2018年,是區塊鏈發展最迅猛的一年,全球加密貨幣總市值一度接近8000億美金。但層出不窮的漏洞,使2018年成為黑客最為猖獗的一年。
安全事件的頻發,嚴重阻礙了區塊鏈的健康發展,不僅給用戶帶來了不小的損失,還直接導致了許多項目的「終結」。
2018年到底發生了哪些安全事件?
稿件來源:獵豹區塊鏈安全
概述
2018年,無論是安全事件的數量,還是造成的損失,都呈現指數級上升:
安全事件造成的經濟損失趨勢(萬美元),來源:bcsec
重大安全事件數量統計,來源:bcsec
據Besec統計,2018年總計超過20億美金被盜,大型事件數量超過130多起,區塊鏈用戶和項目方們紛紛淪為全球30萬黑客的「提款機」。
2018安全事件造成的損失統計,來源:31QU
這其中,交易所的安全事件數量和損失的金額(13.44億美元)都高居榜首;智能合約安全安全事件極少,但造成的經濟損失比例卻極高;DApp、個人錢包、公司服務器也無一幸免。
智能合約安全
目前,區塊鏈整體還處于低迷期,但是智能合約的發展卻非常穩定,根據獵豹區塊鏈安全中心的數據,近一個月以太坊的智能合約平均每天以2000的數量在增長。
智能合約漏洞雖然數量不多,但是所造成的損失是非常巨大的,這與solidity語言的特性有關,也與ERC20協議使代幣發行變得便捷有關。
智能合約漏洞的TOP10攻擊類型為:重入攻擊、權限控制、整型溢出、未檢查的call返回值、交易順序依賴、時間戳依賴、條件競爭、短地址攻擊、可預測的隨機處理等。
所有智能合約事件中,最著名的當屬美鏈事件。18年4月22日下午,才發行兩個月左右的BEC美蜜合約出現重大的溢出漏洞,黑客通過合約的批量轉賬方法無限生成代幣,天量BEC從兩個地址轉出,進而引發拋售潮。當日,BEC的價值幾乎歸零。損失金額超過10億。
由于區塊鏈的「代碼即一切」的原則,導致目前沒有有效的安全防護手段來徹底避免智能合約安全的問題。
對于智能合約的開發,更建議摒棄「敏捷開發」的理念。而采用緩慢而有條理的方法來開發智能合約,在最初設計和編碼時,就盡量謹慎和考慮周全。
加密網絡安全公司OpenZeppelin推出Defender 2.0版:金色財經報道,加密網絡安全公司OpenZeppelin宣布推出Defender 2.0版,這是對其區塊鏈開發者安全系統的升級。根據新聞稿,此次升級將帶來端到端的安全實踐,從開發階段到部署和維護基于區塊鏈的項目。
OpenZeppelin產品主管Roy Zanbel表示,為了獲得更廣泛用戶群的反饋,Defender 2.0盡管處于測試階段,但已經全面投入運行,有四個主要模塊在線,Defender 2.0支持以太坊、Polygon和Base等30多個區塊鏈,旨在成為“安全標準” 。[2023/8/30 13:04:59]
開發管理者也不要對開發人員太大的壓力,通常來說,趕出來的東西都多多少少會有問題。
另外,在上鏈之前,找到專業的區塊鏈安全公司對智能合約進行安全審計是最最基礎和必要的。
以下是2018年智能合約大事件,以及相關事件的一些細節:
2018年8月22日,GOD.GAME合約遭到黑客攻擊,GOD智能合約上的以太坊總量歸零
2018年4月25日,SmartMesh出現重大安全漏洞,導致1.4億美元損失
18年4月22日下午,才發行兩個月左右的BEC美蜜合約因為存在溢出漏洞,被黑客從兩個地址不斷轉出代幣,使BEC價格幾乎歸零,損失金額總計超過10億美元。
交易所安全
據網絡安全公司CiferTrace10月發布的一份報告顯示,2018年前9個月,通過黑客入侵交易所竊取的加密貨幣就已達9.27億美金,已經是整個2017年的2.5倍。
韓國科技部的調查報告稱:「大部分交易所都存在安全漏洞。」
那么,為什么加密貨幣交易所安全問題層出不窮?
一方面,數字貨幣的匿名性,不可篡改性以及無監管特性,導致了資產轉移便捷,溯源找回難度大。另一方面,數字貨幣交易行業出現時間短,發展又非常快,利潤高,導致本來技術積累就不足的情況下,仍然忽視信息安全方面的建設,隱藏的安全漏洞多,攻擊起來相對容易。甚至還有一些加密數字交易所甚至完全沒有安全系統。
數字貨幣交易所面臨的安全威脅主要包括:服務器軟件漏洞、配置不當、DDoS攻擊、服務端Web程序漏洞、辦公電腦安全問題、內部人員攻擊等。
Starknet已集成加密安全公司Hypernative:6月13日消息,以太坊Layer2擴容解決方案Starknet已集成加密貨幣安全初創公司Hypernative,Hypernative對Starknet的支持將包括提供開箱即用的在線監控、漏洞檢測和自動事件響應,使建立在Starknet上的項目能夠檢測部署后的零日網絡攻擊、黑客攻擊和漏洞利用,此外還可以主動檢測涵蓋財務、治理、技術和社區等各種類別的其他主要實時風險。[2023/6/13 21:33:19]
對于規模較大,用戶較多的交易所,還會面臨用戶被攻擊者利用仿冒的釣魚網站騙取認證信息的問題。
而針對這些安全威脅,建議交易所在面向用戶之前,先進行滲透測試,代碼審計等安全服務,挖掘并修復系統存在的安全漏洞。
另外,建議交易所對所有正式入職的員工進行必要的基礎的安全培訓。
最后,針對數字虛擬幣交易的網民,建議大家主動學習安全知識,并在電腦端、手機端使用安全軟件,千萬不要自信「裸奔」,以避免掉進網絡釣魚陷阱以及錢包被盜事件的發生。
以下是2018年加密貨幣交易所被盜事件,以及相關事件的具體細節。
1月,日本最大的數字加密貨幣交易所Coincheck被盜走價值5.34億美元的XEM。Coincheck是日本第二大交易所,在之后的官方發布會上,Coincheck表示,XEM被盜是因為存儲XEM的熱錢包的私鑰被黑客所竊取,但是沒有其他幣種被盜。受此事件影響,XEM當天下跌9.8%。
2月11日,意大利加密貨幣交易所BitGrail被攻擊,價值1.7億美元的加密貨幣NANO被盜。
3月7日,Binance遭到黑客入侵,黑客通過控制幣安部分賬戶,賣出這些賬戶持倉的比特幣,買入VIA幣,導致VIA逆市大漲。幣安將異常交易進行了回滾處理,但此事件依然引起市場恐懼,隨后幾天比特幣跌幅超過15%。
4月1日,Bit-Z遭遇黑客攻擊,未造成資金損失。為此Bit-Z專門設立了10000個ETH安全基金,用于獎勵安全漏洞提交者。這筆獎勵在當時價值400萬美金。
4月13日,印度三大比特幣交易所之一Coinsecure在官網發布公告稱,該交易所438個BTC失竊,價值約330萬美元。該交易所首席安全官AmitabhSaxena被列為嫌疑人。這是印度最大的加密貨幣被盜事件。
Thoma Bravo將以69億美元收購網絡安全公司SailPoint:4月12日消息,據英國《金融時報》報道,美國私人股本集團Thoma Bravo將以69億美元收購網絡安全公司SailPoint Technologies。管理著逾1000億美元資產的Thoma Bravo將以每股65.25美元的價格收購SailPoint,較其過去90天的成交量加權平均交易價格有48%的溢價。
此前消息,私募股權公司Thoma Bravo正在建立一項針對加密貨幣和金融科技的增長投資業務。(鞭牛士)[2022/4/12 14:19:51]
6月5日,Bitfinex遭到「拒絕服務」攻擊,Bitfinex隨即暫停了交易所的所有交易。
6月10日,韓國數字加密貨幣交易所Coinrail遭到黑客攻擊,損失超過5000萬美元。Coinrail加密貨幣總量的70%被保存在冷錢包,被盜總量的三分之二已被追回。
6月20日,韓國加密貨幣交易所Bithumb被黑客攻擊,價值3000萬美元的加密貨幣被盜,這是Bithumb第三次被黑客攻擊。
此前,該交易所還遭受了兩次「黑客攻擊」。
第一次:2017年4月,Bithumb某員工電腦被黑,導致超過3萬名用戶的資料被竊,Bithumb也因此被韓國監管機構罰款5.5萬美元。
第二次:2017年12月22日,韓國MBC電視臺雇傭了一家安保公司,對包括Bithumb在內的5家韓國交易所進行安全測試。該安保公司成功「黑入」包括Bithumb在內的5家交易所,并獲取了部分用戶數據和資金。受雇「黑客」聲稱僅使用了「基本的黑客技巧」。
但是,安全問題并未引起交易所足夠重視,這才導致了2018年6月份的黑客事件發生。
9月20日,日本數字貨幣交易所Zaif宣布遭受黑客攻擊,損失5967萬美元。其中1959萬美元屬于該交易所自有資金,其余4007萬美元屬于客戶資金。
Dapp安全
智能合約和交易所是安全的重災區,18年話題度頗高的DApp,也沒能逃脫黑客的魔爪,雖然損失金額在所有安全事件中比例較低,但頻繁的安全事件嚴重影響著Dapp生態的落地與應用。
據Dapp.review最新數據顯示,目前運行在以太坊、EOS、波場等公鏈上的DApp總數量超過1900個。
安全公司:YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間,基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。
成都鏈安分析稱,合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes“account”+72小時。
綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。根據鏈上信息,我們找到了兩筆疑似攻擊的交易,兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]
處于DApp生態建設初步發展階段的EOS,DApp相關的安全問題層出不窮。截止12月份,由于DApp漏洞導致的損失已經高達39.5萬個EOS與1.3萬個ETH。按照兩者最高市值計算,損失財富超過2700萬美金。
2018年下半年,DApp安全事件集中爆發,黑客攻擊事件主要發生在EOS主網。攻擊手段也是花樣百出:隨機數攻擊、種子漏洞、假幣攻擊……
EOS作為被寄予厚望的企業級區塊鏈操作系統,基于此的DApp為什么會發生如此多黑客攻擊事件?
今年5月份,EOS創始人BM曾表示,為EOS主網提供有價值的漏洞將獲得1萬美金的報酬。該懸賞令頒布之后,一位名叫「JonBottarini」的網友透漏,有人僅一天就發現了8個漏洞,獲得8萬美金獎勵。這也充分說明EOS主網本身存在大量安全問題。
實際上,針對EOS上DApp的攻擊,正越來越專業化、團隊化。
11月份以來,作為三大EOS競猜類DApp,EOSDice、FFgame和EOS.WIN先后發生了「隨機數漏洞」攻擊。據知情人士爆料,這些攻擊案件系一人或者同一團隊所為。該知情人士表示,已經成功鎖定黑客交易所賬戶。
相較于EOS網絡,以太坊的黑客攻擊事件要稍微少一些。
動態 | 安全公司CipherTrace向錢包供應商和加密交易所提供技術以遵守FATF相關規則:據Coindesk消息,區塊鏈安全公司CipherTrace分享了如何在新的加密貨幣全球監管準則下安全地共享客戶信息。CipherTrace公司發布了一份白皮書,并為錢包供應商和加密交易所提供了開源軟件,以遵守金融行動特別工作組(FATF)的“旅行規則”。 CipherTrace首席營銷官John Jefferies表示:“該行業本身已經幾乎不可能遵守規則。現實是它可以做到。” Jefferies說,CiperTrace的信息共享架構(TRISA)將允許交易所和錢包提供商共享支付細節并秘密地交換客戶了解客戶(KYC)信息。[2019/9/10]
下面是2018年以來DApp上發生的黑客攻擊事件,以及相關事件具體細節:
7月25日,狼人游戲出現「溢出」漏洞,導致游戲損失60686個EOS。EOS核心仲裁論壇對黑客的行為仲裁后,簽發新的仲裁令,凍結黑客的EOS賬戶:eosfomoplay1。
8月22日,Fomo3D遭受黑客攻擊,損失10469個ETH。安比實驗室首次宣布斷定Fomo3D大獎獲得者采取了一些「特殊攻擊技巧」,攻擊者通過高額手續費吸引礦工優先打包,最終以較低成本針對性地堵塞區塊,加速游戲結束,提高自己獲勝概率。
9月24日,Fomo3D第二輪游戲開始之后,黑客采用相似的攻擊手段,拿到了3264.668個以太坊獎勵。
8月27日,Luckyos旗下的石頭剪刀布游戲被黑客攻破,損失未知。
9月2日,EOS.win「隨機數」被黑客攻擊,導致損失2000ESO。
9月10日,EOSBet遭到黑客攻擊,共計損失了4000個EOS;4天后,EOSBet再次遭黑客「假通知」攻擊,損失145321個EOS,目前損失已被追回。
9月12日,LuckyGo遭到攻擊者iloveloveeos而被迫下線。當天晚上,iloveloveeos又迅速攻擊了新上線的游戲LuckyGo。這兩次攻擊都屬于「隨機數缺陷攻擊」。
9月12日EOSHappySlot遭黑客重放攻擊,損失5000個EOS。一名賬號為imeosmainnet的黑客利用「重放攻擊」,導致項目方損失了5000個EOS。
9月14日,去中心化交易所Newdex遭到黑客攻擊。黑客利用假幣在交易所換區真幣,共計獲利11803個EOS。
攻擊過程是這樣的:攻擊者創造了一種全新的代幣,發行量也是10億,并將其命名為「EOS」。攻擊者采用特殊的方法,用11800個假EOS在Newdex上兌換出了大量等值真幣。
9月15日,EOS.Win遭受黑客假幣攻擊,共計損失超過4000個EOS。
11月11日,EOS.Win還在11月11日遭受了第二次攻擊。此次攻擊黑客在一分鐘之內,共計向EOS.WIN游戲合約發起10次攻擊,獲利超9180個EOS。
10月16日,WorldConquest遭受黑客「繳稅規則」攻擊,拒絕其他玩家參與,進而盈利4555個EOS;
10月26日,EOSRoyale遭受黑客「隨機數」攻擊,損失10800個EOS。過程是這樣的:黑客通過調用隨機數發生器,計算出先前區塊的信息,進而獲得游戲隨機數,從而破解EosRoyale錢包,并竊取價值60000美金的EOS代幣。
10月28日,EOSPoker遭受黑客「種子漏洞」攻擊,損失1374個EOS。
10月31日,EOSCast遭遇黑客假幣攻擊,導致72912個EOS被黑客轉走。根據游戲規則,黑客分別用100、1000、10000個假EOS代幣進行攻擊,每次攻擊可得到198、9800、19600個不等的EOS。在進行最后一次攻擊時,游戲方察覺到異常攻擊,及時轉走了獎金池僅剩的8000個EOS。
ECAF針對此事件即時響應,并發布了仲裁令,凍結了相關涉事賬戶。
11月4日,EOSDice發公告稱智能合約遭到攻擊,但由于其擁有自動檢測功能,在攻擊之后,合約自動將剩余資金轉移至安全地址。此事件導致EOSDice損失2545個EOS。
11月8日,FFgame遭遇了黑客攻擊,黑客賬戶jk2uslllkjfd向FFgame游戲合約發起多達304次攻擊,共計獲利1331.2922個EOS。
11月10日,黑客向MyEosVegas游戲合約發起超700次攻擊,已獲利超9000個EOS。
11月26日,競技類DApp遭遇了前所未有的新型回滾攻擊。
12月3日,Dice3D遭遇黑客攻擊,損失10569個EOS。黑客已將被盜的EOS轉至火幣。Dice3D官方決定自費拿出部分EOS給予玩家補償。
錢包安全
數字貨幣錢包有熱錢包和冷錢包之分,冷錢包由于私鑰不接觸網絡,相對安全性較高,不過隨著技術的快速迭代,無論熱錢包還是冷錢包,都相繼被黑客攻擊。
2018年,因為錢包安全而損失的金額損失在4000萬美元左右。這其中,大部分是黑客通過各種手段獲取到用戶私鑰,導致資產被盜。還有一部分是錢包設計存在缺陷造成的。
因為區塊鏈的去中心化特點,黑客攻擊目標的就是想方設法搞到用戶私鑰,如果用戶存儲方式不當,就肯可能被釣魚郵件、木馬病等方式攻擊,導致資產被盜。
因此,建議廣大用戶把私鑰要抄在紙上,要抄對,然后放在一個絕對不會忘的地方,千萬不要存儲在網上,保證私鑰不觸網,還要保證私鑰和錢包不要放在一塊;另外,盡量選擇用戶基數大,安全事件較少的錢包;最后,無論在網頁端還是手機端,都必須安裝安全軟件,千萬不能「裸」奔。
錢包設計上的缺陷也會引發攻擊事件,并且一旦爆發,影響力和損失金額將會很廣。
比如國外某錢包在第一次運行的時候,默認為用戶創建一個新錢包并將錢包文件未加密存儲在系統本地,攻擊者可以讀取存儲的錢包文件,通過對錢包應用逆向分析等技術手段,還原該錢包的算法邏輯,并由此直接恢復出用戶的助記詞以及根密鑰等敏感數據。
對于這部分安全問題,只能建議錢包項目在面向用戶之前,找到專業的安全團隊進行安全方面的審計。
下面是2018年以來錢包相關的黑客攻擊事件:
1月8日,RedditTippr用戶被黑客盜走了數千個BCH。
1月17日,XLM錢包被攻擊,超40萬美元XLM被盜。事件起源是黑客劫持了BlackWallet.co的DNS服務器,據估計,此次攻擊事件,導致近70萬個XLM被盜,價值超過40萬美元。
1月22日,黑客入侵IOTA錢包,盜走價值400萬美金的IOTA。據CCN報道,原因出在用戶用來生成IOTA錢包私鑰的網站被黑。
3月4日,鈦合金區塊鏈發布推特宣稱遭受黑客攻擊,公司錢包被盜竊了1870萬BAR代幣。
4月17日,數字貨幣投資者和Youtube博主IanBalina昨晚在直播評論ICO項目時受到黑客攻擊,黑客從他的Etherscan錢包中轉移了超過200萬美元的數字貨幣。
4月25日,MyEtherWallet遭劫,共損失約500個ETH。
6月6日,日本零售商Shopin的MEW錢包遭到黑客攻擊,損失了超1000萬美元的加密貨幣。其中包括以太坊、LevelUp、Orbs與Shopin。
8月15日,陜西省西安市抓獲了三名高級黑客嫌疑人,三人曾共同合作,盜取價值了6億元加密貨幣。
今年3月30日,盜竊事件發生之后,受害人張姓男子報案,稱自己的電腦被非法攻擊,價值數億元的虛擬貨幣被洗劫一空。隨后展開搜捕工作,今年8月15日,三名黑客被逮捕。
9月25日,EOS持倉大戶gm3dcnqgenes賬號被盜,共計損失209萬個EOS。
10月22日,瑞士區塊鏈公司Trade.io稱,其冷錢包中的5000萬TIO被盜,價值750萬美金,其中130萬TIO被轉移到Kucoin和Bancor兩個交易所。Kucoin已經暫停了TIO的交易,而Bancor則永久刪除了TIO。
10月25日,Reddit用戶賬戶遭黑客攻擊,黑客從他的錢包中盜竊了14個比特幣、22個ETH和大約1170萬個COSS代幣,這些加密貨幣總共價值86.4萬美金。
回顧整個2018年的安全事件,有人持悲觀態度,認為區塊鏈是極度高危的行業,應該避而遠之。但也有認為,安全事件的頻發從側面反映了這個行業被前所未有的關注,因為黑客只會花時間攻擊有價值的東西。
雖然2018年黑客猖獗,但全球范圍內的區塊鏈安全公司也已經悄悄崛起;整個行業也會因為付出慘痛代價,而加強安全方面的投入和建設;用戶安全教育也逐漸被重視起來。未來區塊鏈行業的蓬勃發展還是非常可期的。
本文來源于非小號媒體平臺:
鏈聞看天下
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627104.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
2萬美元就可以對以太坊經典雙花攻擊?沒那么簡單
下一篇:
利用比特幣回款,橫掃全球銀行的黑客組織「Carbanak」
Tags:EOS區塊鏈加密貨幣APPNeos Credits區塊鏈dapp開發一個多少錢加密貨幣怎么交易中幣交易所app下載蘋果
2019年1月,黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia,盜取了以ETH為主的數字資產之后銷聲匿跡。近日,隨著幣價的攀升,該黑客在沉寂了數月后,開始密集的洗錢行動.
1900/1/1 0:00:001.證監會原主席肖鋼:ICO叫停等監管讓市場創新望而生畏,應采用“回應式”監管的模式應對科技創新。2.彭博社:Robinhood將在新一輪融資中至少籌集2億美元.
1900/1/1 0:00:00行情播報 截至8時00分,BTC全球均價7677.27美元,24小時跌幅3.67%;EOS全球均價5.97美元,24小時跌幅5.14%;ETH全球均價244.67美元,24小時跌幅4.5%.
1900/1/1 0:00:00如圖,ETH日線從去年10月至目前將近8個月的時間走出一個大的圓弧底形態,幣價在最低下探觸及80美元后觸底反彈,并一直處于上行趨勢線上方運行,我們發現ETH每次觸碰該趨勢線獲得穩固支撐后.
1900/1/1 0:00:00作者:MaxBoddy翻譯:Maya在3月21日的官方博客文章中,以太坊基金會宣布了一項三管齊下的方法,用來分配計劃在明年用于開發以太坊網絡的3000萬美元.
1900/1/1 0:00:00文丨吳鹽 5月22日,火幣發出公告,PrimeLite正式升級為FastTrack,本次升級,意味著火幣將進一步加速HT通縮進程.
1900/1/1 0:00:00