據成都鏈安『安全態勢感知系統』數據監測顯示:2020年10月,在區塊鏈領域中,各類安全事件仍然時有發生。但相較9月事件頻發的態勢,本月的情況有所好轉。據不完全統計,10月發生較典型的安全事件超過22起。
本月,各方面的安全事件數量均有不同程度的減少。究其原因,主要應歸于在大量安全問題曝出后,越來越多的項目方開始重視安全問題,并采取了相應措施。從成都鏈安的審計委托情況來看,近期咨詢、對接的數量有明顯上升。這說明,如果項目方在前期就對技術底層、邏輯結構等方面加以重視,并采取措施,那么安全風險漏洞問題就能有效得到緩解和扼制。因此,請時刻不忘防微杜漸,待問題發生造成損失,那就為時已晚。交易所方面:共發生『3』起較典型的安全事件
01倫敦數據公司Elliptic表示,KuCoin被盜的2.81億美元的代幣中,已有1710萬美元的代幣通過去中心化交易所出售。02愛沙尼亞交易所Bitbay在10月13日0時28分左右突然宕機,后于2時10分左右恢復。這是該交易所今年第二次突然宕機,3月份曾出現過一次長達18小時的宕機。03P2P比特幣市場Paxful在兩個月內成功抵御了一系列嚴重的威脅,包括22萬個網絡機器人攻擊和各種社會工程策略。
成都鏈安:Goldfinch項目的SeniorPool合約遭受攻擊,項目方累計損失超54萬美元:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Goldfinch項目的SeniorPool合約遭受攻擊,攻擊者累計獲利28523個USDC,項目方累計損失541158個USDC。經成都鏈安技術團隊分析,本次攻擊原因是攻擊者可以利用Curve的FIDU-USDC池子獲取FIDU代幣,來獲取SeniorPool合約抵押USDC代幣的紅利。目前Curve中FIDU兌換USDC為1:1.03, 而在SeniorPool中的比例為1:1.07,這就產生了套利空間。[2022/6/28 1:36:11]
DeFi方面:共發生『3』起較典型的安全事件
0110月11日,以太坊項目WLEO合約在晚些時候遭到黑客攻擊,導致價值4.2萬美元的資金被盜。黑客通過向自己鑄造WLEO,并將其換成以太坊,從去中心化交易所Uniswap的池中竊取了以太坊。02火幣全球站監測到Curve鏈上合約存在漏洞,為保證用戶的資產安全,提前結束了“DeFi流動性挖礦6期”活動。0310月26日,據推特網友發現,疑似有黑客借用閃電貸,使用20ETH從Harvest中套現超400萬美元,此次總轉賬費為5.19ETH。
成都鏈安:國內天穹數藏宣稱遭黑客攻擊,黑客利用虛假余額購買盜取用戶的藏品:5月17日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,天穹數藏宣稱遭黑客攻擊,藏品售價異常高達近千萬元。根據平臺公告稱:平臺數據遭遇大量惡意攻擊,黑客利用虛假余額購買盜取用戶的藏品,導致數據異常,目前已恢復,平臺已第一時間報警處理。成都鏈安安全團隊初步分析,導致本次攻擊的原因猜測為:攻擊者通過傳統網絡安全攻破了平臺方數據庫,惡意篡改賬戶余額,導致大量用戶高價掛單仍可成交,最終導致數據異常。成都鏈安安全團隊建議:
1、 國內數字藏品平臺方在設計、實現和部署的過程中,要關注通信與網絡安全、主機安全、數據庫安全、移動安全等傳統安全領域,做好安全防護;
2、 國內數字藏品平臺方在運維的過程中,要做好金融風控的設計和實施,避免出現大規模資金異動而不自知的情況;
3、 數字藏品消費者在選擇交易平臺時,需要關注平臺合規風險,注意保障自身財產安全;
4、 數字藏品消費者警惕炒作風險和市場泡沫,避免泡沫破裂時造成財產損失。[2022/5/17 3:22:51]
成都鏈安:Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示,Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析,本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:
1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<- 主要漏洞,造成本次攻擊的根本原因。2.函數未做防重入攻擊;<- 次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。針對這兩個問題,成都鏈安在此建議項目方應做好下面兩方面:1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]
Beosin評論相比上個月,本月DeFi項目的安全問題有了大幅度減少。相信在這背后,與項目方及時注意到問題嚴重性并開始采取防范措施有著密切的關系。隨著市場逐漸回歸理性,新生項目要在激烈的競爭中展現優勢,就更需要在安全方面做好預防工作,以減少漏洞的出現。成都鏈安認為,不論何時,都應該警惕安全問題,新項目上線之前做好安全審計工作很有必要。只有在平時加強防范,才能在最大程度上避免安全事件的發生。切勿因為暫時的“平靜”就放松預防工作。同時,投資者在入場前依然要做好項目的風險評估。詐騙跑路/加密騙局方面:共發生『3』起較典型的安全事件
LLE智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Beosin(成都鏈安)今日已完成LLE智能合約項目的安全審計服務。
獵豹金融生態系統(Leopard lending ecology)是在以太坊區塊鏈上的智能協議,以該協議為中心建立貨幣服務市場,服務市場是基于資產借貸需求,以計算得出利率。資產的供應商直接與協議進行交互,從而賺取浮動利率,而無需等待協商利率或抵押品等條款。
創始人Willians表示:我們LLE智能合約的整體設計清晰,邏輯縝密,代碼安全可靠,具備了區塊鏈上頂級去中心化金融項目條件之一。
合約地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;
審計報告編號:202009222010。[2020/9/24]
01一位名為KazuoKusunose的用戶在谷歌論壇上發帖稱,其因在谷歌廣告中遭遇加密騙局損失了1.5萬美元。據稱,該名為Coindaq.io的可疑網站試圖利用中國正在研究的數字人民幣,聲稱用戶可以在該平臺存入資金參與數字人民幣的銷售。02加密貨幣交易所Kraken首席安全官NicholasJ.Percoco于10月15日發推警告用戶稱,有一個針對加密貨幣社區的騙局,目前非常活躍。該騙局涉及網絡釣魚攻擊和多名偽裝成Kraken的工作人員。03美國總統特朗普的競選網站星期二下午遭到短暫的黑客攻擊,部分網站內容受到影響,“About”頁面被一個收集加密貨幣的騙局取代。這些黑客聲稱掌握了有關“冠狀病起源”的內部信息以及其他損毀特朗普形象的信息,并提供了兩個門羅幣地址。
聲音 | Beosin(成都鏈安)預警:某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,今日上午 8:53:15開始,黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在,該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作,在收到安全公司的安全提醒之后第一時間排查項目安全性,才能及時止損,同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略,必要時可聯系第三方專業審計團隊,在上鏈前進行完善的代碼安全審計,防患于未然。[2019/4/3]
勒索軟件/挖礦木馬方面:共發生『5』起較典型的安全事件
01達飛輪船遭遇“RagnarLocker”勒索軟件攻擊導致官網癱瘓無法打開,旗下眾多全球站點也都陷入了癱瘓,無法正常提供服務。02近日,一批聲稱來自ArmadaCollective、CozyBear、FancyBear和LazarusGroup等黑客組織的攻擊者,對全球多個行業的數千家企業、機構進行了DDoS攻擊威脅,并向其勒索比特幣。03近日,美國喬治亞州霍爾縣遭遇勒索軟件攻擊,多個服務受到影響,攻擊者要求用比特幣支付贖金。此外,用于2020年大選的喬治亞政府數據庫也因勒索軟件攻擊而癱瘓。04意大利跨國能源巨頭EnelGroup近日遭遇勒索軟件攻擊,其計算機網絡感染了名為NetWalker的Windows勒索軟件。據悉,NetWalker黑客公布了大約5TB被盜數據的截圖,并威脅EnelGroup支付1234枚比特幣作為贖金。0510月28日消息,芬蘭數萬名接受心理治療的患者的機密就醫記錄遭到黑客攻擊,其中一些被泄露到網上。許多患者收到了要求支付200歐元比特幣的電子郵件,稱如不交付贖金,他們與治療師討論的內容將被公之于眾。
暗網方面:共發生『3』起較典型的安全事件
01自EmpireMarket倒臺以來的近一個月,暗網市場的支持者已向其它市場遷移。同時,全球執法部門最近逮捕了179名DNM相關人員,并繳獲了超過650萬美元的加密貨幣和現金收益。02美國網絡安全公司Trustwave表示,他們發現一名黑客正在暗網出售超過2億美國人的個人識別信息,其中包括1.86億選民的注冊數據。03荷蘭希爾弗瑟姆市的一對夫婦因在暗網服務上使用比特幣而被判洗錢。他們分別被判處兩年和兩年半的有期徒刑。此外,鹿特丹地區法院還從這對夫婦那里沒收了2532枚比特幣和25萬歐元。
其他方面:共發生『5』起較典型的安全事件
01LightningLabs密碼工程負責人ConnerFromknecht今日發布公告表示,在較舊版本的LightningNetworkDaemon中發現了未知漏洞。該漏洞會影響LND0.10.x及更低版本。02黑客通過引誘用戶安裝虛假軟件更新,以此從比特幣錢包Electrum的用戶那里竊取了2200萬美元。該手法頻繁出現在2018年。而自兩年前首次發現這種攻擊以來,Electrum團隊已經采取了措施來防止這種攻擊。03在最近發生的一系列竊取客戶資金的攻擊中,股票與加密貨幣投資平臺Robinhood的近2000個賬戶遭到黑客攻擊。04據Decrypt報道,BleepingComputer發布的報告顯示,一波新的釣魚郵件正偽裝成加密交易所Coinbase的官方郵件,對微軟365帳戶實施攻擊。05硬件錢包制造商Ledger遭受了網絡釣魚攻擊。一些用戶收到了帶有釣魚軟件的電子郵件,導致資金損失。據報道,此次黑客攻擊可能與該公司在2020年7月的用戶數據泄露事件有關。
鑒于當前區塊鏈安全領域的新形勢,『成都鏈安』溫馨提示從總體上看,10月區塊鏈安全事件較9月份有所減少,整體安全事件發生數量處于中等水平。DeFi項目方面,本月安全事件發生數量較上個月有明顯減少,但是仍有部分項目方被曝出安全問題。要營造DeFi的生態安全,不得不說這是一場持久戰。在此過程中,項目方切不可掉以輕心,勿以“洞”小而忽視、不為。值得注意的是,本月勒索軟件方面的攻擊事件發生較多。因此,成都鏈安再次呼吁廣大用戶,保持良好的網絡環境,切勿輕信陌生鏈接,不要隨意點擊陌生郵件,也不要下載來源不明的軟件、應用等。
頭條 Value遭遇閃電貸攻擊損失740萬美元北京時間11月14日23:36,黑客對ValueDeFi協議進行閃電貸攻擊,損失將近740萬美金的DAI.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:VitalikButerin,編譯:灑脫喜,星球日報經授權發布.
1900/1/1 0:00:00編者按:本文來自加密谷Live,作者:LieslEichholz,翻譯:Olivia,Odaily星球日報經授權轉載.
1900/1/1 0:00:00在幣圈,有這樣一種分界線,叫做國內項目和國外項目。為何會有這樣的區分,以及為何這兩種項目的投資者看待區塊鏈的方式也不同呢?且聽我慢慢道來.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:TURNERWRIGHT,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:TURNERWRIGHT,Odaily星球日報經授權轉載.
1900/1/1 0:00:00