編者按:本文來自白話區塊鏈,作者:獵豹區塊鏈安全,星球日報經授權發布。在區塊鏈行業,安全是最根本的問題。或許你聽過“一行代碼損失幾十億”、“干了一年被黑客一夜搞走”等言論。因為區塊鏈發展還處于早期,加上代碼一旦上鏈就不可篡改等特性,讓它成為了黑客攻擊的重災區。今天,我們對今年9、10兩個月區塊鏈行業發生的安全事件進行盤點,旨在幫助大家認識區塊鏈的安全問題。01利用漏洞贏頭獎
DEOSGames是一個運行在EOS區塊鏈之上的去中心"菠菜“類游戲。9月9日,一位名為“RunningSnail”的DEOSGames用戶進行了一次看起來相當成功的操作:累積下注價值1000美元的EOS,每次存入10個EOS,然后在30秒后贏得頭獎,反復操作了多次。1、損失規模:價值約24000美元的EOS。2、攻擊媒介:智能合約漏洞。3、事件經過及安全分析DEOSGames在剛剛創建不到一小時的時間里,就向EOS帳戶進行了24筆轉賬,而且,這些賬戶都是該合約在不到一天時間之內創建的。根據EOS的交易記錄,每次惡意賬戶存入10個EOS,就能收到價值20倍的合約金額。換句話說,黑客利用了該游戲的某個漏洞,每次都能夠贏得頭獎,此次攻擊的整體收益約為成本的20倍。DEOSGames官方在推文中發表看法,“這是一個很好的壓力測試,我們的項目在合約層面得到了顯著改善。”目前,尚不清楚黑客利用了DEOSGames合約中的哪個漏洞,或者EOS內核中是否存在其他漏洞。4、小結發生該攻擊事件之后,DEOSGames團隊的反應令人費解。他們沒有對社區聲明自己是如何監控黑客攻擊的,因為按照常識,一個簡單的監控腳本就可以檢測到這種異常現象。我們假設DEOSGames游戲有這樣的檢測工具,那么,此次攻擊的深層次原因就值得深究了,不排除團隊坐莊收割“小白投資者”的嫌疑。目前,此類“菠菜”游戲風險太高,建議廣大用戶理性投資,謹慎選擇。02EOS刷假幣事件
聲音 | 李笑來:盡管具體方式現在還難以預見,但區塊鏈必然改變世界:李笑來今日在微博表示,今天人們暢想的區塊鏈應用大多都是扯淡,參見三四十年前人們所暢想的計算機應用。區塊鏈改變世界的具體方式現在還難以預見——只能確定的是,它必然改變世界。[2019/10/26]
Newdex是基于EOS區塊鏈的去中心化交易平臺,8月8日上線,號稱交易速度媲美中心化交易所,且不接觸用戶私鑰,導入錢包即交易,以此保障資產安全。但在上線一個多月后,就遭遇“EOS刷假幣事件”。通過這起事件,外界開始質疑Newdex是否是真正的去中心化交易所。1、損失規模:約58000美元。2、事件經過及安全分析EOS賬戶“oo1122334455”于2018年9月14日14:01:45,發行10億個假的EOS,并全額分配給“dapphub12345”賬戶。隨即由“dapphub12345”轉入“iambillgates”賬戶,“iambillgates”賬戶于14:21:37嘗試性地多次用1個假EOS掛單委托買入IPOS和ADD等代幣,并取得了成功。成功買入其他代幣后,“iambillgates”賬戶立刻將非法獲得的Token轉入“xx1234512345”與“x12345x12345”賬戶,最終由“xx1234512345”在Newdex中掛市價單賣出部分非法獲得的Token,共計賣得4028個真正的EOS。然后,發送到Bitfinex與其他加密貨幣進行交易。此次假EOS刷幣事件一共給Newdex用戶造成了11803個EOS的損失,Newdex團隊為此事件道歉,本著負責任的態度決定承擔此次全部損失,并且在第一時間修復相關問題并恢復正常運營。對Newdex基礎設施的進一步調查顯示,Newdex沒有使用智能合約來驗證用戶發送的Token。3、小結這起事件中,黑客用EOS原生貨幣來交易假的代幣,導致Newdex系統中EOS嚴重貶值。之所以黑客能夠得手,是因為Newdex沒有通過其智能合約驗證Token的真實性。他們在中央服務器上進行交易匹配,在處理交易時系統甚至沒有檢查存入的Token真實性。去中心化交易平臺具最基本的特點,是用戶自己掌握私鑰。既然是用戶自己掌握,也就只有用戶自己能動用錢包里的幣,不會因為交易平臺的漏洞而導致自己丟幣。所以,在這里建議大家在選擇交易平臺前,需要進行詳細的調查。03日本交易平臺被盜
動態 | 肉類供應商L28將VeChainThor區塊鏈技術整合到其商業模式中:VeChain基金會發推特稱,西澳大利亞優質肉類供應商L28將VeChainThor區塊鏈技術整合到其商業模式中。[2019/7/24]
2018年9月19日,總部位于大阪的TechBureauCorp旗下的Zaif交易所發生了比特幣、萌奈幣(MonaCoin)和比特幣現金被盜事件,被盜價值6000萬美元的數字貨幣。1、損失規模:6000萬美元。2、被盜取的數字貨幣:比特幣、萌奈幣(MonaCoin)和比特幣現金。3、事件經過及安全分析2018年9月14日之后,Zaif交易平臺關閉了用戶的存取款服務。根據Zaif的說法,關閉該服務的原因是在9月14日17:00至19:00之間,發現有人非法入侵了其熱錢包。經核實,該黑客的非法行為導致了價值5900美元的BTC、比特幣現金和萌奈幣被盜。Zaif在公告上沒有公布被攻擊的細節,它尋求了日本當局幫助調查此次被盜案。事實證明,在此攻擊行為發生前,日本金融廳分別于3月8日和6月22日,向Zaif發出過關于其內部管理系統和安全措施的預警。被盜事件發生后第一時間,日本金融廳向Zaif母公司TechBureau發出了今年的第三份業務改善令。但是Zaif交易所沒有對FSA的建議做出任何行動。根據扎伊夫對當局的透露,事件的起因居然是交易所一名員工的電腦被黑。11月22日,Zaif交易平臺把虛擬貨幣的相關業務轉移至FISCO集團,FISCO集團將接管Zaif并賠付用戶此次被盜的資金。需要強調的一點是,這起事件是加密貨幣歷史上損失最大的安全事件之一。4、小結根據種種跡象表面,該事件的起因很可能是Zaif員工的計算機被黑客成功利用釣魚網站的方式攻擊了。對于數字貨幣交易所來說,犯這種低級錯誤是非常不應該的。我們認為,該事件對廣大數字貨幣交易所敲響了警鐘,安全意識是數字貨幣交易所的根基,每家交易所都應在新員工入職工作之前,進行必要的網絡安全培訓。5、其他相似的攻擊事件2017年7月,在Bithumb上,黑客也使用了相同的方法,盜取了價值數百萬美元的加密貨幣,并且導致客戶數據被泄露。04黑客良心發現,返還被盜代幣
聲音 | 亞洲區塊鏈學會會長:比特幣今年預計目標將會升至30000美元:據大眾網消息,亞洲區塊鏈學會會長蔡志川表示,全球股票指數下跌,比特幣反而上升,證明了其作為另類投資的價值和意義。在中美貿易戰的影響下,尤其是近一周以來,大量國內外資金加速涌入虛擬貨幣市場,比特幣一度突破8000美元,較今年初上漲了一倍多。目前在整固,那么接下來在避險資金推動下將會突破9000美元,而今年預計目標是將會升至30000美元。他強調,比特幣正在向之前的高位挺進,隨著區塊鏈與產業應用日益深入和密切,比特幣的價值不可估量。數字世界里比特幣就是黃金,未來比特幣的價位有可能飆升至50000美元甚至更高。比特幣是未來的趨勢 。[2019/5/20]
SpankChain是基于以太坊公鏈的成人娛樂區塊鏈項目。團隊于10月9日在博客上表示,10月6日遭受到黑客攻擊,損失了165.38ETH(當時價值約3.8萬美元),另有價值4000美元的BOOTY幣遭到凍結。1、損失規模:超過40000美元。2、攻擊方式:通過智能合約的重入漏洞。3、事件經過及安全分析此次黑客攻擊利用的是SpankChain智能合約中的重入漏洞,該漏洞類似于著名到TheDAO事件中的漏洞。技術團隊發現合約被黑客入侵是在攻擊發生后的24小時,SpankChain團隊第一時間關閉了自己的官網。10月12日,黑客竟然主動聯系了SpankChain的首席執行官,將165.38ETH退還給該團隊,另外黑客還幫助SpankChain恢復了因攻擊而被凍結的大約4000個BOOTY代幣。作為回報,SpankChain團隊給了該黑客一些獎勵。4、小結SpankChain區塊鏈社區對該事件的反應比較激烈,原因很可能是難以接受被黑客利用著名的重入漏洞進行攻擊。重入其實就是遞歸,就是對于一個函數的循環調用和對自身的循環調用。針對重入漏洞,最根本的解決方案還是在轉賬之前就把所有應該變更的狀態提前更新,而不是在轉賬之后再進行更新。其實在上鏈前,項目方只需投入很少的費用,對智能合約進行安全審計,就可以很好的避免這種事情。在區塊鏈里,沒有刪除和修改的概念,一旦合約部署到公鏈,就無法篡改。全球數以萬計的黑客可以慢慢地,一行一行地找上面的漏洞。對于區塊鏈行業來說,安全審計是必不可少的流程。目前,還不清楚黑客為何會歸還被盜資金,這對受害者來說可能是一種安慰,但這種事情不常有。希望這次事件過后,項目方、交易所都能夠警醒,認識到安全審計的重要性。5、其他相似的攻擊事件DAOHack:以太坊區塊鏈歷史上最臭名昭著的事件之一,引起以太坊區塊鏈的硬分叉,分裂成以太坊和以太坊的經典的事件。05遭遇兩次攻擊的EOSBet
聲音 | David Haimes :甲骨文區塊鏈開始在物聯網和手機上布局:甲骨文ERP云發展的高級總監David Haimes在接受采訪時表示,大企業和公司對加密貨幣、公有鏈不太感興趣,因為匿名性意味著太多不可控的事情,知名公司傾向于避免“冒險”。用戶生態,無幣區塊鏈并不孤單,行業未來,技術和思路都應“開源”,甲骨文區塊鏈還在物聯網和手機上開始布局。[2018/11/13]
EOSBet是EOS上的游戲平臺,分別在9月14日和10月15日遭受了兩次黑客的攻擊,損失分別為44427.4302個EOS和138319.7995EOS。1、損失規模:200000美元+338000美元。2、攻擊方式:利用智能合約中的漏洞。3、事件經過及安全分析9月14日,EOSBet遭到黑客攻擊,EOSBet團隊官方宣稱:這個攻擊并不簡單,我們正在進行取證,并將所發生的事情拼湊在一起,來尋找蛛絲馬跡。根據TheNextWeb的分析,“黑客的攻擊方式是使用假哈希在外部調用’傳輸’功能”。攻擊發生后,一個與EOSBet官方帳戶名稱非常相似的EOS帳戶,向攻擊者的地址發送了少量EOS,并且附帶一個要求對方退回被盜資金的消息,聲稱如果不退回,他們將雇用一個律師團隊追捕并起訴攻擊者。9月16日,EOSBet重新上線,并且官方發布了關于黑客攻擊的詳細報告,承諾他們的合約已經修補了全部漏洞,目前是非常安全的。一個月后,黑客利用EOSBet合約在檢驗收款方時存在的漏洞,偽造轉賬通知,總計從“eosbetdice11”獲利138319.7995EOS。其中72150個EOS流入了Bitfinex,65100個EOS流入了Poloniex。根據EOS當前的行情價格估算,EOSBet平臺此次損失額超500萬元。該公司報告稱,他們正與這兩家交易所談收回資金的事情。4、小結EOS的智能合約發展相對ETH來說,還處于早期,頻頻發生的安全事件對這個新生兒來說是不可承受之痛。06結語
甘肅設置甘肅信息科技學院,推進“區塊鏈+”創新:中新網5月29日報道,甘肅將依托蘭州理工大學技術工程學院,設置甘肅信息科技學院,旨在針對甘肅省建設絲綢之路信息港、國際知識產權港建設,發展數據信息產業以及推進“區塊鏈+”創新、應用試驗區等迫切需求,破解全省信息技術人才培養分散、能力不足的難題。[2018/6/4]
今年9、10兩個月的安全大事件,主要集中在EOS的智能合約漏洞和交易平臺的漏洞,損失的金額非常高。在這些事件中,有很多是完全可以避免的,之所以頻頻發生安全事件,很大程度上是因為安全意識還太過于薄弱。安全事件的頻發,加上行業的暴跌,不斷打擊著區塊鏈參與者的信心,但不妨換個視角,放眼整個行業的發展來看。如果行業的參與者能夠從這些巨額損失的安全事件中獲得警醒,汲取過往的教訓,更加注重安全方面的建設,相信這對于茁壯發展的區塊鏈行業來說,才是真正有益的。
編者按:本文來自白話區塊鏈,作者:Peter,星球日報經授權發布。今天是比特幣創世區塊誕生的10周年,10年前的今天,第一批50枚比特幣獎勵被中本聰挖出.
1900/1/1 0:00:00前言:提到中國企業出海上市,離不開VIE架構,紅籌模式,10號文、新浪模式這些熟悉又陌生的名詞,而境外上市也造就了新浪、搜狐、網易、中華網、華晨汽車、UT斯達康這些上世紀的資本傳奇.
1900/1/1 0:00:00在礦工眼中,所有的比特幣交易都是平等的,只要附加了足夠的手費用,無論發送方或接收方是誰,或者交易了多少比特幣,對他們來說都沒有區別.
1900/1/1 0:00:00譯者按:密碼貨幣凜冬已至,以太坊也跌破了100美元,在價格屢創新低的同時,其生態系統的一些數字卻呈現了不斷上升的趨勢,來自以太坊社區的ConsenSys公司列出了一系列相關數字.
1900/1/1 0:00:00基因測序目前市場探索的區塊鏈落地場景之一。Odaily星球日報此前報道過的Healio,最近,我們接觸到同樣來自美國的基因測序團隊Nebula,這個項目最亮眼之處在于,其聯合創始人之一為合成生物.
1900/1/1 0:00:00頭條 中本聰在白皮書發布網站上的個人狀態已更新中本聰在P2PFoundation上的個人狀態已更新,添加了一個單詞"nour".
1900/1/1 0:00:00