PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生11 起較為突出的安全事件,危害程度評級為「中級」,受損金額4,823 萬美元,涉及DeFi 4 起、交易所4起,DApp 1 起,個人被盜1 起, 錢包1 起等。
DeFi 安全
2月份共發生4 起DeFi 安全事件,具體如下:
- 02月15日,DeFi項目bZx團隊在官方電報群上發出公告,稱有駭客對bZx協議進行了漏洞攻擊。PeckShield安全人員主動跟進bZx攻擊事件,發現這起事件是針對DeFi項目間共享可組合流動性的設計進行攻擊,特別在有槓桿交易及借貸功能的DeFi項目裡,該問題更容易被利用。(詳情參閱 怎麼用 Defi 工具「十幾秒零成本」獲利上千萬?詳細還原 bZx 駭客事件始末)
- 02月18日,bZx再次遭遇了類似的攻擊,這一次的攻擊從技術原理與上一次不同,駭客通過操縱Oracle價格對bZx合約進行了“矇騙”,而根本原因還是由於平台間共享流動性過小以及價格機制設計缺陷導致的。(延伸閱讀 閃電貸款|駭客二次對「各 DeFi 產品壓力測試攻擊」,從 bZx 再獲利 66 萬美元(2,378 ETH))
- 02月23日,預言機Chainlink 因一次功能升級時的人為錯誤,把黃金(XAU)的價格錯誤地標記成了白銀(XAG)的價格,造成了約四萬美元損失。
- 02月29日,去中心化穩定幣交易平台Curve 出現一筆異常交易,該筆交易使用價值8.9萬美元的USDC 兌換了價值46.5萬美元的BUSD。攻擊者對Curve 的busd.curve.fi 以及y.curve.fi 兩種資金池進行一次鉗形攻擊。
點評:
隨著DeFi項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與用戶資產的緊密聯繫,可見DeFi項目的安全問題非常嚴峻。
由於各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平台交互的過程中出現安全問題,進而腹背受敵。
PeckShield在此建議,DeFi項目方在上線之前,應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
延伸閱讀:區塊鏈的關鍵最後一哩路!預言機如何連接「虛擬世界」與「現實世界」?
延伸閱讀:ETH 存款年利率42%引爆擠兌危機!台灣技術團隊連夜打造 DeFi 逃脫裝置「拯救世界」的故事
交易所安全
2月份共發生4 起交易所安全事件,其中包含兩起駭客入侵:
- 02月10日,Altsbit 交易所存放熱錢包私鑰的服務器被入侵,熱錢包私鑰被盜導致用戶資產丟失。
- 02月17日,VBITEX 交易平台發佈公告稱被駭客入侵,導致平台數據被惡意篡改、虛擬資產被盜。
- 02月17日,FCoin 交易所聲稱由於資金困難導致資金儲備無法兌付用戶提現,且預計無法兌付的資金規模介於7,000-13,000 BTC之間。
- 02月28日,OKEx、Bitfinex 等交易所頻繁遭受DDoS 攻擊,相關服務受到影響。
其中針對FCoin交易所出現的資金困難問題,PeckShield安全團隊旗下可視化數字資產追踪系統CoinHolmes對涉及的相關地址展開了定向追踪和剖析。
延伸閱讀:交易所|Bitfinex 和 OKEx 昨日同遭駭客 DDoS 攻擊,OKEx CEO 暗示為同業所為?
延伸閱讀:FCoin|張健岳父母杭州遭維權者圍堵,交易所緊急公布資產詳細地址內剩 2.89 億加密貨幣
CoinHolmes鏈上追踪系統囊括了數十個交易所,超6,000萬地址標籤,涉及BTC、ETH、USDT等多種主流數字資產。
利用CoinHolmes 一圖概覽FCoin 資產流向,如下圖:
結合數據分析和可視化圖形展示,PeckShield安全人員猜測FCoin的資金鍊可能在2018年07月就出現了問題。(詳情參閱 資安專欄:圖文拆解「交易挖礦始祖 FCoin」資產流向,鼎盛時期便埋下禍根?)
點評:
透過FCoin此次事件,大家開始認識到中心化交易所因資產缺乏透明性而潛在的危機。
這是一次災難,但同時希望也會是一次拐點,希望更多中心化交易所能夠認識到資金透明性以及準備金賠付機制的重要性。
而對於交易所私鑰被盜,服務器遭受入侵等問題,PeckShield建議交易所使用更加安全的防範系統,保管好自己的私鑰,及時修補操作系統或第三方軟件漏洞。
DApp 生態
2月份共發生1 起DApp 安全事件,存在於TRON 網絡。
具體而言,02月03日,TKnzni 地址開頭的駭客通過創建攻擊合約的方式對TGsyJF 開頭的LuckLambo104 合約地址持續發起交易回滾攻擊,並獲利6,588 個TRX。
點評:
DApp生態安全事件大多都是由合約玩家導致的,DApp在接收玩家代幣或者返利之前應檢查目標賬戶是否為智能合約。
同時開發者在合約上線前應做好安全測試,防禦已知的攻擊方式,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防禦部署。
延伸閱讀:飯後翻臉!股神巴菲特打臉孫宇晨:加密貨幣沒有價值,我也永遠不會持有比特幣
延伸閱讀:區塊鏈虛擬世界評測|我在 Decentraland 逛了一天,欣賞藝術品、薅羊毛、鋼管舞…
SIM卡攻擊
2月份發生了一起BTC 大鯨魚賬號被盜大案,02月22日,一名自稱“zhoujianfu”的用戶在Reddit 發表貼文稱遭受駭客攻擊,損失了1,547 個BTC 和60,000 個BCH,價值約2.6 億人民幣,這是近幾年最大的個人被盜事件。
根據受害者提供的地址,PeckShield 安全團隊旗下可視化數字資產追踪系統CoinHolmes 很快鎖定了駭客的相關地址,並展開了定向追踪和剖析,最終繪製了一個可視化路徑轉移全景圖:
如圖所示,此次駭客轉移鏈上資金的手法非常專業、複雜,以致於用可視化工具做出來之後已經沒了明晰的分層和脈絡。
通過跟進分析巨鯨賬戶被盜的BTC 資產,PeckShield 安全人員發現駭客在盜取1,547 個BTC 後,迅速把資金切割分散,進行小額拆分,並進一步試圖通過更複雜的混淆系統,讓資產追踪變得極其困難。
自02月22日事件發生以來,短短幾天時間,駭客就用了上百個地址來轉移資金,最深的層級達到了20層,在資金拆分轉移的過程中,已有11.19個BTC通過多次交易流入到了Bittrex交易所地址。
截至目前,大部分被盜資金還駐留在駭客地址中,PeckShield也正鎖定監控目標資金轉移進一步的動向。(詳情參閱 鏈上追蹤|炫富大鯨魚的13.7億 BTC 已流經「上百個地址」,混幣器實現 20 層深度洗錢)
延伸閱讀:高調炫富到發文求助!一比特幣富豪 SIM 卡被駭,「13.7億」的 BTC BCH 遭竊引市場恐慌
延伸閱讀:USDT發行商被挪用的 “150億儲備金” : 交易所Bitfinex第二次向Tether償還 30 億貸款
點評:
有理由相信,此次攻擊的駭客是一支專業和技術高超的團伙,該團伙從選定目標,到鏈上+鏈下長時間的追踪和突破,下了不少功夫。
這似乎給一些早期獲得加密資產且獲利頗豐的大佬們提醒,需警惕SIM卡攻擊,網絡釣魚等常見的盜幣手段,謹慎保護好自己的加密資產。
其他
除上述之外,2月份還有一些安全事件同樣值得警惕:
- 駭客利用IOTA 官方錢包應用Trinity 的漏洞竊取資金,官方之後宣布關閉整個網絡。
- 警惕名為“浣熊(Raccoon)” 的惡意軟件利用網絡釣魚和工具包通過瀏覽器來竊取用戶的數據和加密貨幣。
延伸閱讀:IOTA 主網節點出現程式錯誤,系統延宕 15 小時無法確認交易(已修復完畢)
延伸閱讀:項目內鬥!IOTA 共同創辦人賣光手上所有幣,並指控另一創辦人拒絕移交「2.3 億資產」
因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。
在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
?相關報導?
反加密貨幣的逆襲!推特股東要求撤換CEO,質疑Jack Dorsey無法專注於Twitter
新手必讀|如何保護你的數位資產?個人的安全觀念與習慣養成
澳本聰威脅:「我可以關掉比特幣網路」—— 真的做得到嗎?
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
