根據專欄作者《PeckShield》旗下的態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生16 起較為突出的安全事件,危害程度評級為「中級」,受損金額近5,600 萬美元,涉及DApp 5 起、勒索 5 起、交易所 3 起、錢包 1 起以及若干釣魚詐騙等。
DApp 生態
11 月份共發生5 起 DApp 安全事件,其中 EOS 生態發生3 起,ETH 和 TRON 生態各發生 1 起。
1)EOS DApp
EOS 生態發生的3 起安全事件都跟 EIDOS 挖礦有關,具體而言,受 EIDOS 挖礦熱潮的影響,EOSIO 主網的 CPU 資源消耗進入了高度飽和狀態,普通用戶根本無法正常使用網絡。
延伸閱讀:Microsoft|80年代最暢銷的遊戲書回來了!微軟聯手 Eidos 把他改造成「區塊鏈卡牌遊戲」
一些駭客也開始嘗試從 DApp 中偷取 CPU 資源進行挖礦。
11月06日,BigGame 成為了首個被攻擊的DApp,它是一款為玩家代付CPU 資源的DApp,駭客劫持了用戶和BigGame 間的交易信息,在轉帳通知中嵌入了非法操作,故而成功竊取 BigGame 代付給用戶的免費 CPU 資源,直到它的 CPU 資源被耗盡為止。
11月7日凌晨3時,另一款 DApp 遊戲 BetHash 也遭到了同樣的攻擊。對於多數博弈類游戲,玩家投注完,都會接收到DApp的遊戲通知,此時,駭客就可以控制惡意程式劫持該通知嵌入內聯操作,進而實施攻擊行為。不僅BetHash,一些其他的博弈類游戲包括EOSBet、EOSMMM,Trust-Dice,WinPlay等等也被相繼攻擊了。
問題貌似愈演愈烈,11月11日凌晨3時,攻擊開始延伸至 EOSIO 系統的bidname短帳號競拍上,甚至可以無限制的使用EOS系統的CPU資源。如果你想競拍一個短帳號,例如:baaa,你開始從0.0001個EOS起競拍,當某人出價高出了10%的話,你的出價就會被返還。駭客在EOSIO系統返還的過程中劫持轉帳通知實施攻擊。由於EOSIO系統擁有無限量的CPU資源,駭客就可以持續通過攻擊獲得CPU資源。
延伸閱讀:EOS 根本性問題浮現|去中心化?EOS紐約揭露: 至少6個節點由同一人或公司實體擁有
據 DAppTotal 數據顯示,近 7 天 EOS CPU 擁堵指數都為 100% 。
2)ETH DApp
ETH 生態發生的 1 起安全事件跟 DeFi 市場 Augur DApp 有關。具體而言:Augur 是構建於以太坊網絡上的預測市場協議,鏈下 Oracle 會爬取多處的信息再提交到鏈上。惡意攻擊者通過在 Twitter 等社交媒體故意發布虛假信息,從而影響Oracle 數據源,操縱預測結果。
3)TRON DApp
TRON 生態發生的1 起安全事件是常見的交易回滾攻擊。PeckShield 安全人員發現TGiN78 地址開頭的駭客通過自主創建的合約對波場 TR66FA 地址開頭的合約發起交易回滾攻擊,共計獲利18,808 TRX。
專欄作者點評:以上DApp 生態安全事件基本都是由合約玩家導致的,DApp 在接收玩家代幣或者發送通知之前應檢查目標帳戶是否為智能合約。現在 EOSIO 網絡上的智能合約中並沒有檢查EOS 帳戶狀態的 API,建議DApp 合約開發者可以採用類似 DAppShield 安全盾工具提供的過濾合約帳戶服務,並請求第三方安全公司協助。
交易所安全
11月份共發生3 起交易所安全事件,其中兩起和駭客攻擊有關。
1)韓國交易所 Upbit 34.2 萬枚ETH 被盜,總價值約5,000 萬美元;
延伸閱讀:官方公告出爐!韓國Upbit遭駭: 34.2 萬以太 (15億台幣) 從交易所轉出,將暫停取款兩週
2)越南交易所 VinDAX 被駭客入侵,損失了至少500 萬美元的加密貨幣;
3)BitMEX 交易所發生大量郵箱地址洩露事件。
北京時間 11月27日12時04分,PeckShield 旗下數字資產可視化資產追蹤平 台CoinHolmes 監控到Upbit 交易所地址向未知錢包和 Bittrex 交易所連續進行大額轉帳,其中有一筆涉及 34.2 萬枚ETH 的交易較為異常,可能遭到了駭客攻擊。之後 Upbit 交易所發出公告,承認自己的以太坊熱錢包被盜了34.2 萬個ETH,當他們發現被盜後,很快將熱錢包中其他資產轉移到了冷錢包。
延伸閱讀:彙整|BitMEX遭駭?已知洩漏用戶信箱至少2.3萬,包含1政府.gov信箱
11月28日15點08分,CoinHolmes 監控到韓國Upbit 交易所被盜ETH 資產首次出現異動,0xa09871ae 開頭的駭客地址向多個地址轉移盜取的ETH,同時發送了極少量ETH 至Huobi,幣安等交易所地址。
利用 CoinHolmes 一圖概覽Upbit 交易所被盜資⾦流向圖:
專欄作者點評:今年以來,駭客已經盜取了多家交易所價值數億美金的代幣,例如此前發生的 Cryptopia、幣安、DragonEx、Bitrue等交易所被盜事件。PeckShield 建議交易所使用更加安全的防範系統,保管好自己的私鑰,採用多簽等機制防範。
勒索相關
11月份共發生5 起勒索有關的安全事件,其中出現了幾種新型的勒索軟件,例如 NextCry 勒索軟件會利用PHP-fpm 遠程代碼執行漏洞(CVE-2019-11043)針對 Linux 服務器發起攻擊嘗試入侵。
專欄作者點評:對於一些可疑的網站和郵件,用戶需要謹慎訪問,同時要及時安裝操作系統發布的漏洞補丁。即使電腦已受到勒索軟件感染,也要向專業的安全人員尋求幫助,而不是給勒索軟件付費。
釣魚攻擊等其他安全事件
除上述之外,11月份還有一些安全事件同樣值得警惕:
1)加密錢包GateHub 的 140 萬個用戶帳戶信息被盜,包括密碼、密鑰和助記詞等;
2)門羅CLI二進制文件遭破壞,用戶下載文件後需要及時檢查文件完整性。
專欄作者點評:因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
?相關報導
官方公告出爐!韓國Upbit遭駭: 34.2 萬以太 (15億台幣) 從交易所轉出,將暫停取款兩週
解析為何中國防火長城封殺區塊鏈瀏覽器 Etherscan:#MeToo、假疫苗風波引發?
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
