事件
黑客勒索攻擊
傳統的勒索軟件攻擊以及通過系統漏洞遠程控制受害者系統的攻擊,是7月至今發生的黑客勒索攻擊事件中的主要攻擊方式。
此類攻擊行為,攻擊者不需要了解熟悉區塊鏈的知識和技術細節就可以完成攻擊,尤其是twitter攻擊,其攻擊者是三名青少年,其中最大年齡僅有22歲,這起事件在7月以來的安全事件中較典型的一例,產生的影響范圍極廣。
①
7月2日,MongoDB遭受到攻擊,約22900個數據庫被清空,攻擊者要求以BTC作為贖金贖回被清空數據庫的備份。
LBank藍貝殼于5月3日20:00首發 CSPR(Casper),開放USDT交易:據官方公告,5月3日20:00,LBank藍貝殼上線 CSPR(Casper),開放USDT交易,同時并開放充值,資料顯示,Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用,同時確保隨著網絡參與者需求的發展,其在未來仍能保持高性能。[2021/5/3 21:19:51]
②
7月11日,Cashaa交易所發生交易異常,攻擊者通過控制受害者電腦,操作受害者在Blockchain.info上的比特幣錢包,向攻擊者賬戶轉移約合9800美元的BTC。
LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]
③
LBANK藍貝殼于3月22日18:00首發 DORA,開放USDT交易:據官方公告,3月22日18:00,LBANK藍貝殼首發DORA(Dora Factory),開放USDT交易,現已開放充值。
資料顯示,Dora Factory 是基于波卡的 DAO 即服務基礎設施,基于 Substrate 的開放、可編程的鏈上治理協議平臺,為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時,開發者可以向這個 DAO 即服務平臺提交新的治理模塊,并獲得持續的激勵。[2021/3/22 19:07:06]
7月15日,twitter遭受社會工程攻擊,員工管理賬號被盜,造成多個組織和個人的推特上發布欺詐信息,誘使受害者向攻擊者比特幣賬戶轉賬。
《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]
④
7月22日,約克大學信息被盜取,攻擊者要求約合114萬美金的BTC作為贖金。
⑤
7月23日,英國足球聯盟信息被盜取,攻擊者要求BTC作為贖金。
⑥
7月25日,西班牙鐵路基礎建設管理局約800gb信息被盜,攻擊者要求BTC作為贖金。
⑦
7月30日,佳能遭受到黑客攻擊,約10tb照片和其他類型數據被盜,用戶要求以數字貨幣作為贖金。
⑧
7月31日,數字貨幣交易所2gether遭受到黑客攻擊,約139萬美金的BTC被盜。
代碼漏洞攻擊
對于代碼漏洞攻擊相關事件,攻擊者則必須要理解區塊鏈51%攻擊并且能夠找到可以利用的條件來完成攻擊,并且需要對智能合約的技術有深刻的了解,找到其中的邏輯漏洞并加以利用。
⑨
8月4日,DeFi項目Opyn被攻擊者通過代碼漏洞,獲得數目等于存入數目兩倍的代幣,最終造成了約37萬美金的損失。
攻擊類型及危險
攻擊事件類型及危險程序:
勒索攻擊——攻擊的方法和媒介如下:
代碼漏洞攻擊:——攻擊的方法和媒介如下:
因勒索攻擊門檻低,攻擊方式大同小異,因此可供分析程度有限,下文將為大家具體分析8月兩起代碼漏洞攻擊事件。
代碼漏洞攻擊事件分析
⑨
第9號事件
此次事件發生于DeFi項目Opyn中,攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。
攻擊者在向智能合約中發送某一數量的ETH時候,智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致,并沒有動態的檢查攻擊者發送的ETH數量是否在每一次交易之后,仍舊等于完成該次期貨買賣所需要的數量。
也就是說,攻擊者可以用一筆ETH進行抵押,并再贖回兩次交易,最終獲得自身發送數量兩倍的ETH。
CertiK安全研究團隊認為,Opyn沒有對其更新完成后的智能合約再次進行嚴謹的安全審計驗證就直接進行部署運行,從而造成了其智能合約中的程序代碼漏洞沒有被及時發現,是此次事件發生的主要原因。
總結
在此,CertiK安全團隊建議如下:
做好區塊鏈項目運行的硬件以及平臺軟件的安全漏洞篩查,在日常工作中關注培養員工對于黑客攻擊常見手段的認識和防御意識。
做好對區塊鏈運營中可能出現的某方占有超過全區塊鏈一半總算力的“支配”情況,對于特定區塊鏈項目中的防護,可以考慮采用提高交易確認必須次數或者優化共識算法。
做好對區塊鏈項目中鏈代碼和智能合約代碼的驗證審計工作,邀請多個獨立的外部安全審計服務來審計代碼,并在每次更新代碼后進行重新審計。
我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000001%被攻擊的可能性。
數字貨幣到底是什么?會給我們生活帶來哪些改變?8月10日,央視新聞《相對論》之《部長共話:下半年,這么干!》第五期,與易綱、黃益平、溫彬共話.
1900/1/1 0:00:00CCR中一大重要功能便是一鍵設置策略,方便大家快捷地根據倉位一鍵設置每個交易貨幣對的交易參數。在設置好后如果想要調整同樣也可以一鍵調整與進行單個交易品種調整.
1900/1/1 0:00:002020年5月13日,一個名叫Lubian的礦池突然空降BTC.com礦池榜單,以超過6000P的算力強勢登榜,排名第5.
1900/1/1 0:00:00紫盈說幣:8.10比特幣合約——榮譽都是奮斗而來的,炒幣如何賺錢貓喜歡吃魚,可貓不會游泳,魚喜歡吃蚯蚓,可魚又不能上岸,上帝給了你很多誘惑,卻不讓你輕易得到,但是,總不能流血就喊痛,怕黑就開燈.
1900/1/1 0:00:00BTC多頭逐漸占領高地,短期能否再刷年內新高?大餅今日行情于早間10點鐘左右迎來一波向上拉升,突破12000,短線觸及空頭供應區.
1900/1/1 0:00:00幣海引路人:811BTC/ETH早間操作策略真正的投資者,不應該是把全部的時間都放在交易上的,馬不停蹄地尋找交易機會;而是在關鍵的部位做出決策之后.
1900/1/1 0:00:00