區塊鏈:安全月報 | 10月共發生安全事件10起，DeFi借貸平臺成黑客洗錢新選擇_WIZ

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發生10起較為突出的安全事件，危害程度評級為「中級」，受損金額數千萬元，涉及數字錢包3起、DApp2起、智能合約1起以及資金盤跑路、釣魚詐騙等等。

數字錢包

10月份共發生3起錢包安全事件，其中包含2起錢包私鑰被盜。

1）上海某投資機構冷錢包私鑰被盜，造成的損失達數千萬元；

2）去中心化托管平臺Payfair官方發布聲明稱，由于黑客攻擊，平臺冷錢包的私鑰被破解；

3）網頁版加密貨幣錢包Safuwallet遭到黑客攻擊，黑客通過注入惡意代碼竊取了大量資金。

PeckShield點評：數字錢包作為管理私鑰的工具，是離加密資產最近的地方。雖然冷錢包是一種脫離網絡連接的離線錢包，但也存在被物理攻擊和被盜的風險，而像網頁錢包等熱錢包，用戶也要謹防網絡釣魚，惡意代碼注入等攻擊方式。

MyCrypto CEO：鑒于DeFi領域現狀短期內會優先考慮集中化和安全性:Trail of Bits聯合創始人兼首席執行官Dan Guido和MyCrypto創始人兼首席執行官Taylor Monahan最近在播客節目中強調了DeFi中越來越多的黑客攻擊以及改進安全措施的必要性。在DeFi內部，過去幾個月出現了幾個漏洞。Guido強調了面臨的挑戰，“在防御（Defy）領域，一個常見的問題是在可組合性方面存在很多風險，我認為我們已經決定用這個詞來描述描述所有這些突發行為和鏈上事件之間的潛在相互作用，以及由此產生的安全風險。”Monahan指出，最大的漏洞之一是DeFi領域中的糟糕代碼。“現在，最大的威脅就像我們在寫糟糕的代碼。我們正在建立不安全的體系，因此在短期內，我會優先考慮集中化和安全性，而不是去中心化。”Monahan認為，去中心化代表了一個范圍，在短期內，隨著生態系統試圖應對與其安全基礎設施有關的挑戰，加強集中化可能對生態系統有利。“我喜歡去中心化所賦予的權利，但從短期來看，如果每份合約都是不確定的，它就會爆炸，每個人都會損失自己的錢，我們永遠無法實現這一目標。 ”（AMBCrypto）[2020/5/10]

DApp?生態

比特幣安全專家：Libra和CBDC發展與比特幣無關:金色財經報道，比特幣安全專家Andreas Antonopoulos表示，Libra和央行數字貨幣（CBDC）的發展與比特幣完全無關。Antonopoulos稱，所有這些系統（Libra、CBDC和其他新技術）都缺乏讓比特幣變得有趣和與眾不同的基本因素。而比特幣是革命性的、不可改變的、公共協作的以及去中心化的。同時他還認為，央行數字貨幣與現有的貨幣體系沒有任何不同。當局正試圖將其裹上新的包裝，并提供革命性、破壞性和新功能。[2020/4/27]

10月份共發生2起DApp安全事件，都發生在EOS生態內。

EOS游戲BitDice遭受假EOS攻擊，損失4千EOS；SKReos游戲遭受交易memo攻擊，損失6千EOS。其中SKReos之前已被多次報道遭受交易阻塞和隨機數攻擊。

聲音 | 華為區塊鏈總監：2020年量子計算會促進區塊鏈加密學 提升區塊鏈安全性:據中國新聞網報道，26日在重慶舉行的2019中國(重慶)區塊鏈與大數據智能化研討會上，華為區塊鏈項目總監張小軍表示，多國對區塊鏈態度積極。區塊鏈當前技術中存在的產業問題是技術標準化不足，不同的區塊鏈技術之間無法實現互聯網互通。2018年至2020年是區塊鏈技術最主要的3年，標準決定區塊鏈產業節奏的快慢。國際標準在圍繞區塊鏈的框架性標準和垂直行業標準推進。區塊鏈不以技術為重心，而以合適的場景為其價值的根本。區塊鏈的場景重點瞄準在追溯、身份認證、數據交易、供應鏈管理領域。2019年，區塊鏈與其他技術的融合將加速，如用人工智能檢測數據，解決區塊鏈上鏈數據真偽問題。2020年，量子計算會促進區塊鏈加密學，提升區塊鏈安全性。[2019/2/26]

具體來說，假EOS攻擊是被攻擊合約在接收到玩家投入的EOS時，沒有驗證是官方eosio.token合約簽發的，玩家可以自己創建同名為EOS的代幣，進而觸發被攻擊合約的transfer函數，獲得真正的EOS回報。而交易memo攻擊是指黑客通過精心構造投注交易的memo，導致游戲方服務器解析異常，從而持續中獎或異常大額退款。

動態 | 以太坊dApp瀏覽器采取措施提高錢包安全性:據CCN報道，為了保護隱私，以太坊dApp瀏覽器MetaMask將在11月2日停止向用戶瀏覽器注入Web3實例。更新對訪問用戶麥克風或攝像頭請求的審批模式，用戶可以拒絕非法網站的訪問。釣魚網站將無法在用戶不知情的情況下獲取其隱私信息。[2018/8/27]

PeckShield點評：以上兩款EOS游戲遭受的攻擊都是比較常見的，DApp開發者應在合約上線前做好安全測試，防御已知的攻擊方式，必要時可尋求第三方安全公司協助，幫助其完成合約上線前攻擊測試及基礎安全防御部署。

智能合約

10月份共發生1起智能合約安全事件，相關漏洞導致其成為第一個進行硬分叉的區塊鏈游戲。

10月14日，CheezeWizards在以太坊主網上線。不到24小時內，玩家@samczsun向官方反映，游戲合約存在一個嚴重的漏洞，使用該漏洞可以讓玩家處于不敗之地。隨后CheezeWizards決定采用分叉的解決方案來保護用戶的權益。官方之后修復了此漏洞并部署了新的智能合約，同時彌補了用戶遭受的損失。

如下圖，這一漏洞主要發生在智能合約的resolveTimedOutDuel(uint256,uint256)方法中。

作為一款格斗游戲，CheezeWizards允許玩家發起一個“單邊揭示“的交易，當一位玩家已經揭示了招式，另一位玩家一直不揭示招式直到時間截止(90分鐘)時，正常玩家可以調用resolveTimedOutDuel()方法，以此來奪走不揭示招式玩家的能量。而問題的關鍵在于誰先調用并如何調用該方法。

玩家正常調用和惡意調用的例子如下。

正常調用：resolveTimedOutDuel(WIZARD-A，WIZARD-B)

惡意調用：resolveTimedOutDuel(WIZARD-A，WIZARD-A)

由于合約開發者默認為傳入的兩個wizardid不同，所以沒有進行相關效驗，而該方法是公開的，任何玩家都可以設置wizardid，一個懷有惡意的玩家，通過傳入相同的wizardid以此來凍結誠實玩家的能量。

修復此漏洞的方法很簡單，只需要在方法體內加上如下判斷。

PeckShield點評：智能合約開發者在實現相關方法時，要特別注意公開接口的相關參數，應考慮各種異常情況，做好防御限制。

跑路事件

10月份，經媒體報道多起資金盤項目涉及傳銷和詐騙，例如被立案調查的趣步，暫停維護的ICC等。

PeckShield旗下的CoinHolmes推出的可視化的數字資產追蹤服務也一直監控著跑路和被盜資產的異動情況。

其中CoinHolmes監測到Cryptopia部分被盜資產流入了Uniswap去中心化交易所和知名DeFi項目Compound。資產流向示意圖如下：

鑒于資金盤跑路詐騙事件頻發，CoinHolmes為廣大用戶提供了爆料入口，用戶可以通過提交關聯鏈上地址，實時查詢數字資產流向情況。

PeckShield點評：除了傳統中心化交易所，黑客也在不斷尋求新的洗錢方式，例如此次黑客轉移資金至Compound，主要目的是利用DeFi借貸平臺進行混淆資金洗錢，同時不排除“理財生息”的可能。除DEX之外，當前有著較好流通性的DeFi借貸平臺也成了黑客洗錢的新選擇。

釣魚攻擊等其他類安全事件

除上述之外，10月份還有一些安全事件同樣值得警惕：

1）Telegram搬磚套利騙局八天內詐騙金額高達750枚ETH；

2）MEET.ONE提醒EOS用戶警惕DApp詐騙釣魚。

PeckShield點評：因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮，釣魚攻擊、搬磚套利等各類事件就是典型。在此提醒，參與數字資產投資的用戶應謹慎保管各類私密信息，任何小的疏忽都可能造成不可挽回的損失。

Tags：區塊鏈EOSWIZARDWIZ區塊鏈的未來發展前景怎么樣eos幣有價值嗎WIZARD Vault (NFTX)WIZZY價格

Filecoin