事件
駭客勒索攻擊
傳統的勒索軟體攻擊以及透過系統漏洞遠端控制受害者系統的攻擊,是7月至今發生的駭客勒索攻擊事件中的主要攻擊方式。此類攻擊行為,攻擊者不需要了解熟悉區塊鏈的知識和技術細節就可以完成攻擊,尤其是twitter攻擊(利用了社會工程的方法),其攻擊者是三名青少年,其中最大年齡僅有22歲,這起事件在7月以來的安全事件中較典型的一例,產生的影響範圍極廣。
①
7月2日,MongoDB遭受到攻擊,約22900個資料庫被清空,攻擊者要求以BTC作為贖金贖回被清空資料庫的備份。
②
7月11日, Cashaa交易所發生交易異常,攻擊者透過控制受害者電腦,操作受害者在Blockchain.info上的比特幣錢包,向攻擊者賬戶轉移約合9800美元的BTC。
③
7月15日, twitter遭受社會工程攻擊,員工管理賬號被盜,造成多個組織和個人的推特上釋出欺詐資訊,誘使受害者向攻擊者比特幣賬戶轉賬。
④
7月22日,約克大學資訊被盜取,攻擊者要求約合114萬美金的BTC作為贖金。
⑤
7月23日,英國足球聯盟資訊被盜取,攻擊者要求BTC作為贖金。
⑥
7月25日,西班牙鐵路基礎建設管理局約800gb資訊被盜,攻擊者要求BTC作為贖金。
⑦
7月30日,佳能遭受到駭客攻擊,約10tb照片和其他型別資料被盜,使用者要求以數字貨幣作為贖金。
⑧
7月31日,數字貨幣交易所2gether遭受到駭客攻擊,約139萬美金的BTC被盜。
程式碼漏洞攻擊
對於程式碼漏洞攻擊相關事件,攻擊者則必須要理解區塊鏈51%攻擊並且能夠找到可以利用的條件(租用龐大的算力)來完成攻擊,並且需要對智慧合約的技術有深刻的瞭解,找到其中的邏輯漏洞並加以利用。
⑨
8月4日,DeFi專案Opyn被攻擊者透過程式碼漏洞,獲得數目等於存入數目兩倍的代幣,最終造成了約37萬美金的損失。
攻擊型別及危險
攻擊事件型別及危險程式:
勒索攻擊——攻擊的方法和媒介如下:
程式碼漏洞攻擊:——攻擊的方法和媒介如下:
因勒索攻擊門檻低,攻擊方式大同小異,因此可供分析程度有限,下文將為大傢俱體分析8月兩起(第9號及第10號事件)程式碼漏洞攻擊事件。
程式碼漏洞攻擊事件分析
⑨
第9號事件
此次事件發生於DeFi專案Opyn中,攻擊產生的原因是Opyn在智慧合約oToken中的exercise函式出現漏洞。攻擊者在向智慧合約中傳送某一數量的ETH時候,智慧合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致,並沒有動態的檢查攻擊者傳送的ETH數量是否在每一次交易之後,仍舊等於完成該次期貨買賣所需要的數量。
也就是說,攻擊者可以用一筆ETH進行抵押,並再贖回兩次交易,最終獲得自身傳送數量兩倍的ETH。
CertiK安全研究團隊認為,Opyn沒有對其更新完成後的智慧合約再次進行嚴謹的安全審計驗證就直接進行部署執行,從而造成了其智慧合約中的程式程式碼漏洞沒有被及時發現,是此次事件發生的主要原因。
總結
在此,CertiK安全團隊建議如下:
做好區塊鏈專案執行的硬體以及平臺軟體的安全漏洞篩查,在日常工作中關注培養員工對於駭客攻擊常見手段的認識和防禦意識。
做好對區塊鏈運營中可能出現的某方佔有超過全區塊鏈一半總算力的“支配”情況,對於特定區塊鏈專案中的防護,可以考慮採用提高交易確認必須次數或者最佳化共識演算法。
做好對區塊鏈專案中鏈程式碼和智慧合約程式碼的驗證審計工作,邀請多個獨立的外部安全審計服務來審計程式碼,並在每次更新程式碼後進行重新審計。
