建議,做到預設一切不可信的心態去接觸這個世界。
No.7 TokenStore被爆跑路,捲走使用者數十億資產
發生日期:2019-06-10
事件描述:
5 月 31 日,TokenStore 釋出公告稱由於受到駭客攻擊,系統將全面升級維護 10 天,並強調不管發生什麼,平臺會堅持執行。6 月 10 日,社羣多位使用者反映,TokenStore 在升級公告發布 10 天之後疑似跑路,投資人數十億資金被一卷而空。
慢霧觀點
資金盤跑路還不忘把鍋甩給駭客攻擊,真是花樣百出……類似專案經常使用“高收益”、“最新區塊鏈科技”等名詞進行包裝,實則是龐氏騙局,投資者們要仔細分辨,切莫參與。
No.8 PlusToken跑路捲走約20億美元加密貨幣
發生日期:2019-06-27
事件描述:
6 月 27 日晚上,有投資者發現,自己的 PlusToken 錢包無法提現了,遇到同樣問題的人不在少數。有人發現,以往少則 10 分鐘、最多 3 小時的提現時間,已經連續好幾日沒有任何反應,並且 App 無法登陸,客服也不線上。後被證實 PlusToken 跑路,騙局共吸納了價值超過 20 億美元的加密貨幣,包括 180,000 BTC、6,400,000 ETH、111,000 USDT 等。
慢霧觀點
PlusToken 是同類資金盤專案裡涉案金額最大、受害使用者最多的一個,給區塊鏈生態帶來嚴重的負面影響。慢霧 AML 系統對 PlusToken 錢包的鏈上交易進行了持續地追蹤與溯源,從統計資料發現,絕大部分加密貨幣已經被利用 Mixer(混幣器)、免 KYC 的幣幣兌換平臺進行清洗,進而轉化為法幣離場。
No.9 Bitrue被盜930萬枚XRP
發生日期:2019-06-27
事件描述:
6 月 27 日凌晨 1 點,總部位於新加坡的加密資產交易所 Bitrue 遭遇重大駭客攻擊,其熱錢包損失了 930 萬枚 XRP 和 250 萬枚 ADA,被盜的 XRP 和 ADA 價值分別超過 450 萬美元和 23.75 萬美元。
慢霧觀點
Bitrue 官方表示,駭客利用風控系統的漏洞來訪問使用者的個人資金和 Bitrue 熱錢包,進而實施盜幣。由於交易所內部人員的安全意識缺失,本不該暴露的系統缺陷暴露了,給了地下駭客可乘之機,導致被盜幣。
在區塊鏈世界攻防差距明顯,以現在大多數交易所的防禦能力不足以抵擋職業地下駭客的入侵。安全體系化建設工作很複雜,防禦工作需要面面俱到,而入侵工作卻可以單點突破。
No.10 BitPoint被盜價值約3200萬美元的加密貨幣
發生日期:2019-07-11
事件描述:
Bitpoint 在 7 月 11 日發生駭客攻擊事件。駭客攻擊了該交易所的熱錢包和冷錢包,竊取了價值約 3200 萬美元的比特幣、比特幣現金、萊特幣、瑞波幣和以太坊,其中約 2300 萬美元的數字貨幣屬於該交易所的使用者。BitPoint 表示,受害使用者數量接近該交易所使用者總數的一半,高達 5 萬人。該交易所表示將承擔使用者的所有損失。
慢霧觀點
三分之二的被盜資金屬於客戶,金融廳面子全毀。手法雖然未公開,但是不排除 APT 類攻擊行為。地下駭客攻擊愈加激烈,加密貨幣交易所側安全防禦面臨新挑戰。
No.11 第三方問題導致平臺遭受攻擊
發生日期:2019 年 7 月
事件描述:
7 月 5 日,NPM 官方部落格釋出文章稱,NPM 安全團隊與 Komodo 合作發現並阻止了針對名為 Agama 的加密貨幣錢包所有使用者的惡意投毒威脅。攻擊者將惡意程式包放入 Agama 的構建鏈中,用這種手法來竊取錢包應用程式中使用的錢包私鑰和其他登入密碼。
慢霧觀點
在當下的技術架構中脫離不了第三方 JavaScript 庫,所有專案方技術團隊都應該強制至少一名核心技術完整 review 一遍所有第三方模組,看看是否存在可疑程式碼,也可以抓包看看是否存在可疑請求。
No.12 BitMEX、幣安使用者身份資訊遭洩露
發生日期:2019 年 8 月、11 月
事件描述:
2019 年 11 月 1 日,BitMEX 在傳送平臺郵件通知時,由於沒有采用密送設定,導致該郵件所有接收人的郵箱地址被洩露。事後有研究人員在推特上釋出訊息稱,已收集到的郵箱地址超過 2.3 萬個。
幣安使用者 KYC 資料洩露事件發生於 2019 年 8 月,有人透過 Telegram 群「FIND YOUR BINANCE KYC」公開發布幣安使用者 KYC 資料,之後幣安釋出訊息稱:Telegram 群傳播的 KYC 資料和幣安系統資訊不符,圖片沒有幣安特定的電子水印,尚不能證明來自幣安。
慢霧觀點
使用者身份資訊應得到高強度的加密和保護,平臺在早期架構設計時應貫徹落實這個策略,規避此類敏感資訊洩露事件的發生。
No.13 Upbit被盜34.2萬枚ETH
發生日期:2019-11-27
事件描述:
韓國交易所 Upbit 公告稱,有 34.2 萬個以太坊被盜,已轉移至一個未知的以太坊地址(0xa098...029),總價值約 5000 萬美元。此前據 WhaleAlert 監測的鏈上資料顯示,Upbit 頻繁轉出大額加密貨幣,包括 SNT、EOS、OMG、XLM、TRX、ETH 等,總價值超過 1 億美元。隨後官方釋出公告澄清,只有 ETH 是被駭客盜走的,其餘資產均是交易所為了安全自行轉移到冷錢包。
慢霧觀點
目前懷疑和之前一直在活動的 APT(高階持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。當然也不能排除內鬼可能性。被盜的是 Upbit 的 ETH 熱錢包,冷錢包應該無風險。
附:交易所安全攻防總結
2019 年交易所領域發生了大量的安全事件,且每個都造成了鉅額的損失。慢霧科技在交易所安全攻防方面有深厚的沉澱,我們總結髮現主要有如下幾個攻擊手法:
1. 內鬼作案。確實在金錢魔力面前,人性經不住考驗,而許多交易所的內部安全風控建設工作又過於缺失,這促使了內鬼有足夠動機作案,導致被盜幣;
2. 假充值漏洞攻擊。一些交易所在對接的各種公鏈或代幣上的安全經驗不足,導致充值環節中出現假資金情況,但交易所繫統卻認為是真的,導致被盜幣;
3. APT 攻擊。職業的地下駭客透過高階釣魚及木馬植入,層層滲透最終拿到交易所的私鑰許可權,導致被盜幣;
4. 供應鏈攻擊。交易所使用的第三方元件被黑植入了惡意程式碼,從而間接影響了交易所的安全防線,導致被盜幣;
5. 粗心大意。由於交易所內部人員的安全意識缺失,本不該暴露的系統缺陷暴露了,給了地下駭客可乘之機,導致被盜幣。
從這些主要的攻擊手法來看,可以總結出兩個主要特點:
1. 內部人員人性之惡及安全意識、安全經驗缺失;
