在区块链行业,安全问题是最根本的问题,相信你一定听过“1行代码损失几十亿”、“干了一年被黑客一夜搞走”等言论,因为区块链发展还处于早期,加上一旦上链就不可篡改等特性,让它成为了黑客攻击的重灾区。猎豹区块链安全将在本月开始,对区块链行业发生的安全事件进行盘点,旨在帮助大家认识区块链的安全问题,以此推动行业向前发展。2018年9月9日——DEOSgames
事件背景
DEOSGames是一个运行在EOS区块链之上的去中心的类游戏应用平台,9月9日,一位名为RunningSnail的DEOSGames用户进行了一次看起来相当成功的下注,用1000美元支付了数十次,存入10个EOS,然后在30秒后赢得头奖。损失规模:价值约24,000美元的EOS攻击媒介:智能合约漏洞事件经过及安全分析
◆DEOS在刚刚创建不到一小时的时间里,就向EOS帐户进行了24笔转账,而且,这些账户都是该合约在不到一天之内创建的,根据EOS的交易记录,每次恶意账户存入10个EOS时,它收到的DEOSGames合约金额约为20倍。换句话说,黑客利用了该游戏的某个漏洞,每次都能够赢得头奖,此次攻击的整体收益约为成本的20倍◆DEOSGames官方在推文中发表看法,“这是一个很好的压力测试,我们的项目在合约层面得到了显著改善。”◆目前尚不清楚黑客利用了DEOSGames合约中的哪个漏洞,或者EOS内核中是否存在其他漏洞安全小豹的看法
湖州电力物资供应签约结算通过区块链技术实现“零”跑办:4月27日,湖州飞剑杆塔制造有限公司业务代表沈利平收到国网湖州供电公司发来的电子合同签署任务短信提醒——“请登陆‘电e签’平台,审核并签署‘2020年度铁附件框架协议’,签订有效期为3个工作日”。沈利平随即登录“电e签”统一签署平台,从收件箱中找到相应合同并复核无误后,点击“签署”键,原本需要至少半天时间的合同签署工作只花了短短5分钟就完成了。如此高效的签约工作得益于国网湖州供电公司对基于区块链技术的电子合同签署平台的成功应用。[2020/5/1]
◆发生该攻击事件之后,DEOSGames团队的反应令人费解,他们没有对社区声明自己是如何监控黑客攻击的,按照常识,一个简单的监控脚本就可以检测到这种异常现象。◆我们假设DEOS游戏是有这样的检测工具的,那么此次攻击的深层次原因就值得深究了,不排除团队坐庄割韭菜的嫌疑。◆目前,此类游戏风险太高,建议广大用户理性投资,谨慎选择。2018年9月18日——NewDexNewDex是全球首家基于EOS区块链的去中心化交易所,8月8上线,号称能够完美支持平台性能,交易速度媲美中心化交易所,且不接触用户私钥,导入钱包即交易,以此保障资产安全。但是在上线后一个多月后,就遭遇EOS刷假币事件,通过这起事件,外界开始质疑NewDex是否是真正的去中心化交易所。损失规模:58,000美元事件经过及安全分析
声音 | 兴业银行:已设立区块链技术应用开发与孵化团队 打造多个区块链金融产品:兴业银行(601166)在互动平台表示,我行较早开展探索区块链技术。2016年,我行敏锐察觉区块链技术的内在价值和转型机遇,设立区块链技术研究课题组并进行区块链技术研究、原型开发等技术性工作。2018年,我行将区块链技术纳入重点布局的八大技术方向之一,着力推动区块链技术赋能业务场景。目前,我行已经设立区块链技术应用开发与孵化团队,着力构建区块链、大数据、人工智能等六大金融科技基础服务平台,并推动区块链技术在数字存证、供应链金融等业务场景落地,打造“倚天鉴”电子合同云服务平台、广州金融行业首个区块链电子发票服务平台等区块链金融产品。[2019/11/26]
◆恶意帐户EOS账户“oo1122334455”于2018年9月1414:01:45发行10亿个假EOS,并全额分配给dapphub12345账户。◆随即由dapphub12345转入iambillgates账户,iambillgates账户于14:21:37尝试性的多次用1个假EOS挂单委托买入IPOS和ADD,并且成功以假EOS买入IPOS和ADD。成功买入BLACK、IQ、ADD后,iambillgates账户立刻将非法获得的Token转入xx1234512345与x12345x12345账户,最终由xx1234512345在Newdex中挂市价单卖出部分非法获得的Token,共计卖得4028个真实的EOS◆然后,真的EOS本地货币被发送到Bitfinex与其他加密货币进行交易◆此次假EOS刷币事件共给Newdex用户造成11803个EOS的损失,NewDex团队为此事件道歉,本着负责任的态度决定承担此次全部损失,并且也已经在第一时间修复相关问题并恢复正常运营。◆对NewDex基础设施的进一步调查显示,Newdex没有使用智能合约来验证用户发送的token安全小豹的看法
声音 | 慢雾余弦:区块链安全漏洞引起的财产损失未来将进一步扩大:据算力智库微信公众号文章,公开资料数据显示,2011-2019年之间,由区块链安全漏洞引起的损失高达84亿美元。其中,交易所是重灾区,占比近一半。对此,慢雾余弦表示,一方面,交易所的门槛比以往低了很多,而安全防护水平又层次不齐,对于地下黑客来说那就是满地黄金。此外,这一数据的背后体现了了人们对加密货币市场,对区块链的认同。基于这个共识,行业规模扩大,错误也随之放大。未来这一数据增幅还将继续扩大。对于中心化的交易所而言,会受到传统行业的攻击,如服务器、办公网等,也和公链、智能合约有关。每一环都有可能存在的安全问题。他建议把IT建设的预算中拿出15%-20%作为安全预算,其中包括人员的成本维护,杀软件,防火墙的购置等。但是这并不代表你配置了这些就一定不会被黑。抛开攻防博弈成本去看待这个问题是不客观的。你每投入一定的比例,那攻击门槛则相对提高了一个台阶。相对来说你被黑的概率会低很多,但我们这个行业没有人可以给出这样的一个永不被黑的承诺。[2019/10/30]
◆这起事件中,黑客用EOS原生货币来交易假的代币,导致NewDex系统中EOS严重贬值◆之所以黑客能够得手,是因为NewDex没有通过其智能合约验证token的事实性,因此我们可以得出结论:本质上看,NewDex只是处理用户交易时使用的帐户订单的中心化场外交易所,并不是像他自己宣称的一样,是一家去中心的交易所!◆种种迹象表明一个事实:NewDex在冒充自己是一家去中心化的交易所。他们只是在他们的中央服务器上进行交易匹配,在处理交易时系统甚至没有检查存入的token真实性。◆在这里,我们建议大家,在选择数字货币交易所交易时,需要进行详细的尽职调查,而不要媒体宣传所蛊惑,最好能够在客观中立的第三方评级机构查看他们的相关信息。2018年9月19日——Zaif交易所被盗事件
周鸿祎:未来区块链行业一定会出现更多的安全问题,这就是我们的机会:周鸿祎称:“我们现在看区块链,涉足区块链,肯定还是围绕安全。我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。未来区块链行业一定会出现更多的安全问题,这就是我们在其中的机会。”[2018/5/30]
事件背景:
2018年9月19日,总部位于大阪的TechBureauCorp.旗下的Zaif交易所发生了比特币、萌奈币(MonaCoin)和比特币现金被盗事件,被盗总额为价值6,000万美元的数字货币,其中约有22亿日元(约合1,960万美元)的被盗加密货币属于该交易所,其余的是客户资金。损失规模:6000万美元被盗取的数字货币:比特币、比特币现金和MonaCoin事件经过及安全分析
◆2018年9月14日之后,zaif交易所关闭了用户的存取款服务。◆根据Zaif交易所的说法,关闭该服务的原因是在9月14日17:00至19:00之间,发现有人非法入侵了其热钱包◆经核实,该黑客的非法行为导致了5,900美元价值的BTC、比特币现金和萌奈币损失◆Zaif在公告上没有公布被攻击的细节,它寻求了日本当局帮助调查此次被盗案◆事实证明,在此攻击行为发生前,日本金融厅分别于3月8日和6月22日,向zaif发出过关于其内部管理系统和安全措施的预警。◆被盗事件发生后第一时间,日本金融厅向Zaif母公司TechBureau发出了今年的第三份业务改善令。但是Zaif交易所没有对FSA的建议做出任何行动◆根据扎伊夫对当局的透露,事件的起因居然是交易所一名员工的电脑被黑◆11月22日,Zaif交易所把虚拟货币的相关业务转移至FISCO集团,Fisco集团将接管Zaif并赔付用户此次被盗的资金。◆需要强调的一点是,这起事件是加密货币历史上损失最大的安全事件之一安全小豹的看法
摩根大通区块链中心负责人Amber Baldet将离职:据路透社报道,摩根大通区块链高管Amber Baldet将离职进行创业。Baldet为业界知名人物,曾负责摩根大通区块链项目Quorum的产品开发和区块链战略,在Coindesk2017年度最有影响力100人中排名第四。[2018/4/8]
◆根据种种迹象表面,该事件的起因很可能是Zaif员工的计算机被黑客成功利用钓鱼网站的方式攻击了◆对于数字货币交易所来说,犯这种低级错误是不非常不应该的。◆我们认为,该事件对广大数字货币交易所敲响了警钟,安全意识是数字货币交易所的根基,每家交易所都应在新员工入职工作之前,进行必要的网络安全培训。其他相似的攻击事件
2017年7月,在Bithumbhack也使用了相同的方法,数百万美元的加密货币被盗,并且导致客户数据被泄露SpankChain事件背景
SpankChain是一个基于以太坊公链的成人娱乐区块链项目。团队于10月9日在博客上表示,上周六遭受到黑客攻击,损失了165.38ETH(当时价值约3.8万美元)。另有价值4000美元的BOOTY币遭到冻结。损失规模:超过40,000美元攻击方式:通过智能合约的重入漏洞事件经过及安全分析
◆此次黑客攻击利用到是SpankChain智能合约中的重入漏洞,该漏洞类似于著名到TheDAO事件中的漏洞◆技术团队发现合约被黑客入侵是在攻击发生后的24小时,SpankChain团队第一时间关闭了自己的官网◆攻击发生后,该公司表示,他们会为ETH的airdrop工作,来偿还那些在攻击中损失资金的用户◆10月12日,黑客竟然主动联系了SpankChain的首席执行官,将165.38ETH退还给该团队,另外黑客还帮助SpankChain恢复了因攻击而被冻结的大约4000个BOOTY代币。作为回报,SpankChain团队给了该黑客一些奖励。◆SpankChain曾公开表示,他们进行没有给智能合约对已经发生过的安全漏洞进行审计,认为审计费用“非常昂贵”。安全小豹的看法
◆SpankChain区块链社区对该事件的反应比较激烈,原因很可能是难以接受被黑客利用著名的重入漏洞进行攻击。◆重入其实就是递归,就是对于一个函数的循环调用和对自身的循环调用,针对重入漏洞最根本的解决方案还是在转账之前就把所有应该变更的状态提前更新,而不是在转账之后再进行更新。◆在这里,再次提醒大家,区块链行业里安全审计的重要性。在上链前,只需投入很少的费用,对智能合约进行安全审计,就可以很好的避免这种事情。◆在区块链里,没有删除和修改的概念,一旦合约部署到公链,就无法篡改,全球数以万计的黑客可以慢慢的,一行一行的找上面的漏洞。对于区块链行业来说,安全审计是必不可少的流程。◆庆幸的是,当时黑客返回了价值数百万美元的Ether。目前还不清楚黑客为何会归还被盗资金,这对受害者来说可能是一种安慰,但是这种事情不常有。但这也不是第一次发生,在CoinDashICO的事件中也曾经出现过黑客归还被盗资金的事情。◆希望这次事件过后,项目方、交易所都能够警醒,认识到安全审计的重要性。猎豹区块链安全中心提供相应的审计服务,详情请访问:safe.cmcm.com其他相似的攻击事件
DAOHack——以太坊区块链历史上最臭名昭着的事件之一,引起以太坊区块链的硬分叉,分裂成以太坊和以太坊的经典的事件。EOSBetEOSBet是EOS上的游戏平台,分别在9月14日和10月15日遭受了两次黑客的攻击,损失分别为44427.4302个EOS和138,319.7995EOS。损失规模:200,000美元+338,000美元攻击方式:利用智能合约中的漏洞事件经过及安全分析
第一次黑客攻击:◆9月14日,EOSBet遭到黑客攻击,EOSBet团队官方宣称:这个攻击并不简单,我们正在进行取证,并将所发生的事情拼凑在一起,来寻找蛛丝马迹◆根据TheNextWeb的分析,“黑客的攻击方式是使用假哈希在外部调用'传输'功能”◆攻击发生后,一个与EOSBet官方帐户名称非常相似的EOS帐户,向攻击者的地址发送了少量EOS,并且附带一个要求对方退回被盗资金的消息,声称如果不退回,他们将雇用一个律师团队追捕并起诉攻击者。◆9月16日,EOSBet重新上线,并且官方发布了关于黑客攻击的详细报告,承诺他们的合约已经修补了全部漏洞,目前是非常安全的第二次攻击:◆一个月后,黑客利用EOSBet合约在检验收款方时存在的漏洞,伪造转账通知,总计从eosbetdice11获利138,319.7995EOS。◆其中72,150EOS流入了Bitfinex,65,100EOS流入了Poloniex。根据EOS当前行情价格37元估算,EOSBet平台此次损失额超500万元。◆该公司报告称,他们正与这两家交易所谈收回资金的事情安全小豹的看法◆EOS的智能合约发展相对ETH来说还比较早期,频频发生的安全事件对这个新生儿来说是不可承受之痛结语9、10两个月的安全大事件主要集中在EOS的智能合约漏洞和交易所相关的漏洞,损失的金额可以说是非常高。但是在这些事件中,有很多是完全可以避免的,之所以频频发生安全事件,很大程度上是因为我们的安全意识还太过于薄弱。安全事件的频发,加上行业的暴跌,不断打击着区块链参与者的信心,但是不妨我们换个视角,放眼整个行业的发展来看,如果行业的参与者能够从这些巨额损失的安全事件中获得警醒,汲取过往的教训,更加注重安全方面的建设,相信这对于茁壮发展的区块链行业来说是非常利好的。猎豹区块链安全以金山霸的技术为依托,结合人工智能、nlp等技术,为区块链用户提供合约审计、情感分析等生态安全服务,旗下产品Ratingtoken是专注于数字货币和ICO评级和排?行行的区块链评级机构。了解更多请访问:Ratingtoken官网
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。