據PeckShield態勢感知平臺數據顯示,過去一個月,整個區塊鏈生態共發生23起較為突出的安全事件,危害程度評級為「中級」,受損金額數億元,涉及DeFi2起、交易所6起、公鏈1起、勒索相關3起,詐騙跑路8起等。DeFi安全
5月份共發生2起DeFi安全事件,具體如下:1)05月07日,路印協議出現一個嚴重的前端錯誤,密鑰素材被設置在一個32位整數的范圍,可以窮舉找出所有用戶秘鑰對。該漏洞由于用戶的EdDSA密鑰對實際被限制在了一個32位整數空間,導致黑客可以通過窮舉,找出所有用戶的EdDSA密鑰對。受此影響,LoopringExchange關停半天進行維護升級。2)05月18日,tBTC團隊疑似發現重大合約漏洞,于是緊急暫停充值服務并進行再審核。tBTC是一種無需信任的,由可贖回BTC作為擔保的一種ERC-20代幣,該項目主網于05月15日上線。PeckShield點評:隨著DeFi項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑒于其與用戶資產的緊密聯系,DeFi項目的安全問題非常嚴峻。PeckShield在此建議,DeFi項目方在上線之前,應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。交易所安全
為codeislight.eth提供6000 APE激勵的提案獲ApeCoin社區通過:金色財經報道,ApeCoin社區已通過了為智能合約開發者codeislight.eth提供6000 APE(約合2.5萬美元)激勵的提案,據悉codeislight.eth開發了質押合約gas優化解決方案,每天可為APE質押用戶節省大量的gas費用資金,根據Dune Analytics數據顯示,截至目前已節省179.14 ETH費用(按當前價格計算價值超過30萬美元),預計未來三年將節省超過1500 ETH費用。據悉,本次投票的贊成票比例為65.87%,棄權票比例33.23%,反對票比例近0.9%。[2023/4/9 13:53:13]
5月份共發生6起交易所相關安全事件:1)據Youbi交易所官方消息,Youbi自05月06日開啟平臺幣認購后,連續3天遭遇大流量DDOS攻擊,造成服務器短時間無法訪問。2)05月01日,幣星交易所官方發布公告稱,其網站bitsg及app遭受了不間斷的DOSS持續攻擊,導致某些時段無法正常登陸。3)05月27日,LMEX聯交所在社群發布關于交易所運營調整通知稱:平臺遭黑客入侵被盜損失了15萬枚USDT,致使平臺資不低債,目前已關閉充提。4)近期有媒體爆料稱,富比特交易所鄭州辦公室人去樓空,在遭到投資者質疑之后,富比特官方發出公告稱資不抵債,并且推出了清償方案。5)去年年底Upbit交易所被盜損失3.4萬個ETH,近半年時間,黑客對被盜資產采取多渠道洗錢操作,近日已基本清洗完畢。6)UEX交易所官方發布通知稱:平臺遭遇黑客攻擊,需要5天左右時間修復與核實數據,數據庫修復期間,平臺關閉充提,關閉內部轉賬。PeckShield點評:針對層出不窮的交易所安全事件,交易所應使用更加安全的防范系統,類似DDoS攻擊,交易所可配置多臺備用機器,避免單點故障給系統帶來的風險。除此之外,也不排除存在部分小交易所,以遭攻擊之名行“跑路”之實的惡意行為。公鏈安全
ApeCoin DAO投票通過質押系統相關漏洞賞金計劃及特別委員會成員提名和選舉程序:11月3日消息,ApeCoin在推特上宣布,ApeCoin DAO已投票通過了為APE質押系統智能合約設立漏洞賞金計劃的提案AIP-134。這意味著APE質押系統的上線日期將被推遲至漏洞賞金計劃結束后。該提案作者表示漏洞賞金計劃將持續約3周時間,因此質押系統可能會在11月24日上線,質押獎勵分配將于12月7日開始。
此外,ApeCoin DAO關于“特別委員會成員提名程序”AIP-137和“特別委員會成員選舉程序”AIP-138的提案投票已獲通過,ApeCoin基金會將于明天發布提名公告。[2022/11/3 12:13:17]
5月份共爆出1起較為嚴重的公鏈安全問題:1)石榴礦池技術人員發現Filecoin代碼中的嚴重漏洞,通過該漏洞可以實現Filecoin的無限增發。石榴礦池表示,為了證明漏洞的有效性,6Block旗下的三個礦工賬號t01043、t027999、t0234783通過該漏洞已實現16億Filecoin的增發,占據了Filecoin富豪榜前三名。6Block團隊獨立發現并向Filecoin官方匯報了該漏洞,目前正積極協助官方完成漏洞修復。PeckShield點評:公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,并尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。勒索相關
由Magic Eden為ApeCoin DAO構建NFT市場的提案已開啟投票:9月16日消息,由Magic Eden為ApeCoin DAO構建NFT市場的提案已開啟投票,投票將于9月22日截止,目前支持率為98.3%。
此前8月份消息,NFT市場Magic Eden已向ApeCoin DAO提交了一份提案,以為其建立一個NFT市場,APE持有者可以在其中以0.75%的交易費交易NFT。Magic Eden提議對每筆交易收取1.5%的費用,并對在ApeCoin中進行的所有交易提供0.5%的折扣(APE),對Bored APE Yacht Club、Mutant APE Yacht Club和Bored APE Kennel Club NFT持有者進行的交易額外提供0.25%的折扣。[2022/9/16 7:00:23]
5月份還發生了3起典型的勒索事件,例如:1)援引俄羅斯媒體RBC報道稱,匿名黑客獲取了超過1.29億俄羅斯車主的數據,并將其暴露在“暗網”上,勒索以獲取加密貨幣。2)據報道,GrubmanShireMeiselas&Sacks受到REvil勒索軟件的攻擊,攻擊者威脅要分9次發布高達756GB的被盜數據。被盜數據包括保密合同、電話號碼、電子郵件地址、個人通信、保密協議等。3)網絡安全公司Group-IB發出警告稱,最近幾個月出現了一種新型勒索軟件ProLock,依靠Qakbot銀行木馬發起攻擊。受害者包括地方政府、金融、醫療和零售機構。Group-IB稱,該勒索軟件攻擊要求總計支付35枚比特幣的贖金,目前價值337,750美元。PeckShield點評:勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限于區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及后,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。詐騙跑路事件
PeckShield:SafeDollar被攻擊源于獎勵池鑄幣漏洞:PeckShield“派盾”安全人員定位發現,Polygon鏈上的算法穩定幣項目SafeDollar遭到黑客攻擊,攻擊者頻繁調用deposit()/withdraw() 操作來降低獎勵池余額,從而大大提升每股的獎勵額,也就造成了獎勵池鑄幣漏洞。攻擊者利用鑄幣漏洞增發了831,309,277,244,108,000 (83萬萬億)枚SDO穩定幣。[2021/6/28 0:11:55]
除上述之外,5月份還發生了多起詐騙跑路事件值得警惕,例如:1)浙江省東陽市檢察院對一起數字貨幣詐騙案提起公訴,詐騙金額達3.8億元,被害人3,000多名。該詐騙集團通過微信、QQ等方式拉攏客戶,謊稱投資數字貨幣可以獲取高額回報為誘餌,誘導客戶到公司開發的數字貨幣交易平臺進行投資。2)有騙子冒充波場創始人孫宇晨,以與TRON達成合作伙伴關系為幌子,企圖從毫無戒心的受害者那里竊取錢財。3)安徽省馬鞍山市抓捕一名潛逃至東鄉區的電信詐騙犯饒某。犯罪嫌疑人饒某在2019年至2020年期間,伙同他人多次在境外“SABCT投資平臺”對受害人以誘導投資虛擬貨幣為由實施詐騙七百余萬元。4)孫某等人運營“超級錢包”APP,誘惑用戶存入代為托管,而后關閉平臺侵吞虛擬貨幣。目前孫某等人已被福建省莆田市涵江檢察院依法逮捕。該案系利用虛擬貨幣平臺進行詐騙的新類型犯罪案,為涵江區出現的首例虛擬貨幣詐騙案件。5)有詐騙者正在利用知名人士的影像在Youtube平臺直播,同時放出比特幣地址進行詐騙。目前發現的有SocialCapital的創始人兼CEOChamathPalihapitiya、微軟總裁BradSmith,以及小米創始人雷軍等。6)近日山東省淄博破獲了一起部督辦的網絡平臺投資詐騙案。詐騙團伙以投資虛擬貨幣獲高息為誘餌,讓全國20多個省份的300多人上當,涉案金額高達3,000多萬元。7)在一些詐騙電子郵件中,騙子假冒奧組委成員,并要求人們向一個“屬于國際奧委會”的比特幣(BTC)加密錢包捐款。8)CoinCorner報告稱,GoogleAds為模仿CoinCorner的網絡釣魚克隆網站CoinCornerr.com投放了廣告。PeckShield點評:因用戶認知意識欠缺,不法分子常設計一些投入低、高回報的龐氏騙局,并利用人們的逐利心理,層層設套。那些屢見不鮮,利用高利息回報的資金盤、理財錢包等各類騙局實施的詐騙就是典型。其他安全事件
聲音 | PeckShield吳家志:克服安全事件當務之急是做風控布局:據IMEOS消息,本周,在 EOS Canada 的采訪中,PeckShield 的聯合創始人兼研發副總裁吳家志認為對區塊鏈開發者而言最大的挑戰在于區塊鏈行業追求去中心化、透明化等一系列特性,故而潛在的安全風險和障礙較大,尤其是黑客攻擊可能會伴隨產品發展始終。由于區塊鏈發展早期導致技術相對薄弱、幣價火熱引起注意和犯罪成本極低等原因,攻擊者強于建設者,是目前每個開發者都會面臨的行業大環境。他說:“若要克服,當務之急要做的就是做風控布局,從DApp開發之始就加強安全防護,在投入上把安全放在第一位,在此基礎上再強化運營和推廣。很顯然,目前整個DApp業態過于重視運營推廣卻忽略了最基礎的安全防御工作,這才導致了一連串的安全事件,不僅給涉及到的DApp開發者帶來了當頭一擊,也猛挫了市場的信心。”[2019/3/7]
1)騰訊安全威脅情報中心檢測到H2Miner木馬利用SaltStack遠程命令執行漏洞入侵企業主機進行挖礦。2)安全公司紅RedCanary最近發現,黑客組織BlueMockingBird瞄準了數千臺企業電腦,非法開采加密貨幣。據悉,黑客特別針對運行ASP的面向公眾的服務器,在獲得訪問服務器的權限后,黑客下載并安裝門羅幣挖掘應用程序XMRRig。3)英國、德國和瑞士等歐洲各地的多臺超級計算機本周已被加密貨幣挖掘惡意軟件感染,并已關閉以調查入侵事件。據報道,攻擊者似乎通過破壞SSH憑證獲得了訪問超級計算機集群的權限,一旦攻擊者獲得訪問權限,就會利用CVE-2019-15666漏洞繼而部署挖掘門羅幣的應用程序。PeckShield點評:因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
近期,ResNetLab受邀向NamedDateNetworking展示了“IPFS體系結構的高級概述”!ResNetLab的起源來自IPFS和libp2p項目發展的現實需求.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:Kyle,星球日報經授權發布。6月2日,以太坊創始人VitalikBuerin在推特上發布了一系列推文,分享了從2008年2020年這12年對加密貨幣意味著什么.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:WILLIAMSUBERG,Odaily星球日報經授權轉載。一位分析師發現,比特幣(BTC)的價格有望在“幾周內”突破7.5萬美元.
1900/1/1 0:00:00摘要:本文在回顧穩定幣的發展歷程之上,分析近期穩定幣的發展狀況,最后給出穩定幣的前景展望。廣義上,穩定幣是一類錨定法幣或實物的資產或貨幣,如錨定美元或錨定黃金等.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 如果說哪一個穩定幣是比特幣的“最愛”,可能非Tether莫屬.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:JasonBrett,譯者:Wendy,星球日報經授權發布。美國眾議院金融服務委員會將舉行聽證會,討論如何使用數字工具來改善刺激性支出的交付.
1900/1/1 0:00:00