盤點 | 成都鏈安:4月發生典型安全事件超19起,區塊鏈生態安全風險指

買賣虛擬貨幣

據成都鏈安【鏈必安-區塊鏈安全態勢感知平臺(beosin-eagle eye)】安全輿情監控資料顯示:2021年4月,據不完全統計,整個區塊鏈生態發生的典型安全事件超19起,整體安全風險評級為【低】。本月,儘管安全風險指數偏低,但各細分領域的典型安全事件均有發生,整體呈均勻分佈,因此依然不可掉以輕心。

除【其他方面】存在的9起典型安全事件以外,不難看出,在偏“低”風險的安全現狀之下,整個區塊鏈生態依然是【defi方面】和【詐騙跑路/加密騙局方面】,更容易成為駭客攻擊和詐騙犯罪滋生的溫床。由此,對於日常工作生活中確保defi專案安全審計以及加強自我反詐意識,就顯得尤為重要。

以下為本月安全月報的詳細事項。

交易所方面,共發生『2』起典型安全事件

01

4月21日,使用者對土耳其交易所thodex提起刑事訴訟,稱其盜竊數億美元資金,該交易所ceo在提起訴訟前一天離開了土耳其,並在提起訟訴當天,該交易所暫停了交易。目前土耳其政府已對該交易所展開了調查。

02

4月24日00:35,ftx交易所聯合創始人sbf發推文稱,網站遭受了一種小型ddos攻擊,目前網站已凍結,但使用者資金和核心繫統不會受影響,只會影響api和gui的吞吐量。

defi方面,共發生『3』起典型安全事件

01

defi入口網站defibox.com稱,heco鏈上的corn專案存在極高安全風險。若使用者在挖礦過程中退出質押,就將扣除99%的本金。據該專案白皮書稱,扣除的資金94%將被捐獻給社羣,5%的流動性資金將繼續挖礦。

02

easyfi.network創始人兼ceo ankitt gaur在推特上稱,4月19日,駭客將大量easy代幣從easyfi官方錢包轉移到以太坊網路和polygon網路上未知錢包;而管理這些代幣的計算機有超一週處於離線狀態並未使用。

03

4月28日,幣安智慧鏈專注於amm鏈上激勵協議uranium.finance發推表示,合約在遷移的過程中出現漏洞並遭到駭客攻擊利用,導致5000萬美元的資金被盜。

beosin評論:

儘管本月【defi方面】所發生的典型安全事件較少,但因涉案事件而造成的經濟損失依然嚴重。透過uranium.finance被黑事件,成都鏈安(beosin)·安全團隊建議當使用者參與到defi專案時,切記要時刻注意規避風險,選擇透過第三方安全公司審計後的可靠專案。


詐騙跑路/加密騙局方面共發生『3』起典型安全事件

 

01

一款名為“陽光果園”的app“碰瓷”各類植樹軟體,將果實包裝成虛擬資產,自稱高達1600%的收益率受到了人們的青睞。但這實際上是透過傳銷、龐氏騙局等手段結合網際網路噱頭的“資金盤”。

02

一名詐騙人員騙取了西班牙各地300多名加密投資者高達35.8億美元的資金,而近日這群被騙的投資者集體向西班牙法院提起了訴訟。

03

谷歌應用商場再次出現假冒uniswap的app。該app一經上架,一度成為谷歌應用商城金融類下載量最高的付費應用。截至訊息爆出,該應用已經下架,本次假冒app導致1000多人受騙。

勒索軟體/挖礦木馬方面,共發生『1』起典型安全事件

01

github調查了一系列濫用基礎設施來非法挖掘虛擬資產的攻擊,駭客透過執行自己的惡意程式碼,在github的基礎結構上進行挖礦,每次攻擊可能部署數百礦機,這對基礎架構的算力產生了重大影響。

暗網方面共發生『1』起典型安全事件

01

4月26日,俄羅斯警方表示,有4名俄羅斯偽鈔製造者將10億盧布(約合1220萬美元)的偽鈔在暗網商場hydra上賣出,並兌換為比特幣;目前該4名犯罪嫌疑人在當地法院面臨起訴。

其他方面共發生『9』起典型安全事件

 

01

一名義大利男子試圖透過1萬歐元的比特幣僱傭一名殺手並指使該殺手殺害他的前妻。但在犯罪行動進行之前,被歐洲刑警組織和義大利警方逮捕。

02

4月8日,summa創始人james prestwich在推特上發文譴責bitclout,稱其將使用者金鑰上傳到公共伺服器上,這將導致任何擁有許可權訪問bitclout伺服器的員工都可以將平臺上所有資金竊取一空。

03

以太坊錢包dharma出現宕機情況,所有資金都是安全的。官方已經確定解決方案,很快將會恢復。

04

韓國慶州市將對數10起可能的虛擬資產逃稅案件進行調查,市政府已與多個虛擬資產交易所保持聯絡,來收集有關違法行為的資料。目前已指定超500人進行調查。

05

2016年被盜比特幣在本月內發生轉移,共分為63筆轉移,共轉移了10057枚比特幣,每筆50到1241.37枚不等,目前總價近6.3億。據稱,2016年8月,駭客共盜取了12萬枚比特幣。

06

目前,鹽城建湖警方查明eos公鏈上名為“biggame”的賭博平臺有高達7.3萬餘人的涉賭人員,涉及17個國家及地區,涉案資金高達80億元,違法所得超6000萬元;警方抓捕了多地共25名犯罪嫌疑人,查扣價值超2600萬元的虛擬資產130餘萬個。

07

以太坊2.0客戶端prysm的開發團隊prysmatic labs披露了客戶端缺陷的細節,該缺陷導致使用prysm的信標節點持續了18個紀元(約兩小時)無法產生區塊,但是之後自動恢復了,且並未人工干預。

08

本月,安全研究員發現駭客建立了一個偽造directx 12的下載網站,該網站看起來與正常網站無異,但會促使惡意軟體對使用者電腦進行掃描,若使用者存在虛擬資產錢包,還會對ledger live、waves、exchange、coinomi、electrum等一系列內容進行搜尋,最後將竊取的資訊傳送給駭客。

09

根據公開法庭檔案,fbi探員逮捕了一個俄羅斯和瑞典公民羅曼·斯特林諾夫(roman sterlingov),該犯罪嫌疑人是一個比特幣混幣服務運營商bitcoin fog的運營人員,他在10年內提供的混幣洗錢服務所涉及比特幣的金額高達3.36億美元。

beosin評論:

本月【其他方面】典型安全事件頻發,諸如資訊洩露、隱私保護、私鑰竊取、買兇、賭博等相關事件嚴重威脅著整個區塊鏈生態的穩定發展。因此,在重點關注熱門領域的安全態勢的同時,也需要兼顧來自區塊鏈行業【其他方面】的安全風險。


鑑於當前區塊鏈生態安全態勢『成都鏈安』在此總結:

從總體上來看,4月典型安全事件的發生較3月呈現明顯的下降趨勢,事件總數跌落“20”關口,整體事件發生數量處於低風險水平。因此,成都鏈安(beosin)·安全團隊將本月的安全風險定級為【低】。

然而,需要注意的是,本月的典型安全事件分佈較為均勻,每個細分領域都有所涉及,成都鏈安再次建議各大專案方一定要藉助第三方安全公司的專業力量,引入一整套覆蓋全生命週期的安全解決方案,以完善安全防護機制。

另外,【其他方面】所發生的安全事件,往往會是容易被忽略的物件。本月,這一領域事件高發,無疑在提醒著區塊鏈生態各參與方,在夯實關鍵領域的安全防護之外,切記也要更全面地應對各種突發挑戰。


免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读