區塊鏈安全盤點及分析（18年11月）_TER

前不久，獵豹區塊鏈中心盤點了9、10月的區塊鏈安全事件，在9月和10月，黑客的攻擊主要集中在EOS和交易所。而在11月的安全事件中，這兩類攻擊暫時消停，但2個月未見的51％攻擊卻再現江湖；鋼鐵俠馬斯克“被”卷入了Twitter詐騙案；另外，我們還發現了潛在的代碼共享的漏洞危機......2018年11月13日：Twitter詐騙

損失規模：32,700美元

事件經過及安全分析

11月12日，黑客入侵了電影制作公司、國會議員甚至是哥倫比亞交通部等經過認證的“藍V”推特賬號，通過修改名字、頭像并上傳新內容，假裝是特斯拉CEO馬斯克本人。黑客在推文中以馬斯克的口吻稱，自己將離任特斯拉董事長職務，并送出10000枚比特幣(近6000多萬美元)回報大家。而參與活動的前提，則是需要先轉小額比特幣(0.1-3個)到制定的地址來確認賬戶信息。他們甚至找了托給推文評論：“我剛轉了2.7個比特幣，現在收到了54個!”、“我發了0.50比特幣并拿回了5個”、“+25BTC，謝謝你”在推文刪除之前，點贊和轉發都已上萬，錢包地址則已經收到超過32,700美元價值的比特幣。在同一天，GoogleGSuit也發出了類似的消息，要求用戶在0.1到2之間發送BTC，并承諾能獲得10倍的BTC回報，幸運的是，沒有人將BTC發送到那個地址。安全小豹的想法：

動態 | 區塊鏈公司CREAM與加密貨幣交易所Bitrue建立合作關系:區塊鏈公司CREAM與加密貨幣交易所Bitrue建立合作關系，Bitrue承諾對唯鏈（VeChain）X節點計劃進行支持，為唯鏈社區成員提供收益和獎勵。據悉，CREAM參與了VeChain區塊鏈項目。（BTCManager）[2020/2/25]

這種方式并不能成為一種攻擊手段，我更愿意把它稱之為騙局，黑客充分利用和放大了人性的貪婪，浮躁和急功近利的丑陋真相在這種簡單的誘惑面前展現的一覽無遺。上個月是美國的安全月，我認為每個入行區塊鏈的人都應該好好的學習一下基本的網絡詐騙知識。但更重要的事，是在浮躁的幣圈里保持清醒的頭腦，不要再誘惑面前失去基本的智商。2018年11月13日：AurumCoin遭受51％攻擊

事件背景：

聲音 | 信通院金鍵：用連接范式3問理解區塊鏈:12月19日，由中國信息通信研究院、中國互聯網協會、北京航空航天大學聯合主辦的“智能+學院”區塊鏈系列中國互聯網協會專場培訓在北京召開。信通院工業互聯網與物聯網研究所所金鍵提出“連接范式3問”：1.智能連接：都說萬物互聯，為什么很多設備都連不起來？2.價值交換：為什么不能向發送短信一樣點對點的進行支付？3.數據保護：為什么信息不讓所有者做主？為什么我的數據不能隨身攜帶？不能發揮更大的價值？金鍵表示：“區塊鏈技術很復雜，但這3個問題給了我們啟發，讓我們知道來到了一個需要什么技術的時代，去理解區塊鏈技術到底能夠用來做什么。”（巴比特）[2019/12/19]

AurumCoin是以黃金為價值支撐的加密貨幣，每個代幣都與純24K價值的黃金掛鉤。AurumCoin聲稱，每發行一個代幣，就會在全球安全保險庫中存0.75克的黃金。自2014年以來，它一直在運行自己的區塊鏈，其中AU是可開采的，硬幣上限為300,000。損失規模：550,000美元

動態 | 德國區塊鏈金融公司Bitwala籌集1300萬歐元 索尼金融風投公司聯合領投:據CoinDesk消息，德國區塊鏈金融公司Bitwala在A輪融資中籌集1300萬歐元（約合1450萬美元）。Bitwala周三宣布，索尼金融風險投資公司（Sony Financial Ventures）和NKB Group領投，現有投資者Earlybird和Coparion貢獻了一半的資金。Bitwala稱，這是德國區塊鏈初創企業最大的一輪股權融資。這些資金將用于增長該公司的客戶基礎，增加新員工，并為企業推出比特幣賬戶。[2019/7/31]

事件經過及安全分析

11月13日，AurumCoin在新西蘭數字貨幣交易所Cryptopia遭到51％攻擊，損失的15752.26AUAurumCoin官方發推表示：“我們并非責怪cryptopia，但是事實是，幣確實是在cryptopia的錢包里丟的。”AurumCoin的態度是，堅持認為Cryptopia交易所被黑導致自己遭受51%攻擊。然而，筆者認為可能性不大。AurumCoin是一個擁有少量礦工的公鏈，因此平均哈希率較低，租用礦機并執行51％的攻擊是很容易的。安全小豹的看法：

動態 | 日照：圍繞區塊鏈等領域，著力發展“四新經濟”:據日照新聞網消息，近日，在山東省日照市第十八屆人民代表大會第四次會議上，日照市市長李永紅發布《2019年日照市政府工作報告》。報告指出，2019年日照市要著力發展“四新”經濟，圍繞新一代信息技術、新材料、人工智能、區塊鏈等領域，實施30項科技重大專項，啟動5G通訊布網，推動一批重點企業“機器換人”“兩化”融合。[2019/1/15]

使用POW共識算法的公鏈，如果參與挖礦的算力不足，遭到51％的攻擊的風險非常大的。在整體市場低迷的行情下，甚至有人坦言，曾經租用礦機執行過51%攻擊。所以，在此提醒廣大用戶，在選擇和使用這類加密貨幣時，應該意識到這些風險。各家公鏈51%攻擊的成本2018年10月29日——MapleChange交易所被盜

事件背景

京東區塊鏈防偽追溯平臺618期間記錄量同比增長逾200倍:據江蘇商報今日報道，京東區塊鏈防偽追溯平臺618期間在母嬰、全球購、酒類等產品重點發力，6月1日到6月18日期間，京東總計售出的區塊鏈防偽追溯商品同比增長超過200倍，為消費者的品質購物保駕護航。[2018/6/20]

MapleChange是加拿大交易量非常小的交易所。損失規模：600萬美元

事件經過及安全分析

10月29日，媒體宣稱，MapleChange被黑客攻擊，致使919個比特幣被盜。10月30日以來，MapleChange關閉社交媒體賬戶和平臺，導致用戶沒有辦法提幣接著，MapleChange創始人也失去下落，但是后來，社區成員找到了CEO的家庭地址，并把他送入監獄。此后MapleChange交易所官方表示，并沒有919個比特幣被盜，被盜的比特幣只有8個而已。知情人士稱，此次攻擊是由于開發人員將關鍵代碼行被注釋掉引發的安全小豹的看法：

雖然規模較大的數字貨幣交易所也有被攻擊的風險，但是相對于小規模的交易來說，還是比較安全的。道理也很簡單，只有當交易所有足夠大的交易量，才能收到足夠多的手續費，有了足夠多的手續費，才有可能在安全建設和防護上投入更多。希望大家在進行交易所時，盡量選擇規模較大的頭部交易所交易，不要因為貪圖小型交易所的小恩小惠，而造成不必要的損失。2018年10月29日——OysterProtocol

Oyster協議是IOTADLT之上的數據存儲解決方案，在以太坊區塊鏈ERC20的token為：Oyster。損失規模：$30萬美元

事件經過及安全分析

10月29日下午，有關OysterPearltoken的大量轉賬和大規模拋售的報道在社交媒體渠道中發酵。原來，在不到8小時的時間里，PRL交易量從156,351美元飆升至1,577,860美元——漲幅超過900％。但是在同一時間，PRL的價格卻下跌超過63％——從0.22美元降至0.08美元。Oyster官員發布聲明稱，Oyster智能合約已經通過了3次不同的審核，沒有發現任何漏洞但在第二次聲明中，他們卻說，“某人”接管了合約的所有權，并成功地鑄造了新的300萬PRL代幣經證實，這個“某人”實際上是Oyster項目的前聯合創始人和架構師Oyster首席執行官表示：這簡直太糟糕了，項目創始團隊從最初招聘，到后來讓每個人都參與其中，都從沒懷疑他們會破壞自己一手創造的項目。安全小豹的看法：

俗話說的好，“日防夜防，家賊難防”，對代碼最熟悉的人莫過于開發人員，反過來就是最容易攻擊。小豹認為，區塊鏈項目的創始人在招募早期的核心骨干時，應該在自己最信任的名單開始，而不是通過社會招聘或朋友介紹等渠道。同樣，在招募員工時，應該把道德品質考慮進去。2018年10月31日——以太坊的潛在威脅

背景

10月31日，馬里蘭大學和東北大學的分析師發布報告稱，由于ETH的智能合約缺乏多樣性，以太坊的整個生態系統將存在很大的風險。安全分析

10月31日，馬里蘭大學和東北大學的分析師發布對以太坊的代碼分析報告，并得到了美國國家科學基金會的支持。研究分析了以ETH的前500萬個區塊的智能合約的字節碼。研究發現，目前，以太坊智能合約是其他公鏈合約總和的三倍。但是，超過60%的智能合約從未與用戶有過互動，只有不到10％的的智能合約是獨一無二的。安全小豹的看法：

小豹認為，“開源”是一把雙刃劍，它是區塊鏈蓬勃發展的助推劑、降低了行業的準入門檻，但不得不說，它也或多或少的阻礙了創新。小豹建議廣大的區塊鏈項目，在組建技術團隊時，一定要配置至少一位安全專家，可以避免很多未來的風險。

Tags：區塊鏈TER比特幣ECH區塊鏈dapp開發Interlay比特幣最新價格多少美金一個ECHT

比特幣交易