根據動區專欄作者機構《PeckShield》旗下的態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生11 起較為突出的安全事件,危害程度評級為「中級」,受損金額 750 萬美元(約 2.2 億新台幣),涉及 DApp 1 起、公有鏈 4 起,詐騙跑路 3 起,勒索 3 起等。
DApp 安全
12月份共發生1 起DApp 安全事件,是TRON 生態發生的交易回滾攻擊。
12月06日,PeckShield 安全人員發現TFNsSk 地址開頭的駭客通過自創建的合約對波場Tron Lounge DApp 合約發起交易回滾攻擊,並獲利54,653 個TRX。
PeckShield 點評:
DApp生態安全事件很多都是由合約玩家導致的,DApp在接收玩家交易之前應檢查目標帳戶是否為智能合約,同時在合約上線前做好安全測試,防禦已知的攻擊方式,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防禦部署。
延伸閱讀:交易所 Poloniex 證實「數據外洩」寄信提醒用戶:這封信不是詐騙,請重設帳戶密碼
公有鏈安全
1)12月01日,Vertcoin(VTC)區塊鏈遭到了51%的攻擊,其中有603 個VTC 區塊被攻擊者的553 個區塊所取代。這是Vertcoin 繼去年後第二次遭受51%攻擊;
2)12月14日,VeChain(唯鏈)基金會的錢包遭遇駭客攻擊。據官方消息,該事件是由於內部成員的不當行為導致,成員在沒有完全遵守基金會批准的標準流程的情況下創建了回購帳戶,駭客盜取了11 億枚VET 代幣,價值640萬美元,之後官方及時凍結了7.27 億枚代幣並持續追踪剩餘資產;
延伸閱讀:唯鏈(VeChain) 基金會公告:因財務人員行為不當,11億枚 VET 被轉移至駭客地址
3)12月23日,公有鏈項目NULS 官方發布消息稱,由於NULS 交易簽名驗證邏輯存在漏洞,駭客利用精心構造的交易繞過了驗證的環節,盜走200 萬枚代幣。官方之後採取了硬分叉的方式,將未進入交易市場的145萬枚NULS 代幣進行了銷毀;
4)12月30日,根據IOTA官方公告,在極端情況下,IRI(IOTA主網客戶端名稱)沒有考慮兩個不同bundle之間共享的交易。一旦在一個bundle將某個交易標記為「已計數」,下一個bundle就會將其忽略,這一bug導致了帳本狀態的損壞。目前,該漏洞已經得到修復。
延伸閱讀:IOTA 主網節點出現程式錯誤,系統延宕 15 小時無法確認交易(已修復完畢)
PeckShield 點評:
12月份出現了多起公有鏈安全事件,公有鏈上的漏洞對整個鏈生態的影響極大,相關安全問題會對生態帶來致命的威脅。在防範51%攻擊時,除了設計合理的共識算法外,也要注意保持算力分散,設置應急的風控預警。而對於公有鏈底層代碼漏洞,項目方在公有鏈上線前應做好安全測試,並尋求第三方安全公司審計。
勒索相關
12月份共發生3 起典型勒索有關的安全事件,其中出現了新型的勒索軟件,例如”DeathRansom” 勒索軟件在成功感染一台電腦之後,將首先嘗試刪除卷影副本,然後再對電腦上的所有文件進行加密且贖金指定只收比特幣。
PeckShield點評:
對於一些可疑的網站和郵件,用戶需要謹慎訪問,同時要及時安裝操作系統發布的漏洞補丁。即使電腦已受到勒索軟件感染,也要向專業的安全人員尋求幫助,而不是給勒索軟件付費。
延伸閱讀:(9/3 12:50 更新)衛福部單位疑似遭勒索病毒攻擊,要求支付比特幣
釣魚詐騙等其他安全事件
除上述之外,12月份還有一些安全事件同樣值得警惕:
1)PlusToken 跑路資金EOS 和ETH 部分地址發生異動,其中有1,200 枚EOS 流入OKEx、幣安和幣幣跨鏈兌換平台SWFT;
延伸閱讀:中國資金盤|龐氏騙局 Plustoken 再移出「1 億美元以太幣」至未知錢包,為拋售做準備?
延伸閱讀:深度追蹤|犯罪調查報告: 中國龐氏騙局PlusToken贓款兌現,恐為近日比特幣暴跌的背後原因
2)社交網絡上出現傳播冒充萊特幣基金會贈送LTC 的騙局,已詐騙用戶309 枚LTC;
3)駭客再次通過SIM 交換技術竊取身份入侵多名受害者的智慧型手機,獲得價值百萬美元的加密資產。
延伸閱讀:美國一名學生駭 SIM 卡竊「上億台幣」的密碼貨幣,花錢買直升機跑趴,法院判 10 年有期徒刑
PeckShield 點評:
因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
?相關報導
官方公告出爐!韓國Upbit遭駭: 34.2 萬以太 (15億台幣) 從交易所轉出,將暫停取款兩週
解析為何中國防火長城封殺區塊鏈瀏覽器 Etherscan:#MeToo、假疫苗風波引發?
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
