事件
黑客勒索及其他攻击
传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是7月至今发生的黑客勒索攻击事件中的主要攻击方式。
此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击(利用了社会工程的方法),其攻击者是三名青少年,其中最大年龄仅有22岁,这起事件在7月以来的安全事件中较典型的一例,产生的影响范围极广。
①
7月2日,MongoDB遭受到攻击,约22900个数据库被清空,攻击者要求以BTC作为赎金赎回被清空数据库的备份。
②
LBANK蓝贝壳于3月22日18:00首发 DORA,开放USDT交易:据官方公告,3月22日18:00,LBANK蓝贝壳首发DORA(Dora Factory),开放USDT交易,现已开放充值。
资料显示,Dora Factory 是基于波卡的 DAO 即服务基础设施,基于 Substrate 的开放、可编程的链上治理协议平台,为新一代去中心化组织和开发者提供二次方投票、曲线拍卖、Bounty 激励、跨链资产管理等可插拔的治理功能。同时,开发者可以向这个 DAO 即服务平台提交新的治理模块,并获得持续的激励。[2021/3/22 19:07:06]
7月11日, Cashaa交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移约合9800美元的BTC。
首发 | Bithumb将推出与Bithumb Global之间的加密资产转账服务:Bithumb内部人士对金色财经透露,Bithumb推出和Bithumb Global之间的加密货币资产免手续费快速转账服务,每日加密货币资产转账限额为2枚BTC。此消息将于今日晚间对外公布。据悉,目前仅支持BTC和ETH资产转账。[2020/2/26]
③
7月15日, twitter遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。
④
7月22日,约克大学信息被盗取,攻击者要求约合114万美金的BTC作为赎金。
首发 | DVP: Bitstamp交易所存在漏洞 可导致大量KYC等信息被泄露:金色财经讯,近日,DVP收到安全人员提交的全球知名交易所Bitstamp的漏洞,攻击者可以利用该漏洞查看大量用户ID、银行卡等敏感信息,严重威胁用户信息安全。为避免发生KYC泄露的恶性事件,DVP安全团队在收到该漏洞后,第一时间通知该平台进行修复,但未收到回应。DVP提醒相关用户关注个人信息安全,以免造成损失。[2019/8/13]
⑤
7月23日,英国足球联盟信息被盗取,攻击者要求BTC作为赎金。
⑥
7月25日,西班牙铁路基础建设管理局约800gb信息被盗,攻击者要求BTC作为赎金。
首发 | 蚂蚁矿机S17性能曝光 采用全新散热技术及全局优化定制方案:金色财经讯,日前,比特大陆即将发布的蚂蚁矿机S17性能曝光。据蚂蚁矿机S17产品经理朋友圈称,新品将采用新一代散热技术及全局优化定制方案。据了解,该散热技术可能是指芯片的封装技术,也有可能是机器的散热结构设计。至于S17产品“全局优化定制”方案未有细节透露。有声音评价,这或许是为决战丰水期做出的准备。[2019/3/22]
⑦
7月30日,佳能遭受到黑客攻击,约10tb照片和其他类型数据被盗,用户要求以数字货币作为赎金。
⑧
7月31日,数字货币交易所2gether遭受到黑客攻击,约139万美金的BTC被盗。
代码漏洞攻击
对于代码漏洞攻击相关事件,攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件(租用庞大的算力)来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。
⑨
8月4日,DeFi项目Opyn被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约37万美金的损失。
攻击类型及危险
攻击事件类型及危险程序:
勒索及其他攻击——攻击的方法和媒介如下:
代码漏洞攻击:——攻击的方法和媒介如下:
因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析第9号代码漏洞攻击事件。
代码漏洞攻击事件分析
第9号事件
此次事件发生于DeFi项目Opyn中,攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。
攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。
也就是说,攻击者可以用一笔ETH进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的ETH。
CertiK安全研究团队认为,Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。
总结
在此,CertiK安全团队建议如下:
做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。
做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。
做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。
我们绝不仅仅是寻找漏洞,而是要消除哪怕只有0.00000001%被攻击的可能性
前不久震惊全球的推特账号大规模被黑事件破案了。2020年7月15日,大批名人和知名企业官方推特账户遭黑客入侵,发布比特币空投局.
1900/1/1 0:00:00本文由尺度区块链供稿,授权金色财经首发。最近一段时间由于比特币、以太坊的涨幅喜人,吸引了新的投资,也吸引了众多分析师的各种分析,其中最多的是分析K线技术指标,然后加上DeFi大爆发,2017年的.
1900/1/1 0:00:00金色财经报道,加密货币永续合约交易所OOEX今日发布了停运公告,公告称,平台近期一直频繁遭受高频的黑客攻击,加上市场恶意竞争的压力、技术相关问题,OOEX将于2020年7月31日晚8时关闭交易.
1900/1/1 0:00:00Bancor V2的智能合约已经部署在以太坊主网上。Bancor V2有一些亮眼的DEX功能,其中包括:可以减轻无常损失保持单个代币的敞口20倍的流动性放大减轻无常损失对流动性提供者有很大吸引力.
1900/1/1 0:00:00财联社(上海,研究员 姚辉)讯,比特币短期连续大涨、各国央行加速数字货币领域角逐的消息刷屏,龙头股飞天诚信今日强势连板.
1900/1/1 0:00:00金色财经报道,8月3日,ETC官方推特公布了区块链数据分析公司Bitquery针对ETC遭受51%攻击事件的调查报告。报告显示,8月1日0:30-8月2日11:30,ETC遭受51%攻击.
1900/1/1 0:00:00