據 PeckShield 態勢感知平臺資料顯示,過去一個月,整個區塊鏈生態共發生 28 起較為突出的安全事件,危害程度評級為「中級」,涉及 DeFi 8 起、錢包安全 2 起,公鏈安全 6 起,交易所相關 1 起,勒索相關 4 起,詐騙跑路 7 起等。
DeFi 安全
8 月份共發生 8 起 DeFi 相關安全事件,具體如下:
1)DeFi專案Yam Finance(YAM)釋出推文稱,在Rebase合約時發現一個bug。初始重新設定之後的Rebase將產生比預期更多的YAM。
2)DeFi專案YFValue (YFV)釋出公告稱,團隊於昨日在YFV質押池中發現一個漏洞,惡意參與者藉此漏洞對質押中的YFV計時器單獨重置。
3)08月05日,DeFi期權平臺Opyn的看跌期權(Opyn ETH Put)智慧合約遭到駭客攻擊,損失約37萬美元。攻擊者發現Opyn智慧合約行權(exercise)介面對接收到的 ETH存在某些處理缺陷,其合約並沒有對交易者的實時交易額進行檢驗,使得攻擊者可以在一筆對自己發起真實的交易之後,再插入一筆偽裝交易騙得賣方所抵押的數字資產,進而實現空手套白狼。
4)YFII的硬分叉專案YYFI已在8月1日凌晨徹底成為了“退出騙局”,從一開始這個專案似乎就打定了注意為自己的跑路做好了準備。
5)推特上有網友爆料稱DeFi流動性挖礦專案Degen.Money透過兩次授權獲取使用者資金。第一次授權給了質押合約,第二次授權給了轉賬權,會導致使用者資金被攻擊者拿走。
6)新興的自動做市商平臺SushiSwap,被曝智慧合約中存在多個安全漏洞。該漏洞可能會被智慧合約擁有者利用,允許擁有者進行包括將智慧合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該專案智慧合約還存在嚴重的重入攻擊漏洞,會導致潛在攻擊者的惡意程式碼被執行多次。
7)DeFi流動性耕種匿名專案BASED官方宣佈將重新部署質押池,官方釋出推特稱,有駭客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。
8)兩個小型代幣專案——NUGS和NEXE——在上線Uniswap不久後疑似已進行了“跑路詐騙”。NUGS專案將這一舉動歸咎於“智慧合約漏洞”,在其官方電報頻道,NUGS表示其智慧合同現已“無法修復”。另一個專案NEXE疑似也已跑路,該專案的社交媒體賬號已被刪除。
PeckShield 點評:隨著 DeFi 專案功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與使用者資產的緊密聯絡,DeFi 專案的安全問題非常嚴峻。由於各專案由不同團隊開發,對各自產品的設計與實現理解有限,整合的產品很可能在與第三方平臺互動的過程中出現安全問題,進而腹背受敵。PeckShield 在此建議,DeFi 專案方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
數字錢包安全
8 月份共發生 2 起錢包安全事件:
1)一GitHub使用者表示其比特幣鉅額款項被駭客盜取。據悉,該使用者使用的是比特幣錢包Electrum軟體,上次訪問是在2017年。此後Electrum已經發布了安全更新,但該使用者一直沒有安裝,因此他這回轉移比特幣之前,被提示更新和修補潛在問題。但當他根據提示操作的時候,該軟體利用一個漏洞連線了駭客的伺服器,1400枚BTC(價值1600萬美元)隨即從他的錢包中被取出,存入了駭客的錢包中。
2)8月30日訊息,加密錢包提供商Ledger最近出現了資料庫洩露以及錢包漏洞,使使用者的比特幣面臨風險。Ledger技術長Charles Guillemet對此表示,就資料庫洩露而言,攻擊者透過第三方在我們網站上配置錯誤的API金鑰訪問了我們的電子商務和營銷資料庫的一部分,允許未經授權訪問我們客戶的聯絡方式和訂單資料。Ledger在同一天修復了這個問題,並禁用了API金鑰。
PeckShield 點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網路連線的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,使用者也要謹防網路釣魚,惡意程式碼注入等攻擊方式。
公鏈安全
8 月份共發生 6 起公鏈相關安全事件:
1)8月4日早間,Adamant Capital創始人Tuur Demeester發推稱,今日比特幣全節點可能正在遭受連線槽耗盡攻擊。而根據Tuur Demeester所轉發的Blockstream副總裁Warren Togami釋出的訊息,其監測的幾個比特幣全節點,所有轉入的連線插槽都滿了。Warren Togami表示,當公共傳入連線槽耗盡時,來自本地主機的傳入連線將停止。
2)根據北京大學、北京郵電大學、浙江大學和昆士蘭大學的研究人員的一項新研究,以太坊區塊鏈上價值超過10億美元的代幣缺少2017年釋出的一項軟體標準,使這些代幣容易被劫持並從交易所流失。該軟體漏洞被稱為假冒存款(fake deposit)漏洞,已在7772個ERC-20代幣發行商處被發現。該研究表明,透過操縱使用了不足的交易驗證方法的ERC-20代幣智慧合約中的程式碼,駭客幾乎可以無成本騙取大量資金。假冒的存款攻擊隨後可能會使交易所崩潰,導致ERC-20代幣和其他加密貨幣持有人損失其資金。
3)OpenEthereum中的一個更新使執行在新版本上的節點基本上無用,這個bug似乎是在OpenEthereum的2.7.2版本中引入的。OpenEthereum決定簡單地廢棄2.7版本,因為此版本及其bug非常難修復。最新的2.5.13穩定版迭代定於9月中旬在Berlin硬分叉之前釋出。但是,在此之前,下載新版本的運營商將面臨極具破壞性的降級任務。基礎架構開發商BlockNative的開發商Liam Aharon在Twitter上強調,降級需要完全重新同步區塊鏈,“對於某些節點配置,這將需要數月的時間。”該漏洞影響了當前Parity大約50%的節點,根據Ethernodes的資料,該節點總計佔整個網路的12%。OpenEthereum團隊正在研究一種轉換過程,該過程將幫助節點避免昂貴的重新同步。
4)Bitfly(Ethermine礦池母公司)發推稱,今天,ETC區塊鏈在區塊高度10904146經歷了一次3693個區塊的鏈重組。這導致所有狀態修建節點停止同步。這可能是51%攻擊造成的,而後官方尋求所有交易所立即停止存取款,並調查所有最近發生的交易。
5)8月30日,Bitfly(Ethermine礦池母公司)官方發推稱,今日ETC又遭遇了一次大規模51%攻擊,導致7000多個區塊發生重組,相當於大約2天的開採時間。所有丟失的區塊將從未到期的餘額中移除,其將檢查所有支出以查詢丟失的交易。
6)8月25日, Filecoin太空競賽開啟, CDSI聯盟節點"t02398"便遭受大量惡意非法攻擊,攻擊者透過已過濾白名單傳送大量message堵塞節點,消耗Lotus節點大量運算使得節點不能正常完成任務最終導致丟掉算力。
PeckShield 點評:公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。
交易所相關
8 月份共發生 1 起交易所相關安全事件:
1)韓國第三大數字貨幣交易所Coinbit被韓國警方查封調查,其董事長以及運營方涉嫌交易所內部交易和操縱市場價格。據悉,Coinbit排在Bithumb和Upbit之後,為韓國第三大交易所。警方稱該公司涉嫌利用非法手段賺取了至少1000億韓元的非法利益(約8500萬美元),Coinbit同時涉嫌偽造了其超過99%交易量。
PeckShield 點評:駭客盜取資產後實施洗錢,不管過程多周密複雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的 KYC 和 KYT 業務均提升了要求,交易所應加強 AML 反洗錢和資金合規化方向的審查工作。詳情可訪問www.coinholmes.com 瞭解。
勒索相關
8 月份共發生 4 起勒索相關安全事件:
1)過去幾周,一個犯罪團伙對全球一些最大的金融服務提供商發起了DDoS攻擊,並索要比特幣贖金。據悉,該組織使用了像Armada Collective和Fancy Bear這樣的名字——這兩個名字都是借鑑了知名駭客組織——給公司發郵件,威脅將進行DDoS攻擊並索要比特幣贖金。
2)勒索軟體犯罪團伙REvil(也被稱為Sodinokibi),聲稱已成功襲擊了美國葡萄酒和烈酒巨頭Brown-Forman Corp,駭客在其暗網官方部落格以大約150萬美元的價格出售被盜資料。不過,Brown-Forman Corp在一份宣告中表示,他們已經成功地阻止了該網路犯罪團伙加密檔案。
3)奧地利警方正在調查炸彈威脅勒索激增的情況,此前有多家公司週二早上收到了勒索比特幣的電子郵件。郵件內容顯示,如果不在未來80小時內支付價值2萬美元的比特幣,他們將引爆炸藥。奧地利媒體稱,電子郵件中還包含有關如何購買比特幣的說明。
4)特斯拉透過與美國聯邦調查局(FBI)展開合作,成功破獲一起計劃中的勒索軟體攻擊。據悉,該起攻擊的目標是特斯拉位於內華達州的一處工廠,攻擊者要求特斯拉支付價值數百萬美元的比特幣。
PeckShield 點評:勒索類安全事件一直是影響整個網際網路生態的重大隱患,不侷限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
其他詐騙跑路等事件
除上述之外,8 月份還發生了多起詐騙跑路事件值得警惕,例如:
1)蘭州市公安局安寧分局近日成功打掉了一個利用虛假理財平臺實施電信網路詐騙犯罪的犯罪團伙,共抓獲犯罪嫌疑人41人,凍結涉案贓款27萬餘元、查扣寶馬汽車2輛以及用於作案的手機、電腦等工具100餘臺(部)。
2)8月20日,從江蘇省蘇州市公安局獲悉,在“淨網2020”專項行動中,該市破獲一起針對虛擬貨幣的駭客犯罪案件,抓獲多名犯罪嫌疑人。嫌疑人專門利用駭客手段盜取賬戶密碼、竊取虛擬貨幣,並透過暗網聯絡職業洗錢銷贓團伙變現,涉案金額達3000餘萬元。
3)以色列網路安全公司Mitiga建議執行某些程式的亞馬遜網路服務(Amazon Web Services)的所有客戶檢查自己是否受到了門羅幣挖礦軟體的惡意感染。在今天的一份報告中,Migita稱任何執行基於Community AMIs(Amazon Machine Images)的EC2例項的使用者都容易受到該加密挖礦軟體的攻擊。據悉,Migita是在檢查一家金融機
4)騰訊安全威脅情報中心檢測到大量源自境外IP及部分國內IP針對國內雲伺服器租戶的攻擊。攻擊者透過SSH(22埠)爆破登陸伺服器,然後執行惡意命令下載Muhstik殭屍網路木馬。該殭屍網路會控制失陷伺服器執行SSH橫向移動、下載門羅幣挖礦木馬和接受遠端指令發起DDoS攻擊。
5)西班牙加密貨幣支付應用和信用卡發行商2gether承認,上週五(7月31日)駭客盜取140萬美元,公司無法立即償還受攻擊影響的使用者,並提出一個折衷方案。2gether一直在努力尋找資金,但是與一家投資集團的談判失敗,未能找到資金向所有使用者償還被盜資金。
6)8月15日訊息,中國香港警方逮捕了三名男子,他們涉嫌從比特幣ATM機中騙取近23萬港元(合3萬美元),這是香港首例此類案件。在兩家加密貨幣交易所提交報告後,警方在過去兩天採取了行動。這些交易所懷疑犯罪分子利用了自動取款機的“漏洞”,在沒有得到官方授權的情況下提取現金。
7)近期,廣州白雲警方在深入開展颶風2020專項行動過程中,發現並打掉了一個藉助“跑分”平臺進行數字貨幣交易,從而為電信詐騙“洗錢”的團伙,抓獲涉案嫌疑人9人,繳獲作案手機、銀行卡等涉案物品一批。
PeckShield 點評:因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,使用者應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
