以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > USDC > Info

區塊鏈安全大事件:2個月6起大型黑客攻擊,損失超過660萬美元_EOS

Author:

Time:1900/1/1 0:00:00

編者按:本文來自白話區塊鏈,作者:獵豹區塊鏈安全,星球日報經授權發布。在區塊鏈行業,安全是最根本的問題。或許你聽過“一行代碼損失幾十億”、“干了一年被黑客一夜搞走”等言論。因為區塊鏈發展還處于早期,加上代碼一旦上鏈就不可篡改等特性,讓它成為了黑客攻擊的重災區。今天,我們對今年9、10兩個月區塊鏈行業發生的安全事件進行盤點,旨在幫助大家認識區塊鏈的安全問題。01利用漏洞贏頭獎

DEOSGames是一個運行在EOS區塊鏈之上的去中心"菠菜“類游戲。9月9日,一位名為“RunningSnail”的DEOSGames用戶進行了一次看起來相當成功的操作:累積下注價值1000美元的EOS,每次存入10個EOS,然后在30秒后贏得頭獎,反復操作了多次。1、損失規模:價值約24000美元的EOS。2、攻擊媒介:智能合約漏洞。3、事件經過及安全分析DEOSGames在剛剛創建不到一小時的時間里,就向EOS帳戶進行了24筆轉賬,而且,這些賬戶都是該合約在不到一天時間之內創建的。根據EOS的交易記錄,每次惡意賬戶存入10個EOS,就能收到價值20倍的合約金額。換句話說,黑客利用了該游戲的某個漏洞,每次都能夠贏得頭獎,此次攻擊的整體收益約為成本的20倍。DEOSGames官方在推文中發表看法,“這是一個很好的壓力測試,我們的項目在合約層面得到了顯著改善。”目前,尚不清楚黑客利用了DEOSGames合約中的哪個漏洞,或者EOS內核中是否存在其他漏洞。4、小結發生該攻擊事件之后,DEOSGames團隊的反應令人費解。他們沒有對社區聲明自己是如何監控黑客攻擊的,因為按照常識,一個簡單的監控腳本就可以檢測到這種異常現象。我們假設DEOSGames游戲有這樣的檢測工具,那么,此次攻擊的深層次原因就值得深究了,不排除團隊坐莊收割“小白投資者”的嫌疑。目前,此類“菠菜”游戲風險太高,建議廣大用戶理性投資,謹慎選擇。02EOS刷假幣事件

報告:相比區塊鏈公司,墨西哥銀行業更多被用于洗錢:金色財經報道,墨西哥金融情報部門最近公布了第二次國家風險評估的結果。該報告強調,銀行業洗錢的風險遠遠超過金融科技公司所面臨的問題。報告稱,包括西班牙對外銀行、桑坦德銀行、花旗銀行、Banorte銀行、匯豐銀行、豐業銀行和Inbursa銀行在內的“G7銀行”集團在墨西哥記錄的洗錢案件明顯多于區塊鏈公司。經紀公司、交易所和銀行機構提供商也被列入該報告的“高風險”類別。[2020/8/27]

Newdex是基于EOS區塊鏈的去中心化交易平臺,8月8日上線,號稱交易速度媲美中心化交易所,且不接觸用戶私鑰,導入錢包即交易,以此保障資產安全。但在上線一個多月后,就遭遇“EOS刷假幣事件”。通過這起事件,外界開始質疑Newdex是否是真正的去中心化交易所。1、損失規模:約58000美元。2、事件經過及安全分析EOS賬戶“oo1122334455”于2018年9月14日14:01:45,發行10億個假的EOS,并全額分配給“dapphub12345”賬戶。隨即由“dapphub12345”轉入“iambillgates”賬戶,“iambillgates”賬戶于14:21:37嘗試性地多次用1個假EOS掛單委托買入IPOS和ADD等代幣,并取得了成功。成功買入其他代幣后,“iambillgates”賬戶立刻將非法獲得的Token轉入“xx1234512345”與“x12345x12345”賬戶,最終由“xx1234512345”在Newdex中掛市價單賣出部分非法獲得的Token,共計賣得4028個真正的EOS。然后,發送到Bitfinex與其他加密貨幣進行交易。此次假EOS刷幣事件一共給Newdex用戶造成了11803個EOS的損失,Newdex團隊為此事件道歉,本著負責任的態度決定承擔此次全部損失,并且在第一時間修復相關問題并恢復正常運營。對Newdex基礎設施的進一步調查顯示,Newdex沒有使用智能合約來驗證用戶發送的Token。3、小結這起事件中,黑客用EOS原生貨幣來交易假的代幣,導致Newdex系統中EOS嚴重貶值。之所以黑客能夠得手,是因為Newdex沒有通過其智能合約驗證Token的真實性。他們在中央服務器上進行交易匹配,在處理交易時系統甚至沒有檢查存入的Token真實性。去中心化交易平臺具最基本的特點,是用戶自己掌握私鑰。既然是用戶自己掌握,也就只有用戶自己能動用錢包里的幣,不會因為交易平臺的漏洞而導致自己丟幣。所以,在這里建議大家在選擇交易平臺前,需要進行詳細的調查。03日本交易平臺被盜

大連市副市長:各部門要推動車輛信息區塊鏈信用平臺盡早上線運行:大連市副市長靳國衛近期參會時表示,車輛信息區塊鏈信用平臺是大連市政府區塊鏈應用的第一個落地場景,取得了積極成效。他指出,要成立聯合工作組,讓更多的政府部門參與到平臺建設中來,各部門要強化協同意識,積極擔當作為,全力以赴推動車輛信息區塊鏈信用平臺盡早上線運行,盡早發揮實效,塑造典型案例。

同時強調,各部門應以此平臺建設為契機,在全市倡導新技術的應用,大膽創新,讓科技成為提升城市治理能力和治理體系現代化的最強生產力。(證券日報)[2020/7/8]

2018年9月19日,總部位于大阪的TechBureauCorp旗下的Zaif交易所發生了比特幣、萌奈幣(MonaCoin)和比特幣現金被盜事件,被盜價值6000萬美元的數字貨幣。1、損失規模:6000萬美元。2、被盜取的數字貨幣:比特幣、萌奈幣(MonaCoin)和比特幣現金。3、事件經過及安全分析2018年9月14日之后,Zaif交易平臺關閉了用戶的存取款服務。根據Zaif的說法,關閉該服務的原因是在9月14日17:00至19:00之間,發現有人非法入侵了其熱錢包。經核實,該黑客的非法行為導致了價值5900美元的BTC、比特幣現金和萌奈幣被盜。Zaif在公告上沒有公布被攻擊的細節,它尋求了日本當局幫助調查此次被盜案。事實證明,在此攻擊行為發生前,日本金融廳分別于3月8日和6月22日,向Zaif發出過關于其內部管理系統和安全措施的預警。被盜事件發生后第一時間,日本金融廳向Zaif母公司TechBureau發出了今年的第三份業務改善令。但是Zaif交易所沒有對FSA的建議做出任何行動。根據扎伊夫對當局的透露,事件的起因居然是交易所一名員工的電腦被黑。11月22日,Zaif交易平臺把虛擬貨幣的相關業務轉移至FISCO集團,FISCO集團將接管Zaif并賠付用戶此次被盜的資金。需要強調的一點是,這起事件是加密貨幣歷史上損失最大的安全事件之一。4、小結根據種種跡象表面,該事件的起因很可能是Zaif員工的計算機被黑客成功利用釣魚網站的方式攻擊了。對于數字貨幣交易所來說,犯這種低級錯誤是非常不應該的。我們認為,該事件對廣大數字貨幣交易所敲響了警鐘,安全意識是數字貨幣交易所的根基,每家交易所都應在新員工入職工作之前,進行必要的網絡安全培訓。5、其他相似的攻擊事件2017年7月,在Bithumb上,黑客也使用了相同的方法,盜取了價值數百萬美元的加密貨幣,并且導致客戶數據被泄露。04黑客良心發現,返還被盜代幣

工信部研究員:建議重點布局區塊鏈等新型應用技術的研發:4月6日,工業和信息化部中國信息通信研究院肖榮美、霍鵬在《長沙大學學報》上發表文章《以工業互聯網為關鍵抓手推動制造業產業鏈現代化》。文章指出,建議系統布局基礎技術、共性技術和融合技術的研發及產業化,重點是依托產業園區、產業聯盟、創新中心、開源社區等市場化創新載體,引導產業鏈各方協同開展基礎軟件、核心芯片、操作系統等基礎共性技術,以及人工智能、大數據、區塊鏈、數字孿生、邊緣計算等基礎性技術和新型應用技術的研發,夯實產業鏈現代化的技術支撐能力。[2020/4/6]

SpankChain是基于以太坊公鏈的成人娛樂區塊鏈項目。團隊于10月9日在博客上表示,10月6日遭受到黑客攻擊,損失了165.38ETH(當時價值約3.8萬美元),另有價值4000美元的BOOTY幣遭到凍結。1、損失規模:超過40000美元。2、攻擊方式:通過智能合約的重入漏洞。3、事件經過及安全分析此次黑客攻擊利用的是SpankChain智能合約中的重入漏洞,該漏洞類似于著名到TheDAO事件中的漏洞。技術團隊發現合約被黑客入侵是在攻擊發生后的24小時,SpankChain團隊第一時間關閉了自己的官網。10月12日,黑客竟然主動聯系了SpankChain的首席執行官,將165.38ETH退還給該團隊,另外黑客還幫助SpankChain恢復了因攻擊而被凍結的大約4000個BOOTY代幣。作為回報,SpankChain團隊給了該黑客一些獎勵。4、小結SpankChain區塊鏈社區對該事件的反應比較激烈,原因很可能是難以接受被黑客利用著名的重入漏洞進行攻擊。重入其實就是遞歸,就是對于一個函數的循環調用和對自身的循環調用。針對重入漏洞,最根本的解決方案還是在轉賬之前就把所有應該變更的狀態提前更新,而不是在轉賬之后再進行更新。其實在上鏈前,項目方只需投入很少的費用,對智能合約進行安全審計,就可以很好的避免這種事情。在區塊鏈里,沒有刪除和修改的概念,一旦合約部署到公鏈,就無法篡改。全球數以萬計的黑客可以慢慢地,一行一行地找上面的漏洞。對于區塊鏈行業來說,安全審計是必不可少的流程。目前,還不清楚黑客為何會歸還被盜資金,這對受害者來說可能是一種安慰,但這種事情不常有。希望這次事件過后,項目方、交易所都能夠警醒,認識到安全審計的重要性。5、其他相似的攻擊事件DAOHack:以太坊區塊鏈歷史上最臭名昭著的事件之一,引起以太坊區塊鏈的硬分叉,分裂成以太坊和以太坊的經典的事件。05遭遇兩次攻擊的EOSBet

華創證券:數字貨幣或將憑借區塊鏈技術重構金融體系:華創證券指出,數字貨幣或將憑借區塊鏈技術,以其可追溯性等特點,重構金融體系,巨大商業機遇孕育待發。隨著相關技術的進步及監管層面的推動,數字貨幣時代有望加速到來,四方精創、海聯金匯、飛天誠信、恒生電子、奧馬電器等在區塊鏈領域有相關布局的公司有望受益。(證券時報)[2020/3/4]

EOSBet是EOS上的游戲平臺,分別在9月14日和10月15日遭受了兩次黑客的攻擊,損失分別為44427.4302個EOS和138319.7995EOS。1、損失規模:200000美元+338000美元。2、攻擊方式:利用智能合約中的漏洞。3、事件經過及安全分析9月14日,EOSBet遭到黑客攻擊,EOSBet團隊官方宣稱:這個攻擊并不簡單,我們正在進行取證,并將所發生的事情拼湊在一起,來尋找蛛絲馬跡。根據TheNextWeb的分析,“黑客的攻擊方式是使用假哈希在外部調用’傳輸’功能”。攻擊發生后,一個與EOSBet官方帳戶名稱非常相似的EOS帳戶,向攻擊者的地址發送了少量EOS,并且附帶一個要求對方退回被盜資金的消息,聲稱如果不退回,他們將雇用一個律師團隊追捕并起訴攻擊者。9月16日,EOSBet重新上線,并且官方發布了關于黑客攻擊的詳細報告,承諾他們的合約已經修補了全部漏洞,目前是非常安全的。一個月后,黑客利用EOSBet合約在檢驗收款方時存在的漏洞,偽造轉賬通知,總計從“eosbetdice11”獲利138319.7995EOS。其中72150個EOS流入了Bitfinex,65100個EOS流入了Poloniex。根據EOS當前的行情價格估算,EOSBet平臺此次損失額超500萬元。該公司報告稱,他們正與這兩家交易所談收回資金的事情。4、小結EOS的智能合約發展相對ETH來說,還處于早期,頻頻發生的安全事件對這個新生兒來說是不可承受之痛。06結語

動態 | 臺灣金融科技創新園區塊鏈成金融科技展亮點:據臺媒報道,為了推動金融科技創新發展,臺灣金管會今日表示,金融科技創新園區將于9月18日開幕,12月7日、8日還將舉辦2018年臺北金融科技展。金管會綜規處長林志吉表示,物聯網金融認證、區塊鏈、資安會是展示亮點。[2018/9/6]

今年9、10兩個月的安全大事件,主要集中在EOS的智能合約漏洞和交易平臺的漏洞,損失的金額非常高。在這些事件中,有很多是完全可以避免的,之所以頻頻發生安全事件,很大程度上是因為安全意識還太過于薄弱。安全事件的頻發,加上行業的暴跌,不斷打擊著區塊鏈參與者的信心,但不妨換個視角,放眼整個行業的發展來看。如果行業的參與者能夠從這些巨額損失的安全事件中獲得警醒,汲取過往的教訓,更加注重安全方面的建設,相信這對于茁壯發展的區塊鏈行業來說,才是真正有益的。

Tags:EOS區塊鏈ZAIFAIFeos幣最新資訊區塊鏈的未來發展前景分析ZAIF TokenAIF價格

USDC
政策周報 | 北京互金協會發布STO風險提示;美國SEC明確名人推廣ICO或存在詐騙行為;馬耳他警告無牌交易所(12.1-12.7)_區塊鏈

本周,區塊鏈和數字貨幣相關政策日趨明朗。國內方面,北京市互聯網金融行業協會發布《關于防范以STO名義實施違法犯罪活動的風險提示》值得關注,提示稱,STO涉嫌非法金融活動,應嚴格遵守國家法律和監管.

1900/1/1 0:00:00
他離開了這個世界,留下一個孕育比特幣的神秘組織_MAY

《加密無政府主義者宣言》作者、密碼朋克發起人之一TimothyC.May去世。TimothyMay的朋友、匿名網絡保護項目Tor早期投資人LuckyGreen在其Facebook推文表示,我親愛.

1900/1/1 0:00:00
2萬美元可雙花以太經典?PeckShield:沒那么簡單

(圖片來源于網絡)最近幾天,知名公鏈項目ETC疑似遭到51%攻擊,國外交易所Coinbase,Coincheck.

1900/1/1 0:00:00
Grin火了,基于相同魔法協議的Beam將何去何從?_GRI

近來哈利波特的魔法MimbleWimble很火,幣圈討論怎么挖礦,鏈圈討論底層協議技術。前幾天Odaily星球日報曾報道過基于MimbleWimble協議的第一個項目Grin,回顧戳《未上線先火.

1900/1/1 0:00:00
明星項目退款,這6個字是幣圈未來的關鍵詞_BAS

這一切只是剛剛開始。——引言在經過了悲慘的11月和12月初之后,今天凌晨的一波殺跌之后,比特幣價格終于在3300美元附近暫時穩住了.

1900/1/1 0:00:00
小白也能看懂的Grin挖礦教程_GRIN

編者按:本文來自GrinUp,星球日報經授權發布。關于Grin區塊鏈和Grin算法的相關內容,GrinUp已經在之前的文章中提到了,歡迎大家關注公眾號回復和來獲取相關文章,本文將直接進入利用顯卡.

1900/1/1 0:00:00
ads