PeckShield發布2018年度區塊鏈十大安全事件_EOS

2019年1月3日是一個特別的日子，全球的區塊鏈從業者都在以“比特幣十年”的特殊儀式，紀念比特幣創世區塊誕生十周年。十年風雨不由人，十年蹤跡十年心。如果說過去七年，這是條少有人走的路的話，過去三年尤其是剛剛過去的2018年，這條路街景開始變得亮麗且繁華。我們都不再孤獨。在區塊鏈生態的各個環節包括公鏈、智能合約、交易所、錢包、礦池、DApp等各個環節，都有了眾多心懷“信仰”的建設者。安全公司就是其一。在這個生來便被認為安全和效率不可兼得的行業，安全事件注定會伴隨生態發展始終，安全公司則成為記錄這“如歌青春”的最忠誠守護者。根據區塊鏈安全公司PeckShield和BCSEC的數據顯示，2018全年區塊鏈安全事故數量高達138起，造成的經濟損失高達22.38億美元。其中以太坊公鏈出現安全事故超54起，主要因為上半年智能合約和交易所安全事件的頻發，比如：BEC美鏈遭黑客攻擊一日便蒸發9億美元，讓大眾認識到安全對于區塊鏈的扼喉作用。另外EOS公鏈出現安全事故超49起，基本都是源于EOSDApp生態爆發引起的隨機數攻擊、交易回滾等攻擊事件，不僅直接經濟損失高達747,209個EOS，更讓大眾形成了EOS公鏈會囿于菠菜類游戲的認知。相較之下，過去一年BTC僅發生安全事件3起，危害相對較小，大的安全事件比如9月份的BTC超發漏洞，漏洞在造成危害前就得以修復，虛驚一場。PeckShield認為，目前整個區塊鏈安全現狀存在三大矛盾：1、攻擊者強于建設者，表現在，大多智能合約在鏈上公開透明，處于“明處”且目前數字資產價值不菲，懲處機制還不完善，自然成了很多處于“暗處”的黑客首要攻擊對象；2、圖利還是做事難分辨，表現在，處于生態早期的野蠻生長期，智能合約開發者魚龍混雜，存在一些空氣項目、傳銷項目乃至卷款跑路的項目，給生態帶來極大的信任破壞和透支，只有真正做事的項目安全防御、應急響應、危機善后上才會有正確的態度和應對方式，進而不斷積累用戶，擴大市場份額。3、區塊鏈技術門檻高卻亟需新鮮流量入場，表現在，當前整個區塊鏈行業流量池不夠大，普通小白用戶進場在下載錢包、保存私鑰、轉賬買賣等基礎操作層面尚且有很大障礙，因而各類賬號、操作層面的安全問題尚不能杜絕。如果把目前的區塊鏈安全劃分為非常安全、安全、令人堪憂、極度危險四個等級的話，現階段區塊鏈安全是令人堪憂的。PeckShield認為，區塊鏈生態的主要威脅在于，智能合約和DApp生態有個逐步崛起完善的過程，前仆后繼踴進了一大批參差不齊的從業者，他們可能會攜帶大量未知的問題入場，也加劇了安全對于區塊鏈生態的迫切性，需要安全公司的持續護航以及分布在整個區塊鏈生態各個環節的合作伙伴協同努力。事實證明，安全問題或許會伴隨區塊鏈生態壯大愈演愈烈，今年年初ETC遭遇的雙花攻擊事件、以及可致使EOS公鏈癱瘓或“穩贏”所有競猜類DApp的“交易阻塞攻擊"(CVE-2019-6199)等等。新年一系列重磅安全事件的來襲，在向我們敲響警鐘，新的一年，安全問題同樣不容忽視。為了讓更多生態從業者認清當前行業安全現狀，提升安全意識，并加以必要的安全防御舉措。2019年01月25日，全球區塊鏈數據與安全服務商PeckShield(派盾)聯合多家媒體共同發布《2018年度區塊鏈十大安全事件》。PeckShield綜合實際經濟損失、生態連帶性威脅、社會傳導性危害等各個層面的影響，從賬號安全、底層公鏈、交易所和錢包、智能合約、DApp等多個重要生態環節整理了上百起安全事件。先由媒體合作伙伴提名選出20個候選安全事件，然后再聯合12位媒體評審伙伴，共同評選出2018年度十大安全事件：

由Magic Eden為ApeCoin持有者構建NFT市場的提案投票未通過:9月22日消息，據Snapshot投票頁面信息，由Magic Eden為ApeCoin DAO構建NFT市場的提案已被否決，反對票最終占比為60.45%。

此前8月10日消息，Magic Eden向ApeCoin DAO提交新提案，提議由其為ApeCoin DAO構建NFT市場。[2022/9/22 7:13:29]

以下安全事件，僅以時間線進行先后排序：

關于PeckShield:PeckShield是面向全球、業內頂尖的區塊鏈數據與安全服務提供商。PeckShield對各大公鏈生態數據進行全面挖掘和深入剖析，實時感知公鏈的運轉動態并全方位地提煉多個維度的價值數據。通過及時發布行業趨勢報告、敏銳監測生態安全風險、負責任地曝光0day漏洞，奠定了領先的科技創新力和廣泛的行業影響力。商業與媒體合作(包括智能合約審計需求)。

分析 | PeckShield安全播報：BCH硬分叉后續，請謹防“重放攻擊”風險:區塊鏈安全公司PeckShield安全人員分析發現：BCH ABC和BCH SV分叉為兩個獨立公鏈后，尚缺乏全鏈層面的重放攻擊保護，用戶在BCH ABC鏈上發起的交易，很可能被惡意放到BCH SV鏈上實施重放攻擊，反之亦然。需要強調的是，一旦出現“重放攻擊”會嚴重威脅用戶的數字資產安全。PeckShield態勢感知平臺已監測到2筆總計3,635.68枚BCH，存在被重放攻擊嫌疑。PeckShield安全人員在此提醒各大交易所應著力落實雙向重放保護功能，應該將分叉后的ABC和SV幣轉至新生成的不同地址來防范，亦可暫時停止用戶的充提幣業務請求，以避免因重放攻擊造成的資產損失。對一般BCH持有者而言，在問題尚沒得到有效解決前，應謹慎發起任何BCH交易行為。[2018/11/16]

動態 | PeckShield安全播報: EOS競猜游戲EOSDice再遭黑客攻擊 損失4,633個EOS:據PeckShield態勢感知平臺數據顯示：今天上午11:19-11:34之間，黑客coinbasewa11向EOSDice游戲合約（eosbocai2222）發起95次攻擊，共計獲利4,633.4827個EOS。PeckShield安全人員跟蹤數據發現，該黑客賬戶coinbasewa11在攻擊得手后，先將資金轉移至另一賬號coinbasewall，隨后又將所得資金轉向Bitfinex 交易所賬號（bitfinexdep1)。根據當前EOS市場價格37元估算，黑客此次攻擊獲利超17萬元。值得注意的是，此次EOSDice遭攻擊原因同樣是由于隨機數問題被攻破。在經社區玩家提醒察覺到被攻擊后，游戲合約（eosbocai2222）于11:34向另一安全賬戶（eosbocaidevv）轉移700個EOS及時止損，同時EOSDice社區也發出公告暫停游戲。PeckShield安全人員表示，此次開源游戲EOSDice再次被攻擊，已經是EOS DApp本月第三次遭黑客攻擊。[2018/11/10]

聲音 | PeckShield安全公司: EOS競猜游戲FFgame遭黑客攻擊 損失1,331個EOS:據PeckShield態勢感知平臺數據顯示：11月8日凌晨1點，EOS公鏈上又一款競猜類游戲FFgame遭遇了黑客攻擊，黑客賬戶jk2uslllkjfd向FFgame游戲合約 (eoswallet415）發起多達304次攻擊，共計獲利1,331.2922個EOS，隨后于1點36分將1,330個EOS轉移到火幣交易所。

PeckShield安全人員跟蹤發現，該黑客賬戶jk2uslllkjfd為PeckShield的重點監控黑名單賬戶，其創建于10月30日，曾于11月4日凌晨3點，攻擊過另一款EOS競猜類游戲EOSDice (eosbocai2222), 共獲利2,545.1135個EOS。這兩次攻擊都是通過寫合約代碼計算出游戲中獎規律實施攻擊，值得注意的是，該黑客習慣于凌晨實施攻擊，且每次攻擊完都會立刻修改攻擊合約，發送“hi”的垃圾數據用以掩飾攻擊信息。另外，攻擊所得EOS都是立刻轉移到火幣交易所。目前被攻擊 FFgame（eoswallet415）賬號余額里還有81.0105個EOS，并且攻擊后合約沒有更新，漏洞還未被修復。[2018/11/8]

Tags：EOSELDSHIELDSHIeosreelSAFUYIELD幣SHIELD幣SHIR

BNB