AD
【中亚国际博览】2019年对区块链行业注定是不平凡的一年,经历2018年的疯狂之后,慢慢回归理性,各种落地应用产品正在慢慢面世。对于新兴的行业来说,经历的安全事件是必不可少的。短短2个多月时间,全球区块链行业经历的大大小小的安全事件,对比2018年同期显得越发频繁。小天简单整理看部分安全事件,一起来看看吧。
根据计划,以太坊社区原定会在7,080,000区块高度时进行君士坦丁堡分叉,这个时间大概是在中国的2019年1月16日。但是在升级前夜(1月15日),ChainSecurity发布了君士坦丁堡升级相关的潜在问题。出于谨慎考虑,以太坊基金会决定推迟此次分叉。
为了更好的在未来过度到POS模式,以太坊基金决定推出过渡的升级方案——君士坦丁堡升级。因为在以太坊社区内部没有太多争议,所以不会导致硬分叉,而是以软分叉方式平稳过渡到下一阶段。
虽然这看上去是对开发者很友好的方案,但是ChainSecurity却发现了其中的隐患:攻击者可以使用updateSplit设置当前split,以第一个地址(合约地址)接收所有的资金;并且调用splitFunds函数,从回调函数,攻击者可以再次更新split,这次将所有资金分配到攻击者的第二个账户;splitFunds的执行继续,全部存款也转到第二个攻击者账户。
简单来说,攻击者可以在以太坊升级后执行The DAO级别的重入攻击。基于安全考虑,以太坊在深度讨论后,于太平洋时间上午12点宣布推迟君士坦丁堡升级计划
作为The Dao事件的硬分叉产物,是全球市值第二大的分叉链。分叉之后ETC一直使用POW算法,但全网算力一直处于比较低的水平,这导致了ETC主网在1月6日遭受了51%的双花攻击。
2019年1月6日,安全团队警告ETC团队,ETC存在被51%攻击的可能性。第二天,Coinbase官方确定ETC总共发生15次攻击,其中12次包含双花,损失共计219,500 ETC(约110万美元。coinbase也暂时关闭了ETC的交易。
通过分析发现,此次事件的受害者主要是Biture和Gate.io两家交易所紧接着,安全公司通过与Gate.io,Bitrue和Binance交易所的配合,尝试定位攻击者。1月14日,Gate.io方面表示,目前已经有价值10万美元的ETC被归还。
19年1月,EOS公链上的一系列竞猜类游戏遭到了新型交易阻塞攻击事件。中招应用包括EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等热门DAPP。
不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为,这是一种利用底层公链缺陷而发起的攻击行为。深入分析后发现,这是存在于主网层的致命拒绝服务漏洞,攻击者可发起大量垃圾延迟交易导致EOS全网超级节点(BP)无法打包其它正常交易,即通过阻断打包正常用户的交易进而瘫痪EOS网络。
由于该漏洞本质上属于底层主网问题,任何DApp游戏,只要依赖如账号余额或时间等相关链上因素产生随机数,都存在被攻击的可能。这也是为什么在一月份出现大量EOS的DApp被攻击的原因。
EOS漏洞事件频出,很多都是由于开发人员不严谨导致的,据了解,很多DApp背后只有1-2个程序员,连完整的测试人员都不存在。在这种情况下,漏洞出现的可能性就非常大,更可能被攻击。
Cryptopia是位于新西兰的一个小型交易所,被圈内称为C网,日均交易量大概在300万美元左右,交易的币种超过500种。
当地时间2019年1月15日,Cryptopia交易所官方发布通知,交易所遭黑客攻击,Cryptopia交易所将关闭交易所服务,全力配合警方调查并尝试追回被盗资金。从公开资料来看,被盗的数字货币主要是ETH以及以太坊区块链上的各种ERC-20代币,总计价值约1600万美元。
根据Elementus的分析,C网对此次安全漏洞的反应非常迟缓。黑客在1月13日到17日的5天时间,陆续将76000个ETH从钱包中转移。而交易所方面没有任何反应,并对用户声明:黑客拥有私钥,可以随意从任何Cryptopia钱包中提取资金。
种种迹象看来,很可能的原因是C网简单的把私钥存储在某个服务器上,而黑客通过黑掉该服务器,导致C网无法从服务器获取私钥。
可以看到,C网在管理私钥方面的混乱和随意,导致了悲剧的发生。这次事件再次提醒了广大交易所与用户,对私钥管理要存在敬畏之心,确保100%安全的保护私钥是区块链世界最基本的法则。
美国网络安全公司跟踪了臭名昭著的,名为Ryuk的勒索病毒,该病毒在互联网上传播,通过锁定计算机文件,向受害者索取比特币,并且建立激励机制鼓励参与者传播病毒。
在过去的5个月内,GRIM SPIDER的黑客组织通过勒索病毒收到超过705个,相当于370万美元的BTC。勒索病毒的特点是,一旦电脑中了该病毒,所有的硬盘文件会被加密锁定,直到受害者联系黑客并支付比特币。
在新年期间,美国的一些主流媒体中招,导致服务暂停,受害者包括“洛杉矶时报”、“圣迪戈联合论坛报”、“华尔街日报”和“纽约时报。此次攻击与去年发生的勒索攻击不同,黑客攻击对象主要瞄准了企业计算机,并且会根据目标组织的价值和规模计算赎金的金额
根据媒体报道,此次勒索攻击最低赎金是1.7 BTC,最高的是99 BTC,目前已经有37个BTC地址收到了52笔交易,GRIM SPIDER黑客集团已经非法获利705.80 BTC,价值约为370万美元。
从2019年至今发生的区块链安全事件来看,区块链行业的技术标准和规范不统一,开发者和用户的安全意识还不够,行业中安全机构与专业安全人才太少都是其中的重要原因。其实,基于区块链的技术特点,任何开发者都需要有很强的安全意识,。在这里,小天温馨提醒您:代码千万条,安全第一条。代码有漏洞,钱包泪两行。
添加新手交流群:币种分析、每日早晚盘分析
添加助理微信,一对一亲自指导:YoYo8abc
