安全公司：2018 年區塊鏈全生態典型安全事件盤點_EOS

2018年，是區塊鏈發展最迅猛的一年，全球加密貨幣總市值一度接近8000億美金。但層出不窮的漏洞，使2018年成為黑客最為猖獗的一年。

安全事件的頻發，嚴重阻礙了區塊鏈的健康發展，不僅給用戶帶來了不小的損失，還直接導致了許多項目的「終結」。

2018年到底發生了哪些安全事件？

稿件來源：獵豹區塊鏈安全

概述

2018年，無論是安全事件的數量，還是造成的損失，都呈現指數級上升：

安全事件造成的經濟損失趨勢(萬美元)，來源：bcsec

重大安全事件數量統計，來源：bcsec

據Besec統計，2018年總計超過20億美金被盜，大型事件數量超過130多起，區塊鏈用戶和項目方們紛紛淪為全球30萬黑客的「提款機」。

2018安全事件造成的損失統計，來源：31QU

這其中，交易所的安全事件數量和損失的金額(13.44億美元)都高居榜首；智能合約安全安全事件極少，但造成的經濟損失比例卻極高；DApp、個人錢包、公司服務器也無一幸免。

智能合約安全

目前，區塊鏈整體還處于低迷期，但是智能合約的發展卻非常穩定，根據獵豹區塊鏈安全中心的數據，近一個月以太坊的智能合約平均每天以2000的數量在增長。

智能合約漏洞雖然數量不多，但是所造成的損失是非常巨大的，這與solidity語言的特性有關，也與ERC20協議使代幣發行變得便捷有關。

智能合約漏洞的TOP10攻擊類型為：重入攻擊、權限控制、整型溢出、未檢查的call返回值、交易順序依賴、時間戳依賴、條件競爭、短地址攻擊、可預測的隨機處理等。

所有智能合約事件中，最著名的當屬美鏈事件。18年4月22日下午，才發行兩個月左右的BEC美蜜合約出現重大的溢出漏洞，黑客通過合約的批量轉賬方法無限生成代幣，天量BEC從兩個地址轉出，進而引發拋售潮。當日，BEC的價值幾乎歸零。損失金額超過10億。

由于區塊鏈的「代碼即一切」的原則，導致目前沒有有效的安全防護手段來徹底避免智能合約安全的問題。

對于智能合約的開發，更建議摒棄「敏捷開發」的理念。而采用緩慢而有條理的方法來開發智能合約，在最初設計和編碼時，就盡量謹慎和考慮周全。

Solana官方：工程團隊正在安全公司的協助下調查本次事件:8月3日消息，Solana Status官方在社交媒體上發文表示，來自多個生態系統的工程師正在幾家安全公司的幫助下調查本次大規模錢包被盜事件，目前沒有證據表明硬件錢包會受到影響，調查獲得進展將盡快公布后續信息。[2022/8/3 2:55:21]

開發管理者也不要對開發人員太大的壓力，通常來說，趕出來的東西都多多少少會有問題。

另外，在上鏈之前，找到專業的區塊鏈安全公司對智能合約進行安全審計是最最基礎和必要的。

以下是2018年智能合約大事件，以及相關事件的一些細節：

2018年8月22日，GOD.GAME合約遭到黑客攻擊，GOD智能合約上的以太坊總量歸零

2018年4月25日，SmartMesh出現重大安全漏洞，導致1.4億美元損失

18年4月22日下午，才發行兩個月左右的BEC美蜜合約因為存在溢出漏洞，被黑客從兩個地址不斷轉出代幣，使BEC價格幾乎歸零，損失金額總計超過10億美元。

交易所安全

據網絡安全公司CiferTrace10月發布的一份報告顯示，2018年前9個月，通過黑客入侵交易所竊取的加密貨幣就已達9.27億美金，已經是整個2017年的2.5倍。

韓國科技部的調查報告稱：「大部分交易所都存在安全漏洞。」

那么，為什么加密貨幣交易所安全問題層出不窮？

一方面，數字貨幣的匿名性，不可篡改性以及無監管特性，導致了資產轉移便捷，溯源找回難度大。另一方面，數字貨幣交易行業出現時間短，發展又非常快，利潤高，導致本來技術積累就不足的情況下，仍然忽視信息安全方面的建設，隱藏的安全漏洞多，攻擊起來相對容易。甚至還有一些加密數字交易所甚至完全沒有安全系統。

數字貨幣交易所面臨的安全威脅主要包括：服務器軟件漏洞、配置不當、DDoS攻擊、服務端Web程序漏洞、辦公電腦安全問題、內部人員攻擊等。

對于規模較大，用戶較多的交易所，還會面臨用戶被攻擊者利用仿冒的釣魚網站騙取認證信息的問題。

而針對這些安全威脅，建議交易所在面向用戶之前，先進行滲透測試，代碼審計等安全服務，挖掘并修復系統存在的安全漏洞。

Blockdaemon收購數字資產安全公司Sepior:金色財經報道，加密基礎設施提供商Blockdaemon日前收購了丹麥初創公司Sepior，后者是一家為機構客戶提供密鑰管理服務的數字資產安全公司，收購價格未公開。這是該公司兩年來的第四次收購，最近一次是在今年3月，Blockdaemon收購了NFT聚合器Gem。（techcrunch）[2022/7/20 2:26:38]

另外，建議交易所對所有正式入職的員工進行必要的基礎的安全培訓。

最后，針對數字虛擬幣交易的網民，建議大家主動學習安全知識，并在電腦端、手機端使用安全軟件，千萬不要自信「裸奔」，以避免掉進網絡釣魚陷阱以及錢包被盜事件的發生。

以下是2018年加密貨幣交易所被盜事件，以及相關事件的具體細節。

1月，日本最大的數字加密貨幣交易所Coincheck被盜走價值5.34億美元的XEM。Coincheck是日本第二大交易所，在之后的官方發布會上，Coincheck表示，XEM被盜是因為存儲XEM的熱錢包的私鑰被黑客所竊取，但是沒有其他幣種被盜。受此事件影響，XEM當天下跌9.8%。

2月11日，意大利加密貨幣交易所BitGrail被攻擊，價值1.7億美元的加密貨幣NANO被盜。

3月7日，Binance遭到黑客入侵，黑客通過控制幣安部分賬戶，賣出這些賬戶持倉的比特幣，買入VIA幣，導致VIA逆市大漲。幣安將異常交易進行了回滾處理，但此事件依然引起市場恐懼，隨后幾天比特幣跌幅超過15%。

4月1日，Bit-Z遭遇黑客攻擊，未造成資金損失。為此Bit-Z專門設立了10000個ETH安全基金，用于獎勵安全漏洞提交者。這筆獎勵在當時價值400萬美金。

4月13日，印度三大比特幣交易所之一Coinsecure在官網發布公告稱，該交易所438個BTC失竊，價值約330萬美元。該交易所首席安全官AmitabhSaxena被列為嫌疑人。這是印度最大的加密貨幣被盜事件。

6月5日，Bitfinex遭到「拒絕服務」攻擊，Bitfinex隨即暫停了交易所的所有交易。

6月10日，韓國數字加密貨幣交易所Coinrail遭到黑客攻擊，損失超過5000萬美元。Coinrail加密貨幣總量的70%被保存在冷錢包，被盜總量的三分之二已被追回。

安全公司Uppsala將為三星區塊鏈錢包提供支持服務:近期，安全公司Uppsala官方宣布與三星電子簽署了\"商業服務合作\"合同，從2020年7月1日起為三星區塊鏈錢包提供客戶支持服務。截至2020年6月，Uppsala安全公司的威脅情報數據庫（TRDB）中目前累計加密貨幣安全指標超過5000萬，并通過其「數字資產追蹤服務」收到/處理了100多起來自終端用戶和企業的加密詐騙或黑客案例。當三星區塊鏈錢包用戶在使用錢包服務時，因詐騙或黑客攻擊導致加密貨幣丟失的事件時，Uppsala全球加密事件響應中心（CIRC）將在客戶服務層面進行免費調查和分析事件。(medium)[2020/7/1]

6月20日，韓國加密貨幣交易所Bithumb被黑客攻擊，價值3000萬美元的加密貨幣被盜，這是Bithumb第三次被黑客攻擊。

此前，該交易所還遭受了兩次「黑客攻擊」。

第一次：2017年4月，Bithumb某員工電腦被黑，導致超過3萬名用戶的資料被竊，Bithumb也因此被韓國監管機構罰款5.5萬美元。

第二次：2017年12月22日，韓國MBC電視臺雇傭了一家安保公司，對包括Bithumb在內的5家韓國交易所進行安全測試。該安保公司成功「黑入」包括Bithumb在內的5家交易所，并獲取了部分用戶數據和資金。受雇「黑客」聲稱僅使用了「基本的黑客技巧」。

但是，安全問題并未引起交易所足夠重視，這才導致了2018年6月份的黑客事件發生。

9月20日，日本數字貨幣交易所Zaif宣布遭受黑客攻擊，損失5967萬美元。其中1959萬美元屬于該交易所自有資金，其余4007萬美元屬于客戶資金。

Dapp安全

智能合約和交易所是安全的重災區，18年話題度頗高的DApp，也沒能逃脫黑客的魔爪，雖然損失金額在所有安全事件中比例較低，但頻繁的安全事件嚴重影響著Dapp生態的落地與應用。

據Dapp.review最新數據顯示，目前運行在以太坊、EOS、波場等公鏈上的DApp總數量超過1900個。

處于DApp生態建設初步發展階段的EOS，DApp相關的安全問題層出不窮。截止12月份，由于DApp漏洞導致的損失已經高達39.5萬個EOS與1.3萬個ETH。按照兩者最高市值計算，損失財富超過2700萬美金。

動態 | 安全公司預警：用戶警惕新型釣魚盜幣方式:慢霧安全團隊捕獲到針對數字貨幣行業供應鏈攻擊的一種新方式，大概過程：攻擊者劫持某知名權威的數字貨幣行情/導航站，里面的主流交易所網址都被替換為精心準備的釣魚網站，而許多用戶喜歡通過這些知名入口來訪問交易所網站，但這時他們上的都是假的。整個攻擊過程，包括雙因素認證登錄、掛單交易、充提都是無感的，盜幣于無形。[2019/8/20]

2018年下半年，DApp安全事件集中爆發，黑客攻擊事件主要發生在EOS主網。攻擊手段也是花樣百出：隨機數攻擊、種子漏洞、假幣攻擊……

EOS作為被寄予厚望的企業級區塊鏈操作系統，基于此的DApp為什么會發生如此多黑客攻擊事件？

今年5月份，EOS創始人BM曾表示，為EOS主網提供有價值的漏洞將獲得1萬美金的報酬。該懸賞令頒布之后，一位名叫「JonBottarini」的網友透漏，有人僅一天就發現了8個漏洞，獲得8萬美金獎勵。這也充分說明EOS主網本身存在大量安全問題。

實際上，針對EOS上DApp的攻擊，正越來越專業化、團隊化。

11月份以來，作為三大EOS競猜類DApp，EOSDice、FFgame和EOS.WIN先后發生了「隨機數漏洞」攻擊。據知情人士爆料，這些攻擊案件系一人或者同一團隊所為。該知情人士表示，已經成功鎖定黑客交易所賬戶。

相較于EOS網絡，以太坊的黑客攻擊事件要稍微少一些。

下面是2018年以來DApp上發生的黑客攻擊事件，以及相關事件具體細節：

7月25日，狼人游戲出現「溢出」漏洞，導致游戲損失60686個EOS。EOS核心仲裁論壇對黑客的行為仲裁后，簽發新的仲裁令，凍結黑客的EOS賬戶：eosfomoplay1。

8月22日，Fomo3D遭受黑客攻擊，損失10469個ETH。安比實驗室首次宣布斷定Fomo3D大獎獲得者采取了一些「特殊攻擊技巧」，攻擊者通過高額手續費吸引礦工優先打包，最終以較低成本針對性地堵塞區塊，加速游戲結束，提高自己獲勝概率。

9月24日，Fomo3D第二輪游戲開始之后，黑客采用相似的攻擊手段，拿到了3264.668個以太坊獎勵。

8月27日，Luckyos旗下的石頭剪刀布游戲被黑客攻破，損失未知。

分析 | 安全公司：25%的智能合約項目存在嚴重bug:據bitcoin.com報道，安全公司Hosho發現，智能合約的bug普遍存在。經過Hosho審計的智能合約項目籌集資金總額高達10億美元，這些項目中有25%被發現存在嚴重bug，約有60％至少存在一個安全問題。[2018/8/30]

9月2日，EOS.win「隨機數」被黑客攻擊，導致損失2000ESO。

9月10日，EOSBet遭到黑客攻擊，共計損失了4000個EOS；4天后，EOSBet再次遭黑客「假通知」攻擊，損失145321個EOS，目前損失已被追回。

9月12日，LuckyGo遭到攻擊者iloveloveeos而被迫下線。當天晚上，iloveloveeos又迅速攻擊了新上線的游戲LuckyGo。這兩次攻擊都屬于「隨機數缺陷攻擊」。

9月12日EOSHappySlot遭黑客重放攻擊，損失5000個EOS。一名賬號為imeosmainnet的黑客利用「重放攻擊」，導致項目方損失了5000個EOS。

9月14日，去中心化交易所Newdex遭到黑客攻擊。黑客利用假幣在交易所換區真幣，共計獲利11803個EOS。

攻擊過程是這樣的：攻擊者創造了一種全新的代幣，發行量也是10億，并將其命名為「EOS」。攻擊者采用特殊的方法，用11800個假EOS在Newdex上兌換出了大量等值真幣。

9月15日，EOS.Win遭受黑客假幣攻擊，共計損失超過4000個EOS。

11月11日，EOS.Win還在11月11日遭受了第二次攻擊。此次攻擊黑客在一分鐘之內，共計向EOS.WIN游戲合約發起10次攻擊，獲利超9180個EOS。

10月16日，WorldConquest遭受黑客「繳稅規則」攻擊，拒絕其他玩家參與，進而盈利4555個EOS；

10月26日，EOSRoyale遭受黑客「隨機數」攻擊，損失10800個EOS。過程是這樣的：黑客通過調用隨機數發生器，計算出先前區塊的信息，進而獲得游戲隨機數，從而破解EosRoyale錢包，并竊取價值60000美金的EOS代幣。

10月28日，EOSPoker遭受黑客「種子漏洞」攻擊，損失1374個EOS。

10月31日，EOSCast遭遇黑客假幣攻擊，導致72912個EOS被黑客轉走。根據游戲規則，黑客分別用100、1000、10000個假EOS代幣進行攻擊，每次攻擊可得到198、9800、19600個不等的EOS。在進行最后一次攻擊時，游戲方察覺到異常攻擊，及時轉走了獎金池僅剩的8000個EOS。

ECAF針對此事件即時響應，并發布了仲裁令，凍結了相關涉事賬戶。

11月4日，EOSDice發公告稱智能合約遭到攻擊，但由于其擁有自動檢測功能，在攻擊之后，合約自動將剩余資金轉移至安全地址。此事件導致EOSDice損失2545個EOS。

11月8日，FFgame遭遇了黑客攻擊，黑客賬戶jk2uslllkjfd向FFgame游戲合約發起多達304次攻擊，共計獲利1331.2922個EOS。

11月10日，黑客向MyEosVegas游戲合約發起超700次攻擊，已獲利超9000個EOS。

11月26日，競技類DApp遭遇了前所未有的新型回滾攻擊。

12月3日，Dice3D遭遇黑客攻擊，損失10569個EOS。黑客已將被盜的EOS轉至火幣。Dice3D官方決定自費拿出部分EOS給予玩家補償。

錢包安全

數字貨幣錢包有熱錢包和冷錢包之分，冷錢包由于私鑰不接觸網絡，相對安全性較高，不過隨著技術的快速迭代，無論熱錢包還是冷錢包，都相繼被黑客攻擊。

2018年，因為錢包安全而損失的金額損失在4000萬美元左右。這其中，大部分是黑客通過各種手段獲取到用戶私鑰，導致資產被盜。還有一部分是錢包設計存在缺陷造成的。

因為區塊鏈的去中心化特點，黑客攻擊目標的就是想方設法搞到用戶私鑰，如果用戶存儲方式不當，就肯可能被釣魚郵件、木馬病等方式攻擊，導致資產被盜。

因此，建議廣大用戶把私鑰要抄在紙上，要抄對，然后放在一個絕對不會忘的地方，千萬不要存儲在網上，保證私鑰不觸網，還要保證私鑰和錢包不要放在一塊；另外，盡量選擇用戶基數大，安全事件較少的錢包；最后，無論在網頁端還是手機端，都必須安裝安全軟件，千萬不能「裸」奔。

錢包設計上的缺陷也會引發攻擊事件，并且一旦爆發，影響力和損失金額將會很廣。

比如國外某錢包在第一次運行的時候，默認為用戶創建一個新錢包并將錢包文件未加密存儲在系統本地，攻擊者可以讀取存儲的錢包文件，通過對錢包應用逆向分析等技術手段，還原該錢包的算法邏輯，并由此直接恢復出用戶的助記詞以及根密鑰等敏感數據。

對于這部分安全問題，只能建議錢包項目在面向用戶之前，找到專業的安全團隊進行安全方面的審計。

下面是2018年以來錢包相關的黑客攻擊事件：

1月8日，RedditTippr用戶被黑客盜走了數千個BCH。

1月17日，XLM錢包被攻擊，超40萬美元XLM被盜。事件起源是黑客劫持了BlackWallet.co的DNS服務器，據估計，此次攻擊事件，導致近70萬個XLM被盜，價值超過40萬美元。

1月22日，黑客入侵IOTA錢包，盜走價值400萬美金的IOTA。據CCN報道，原因出在用戶用來生成IOTA錢包私鑰的網站被黑。

3月4日，鈦合金區塊鏈發布推特宣稱遭受黑客攻擊，公司錢包被盜竊了1870萬BAR代幣。

4月17日，數字貨幣投資者和Youtube博主IanBalina昨晚在直播評論ICO項目時受到黑客攻擊，黑客從他的Etherscan錢包中轉移了超過200萬美元的數字貨幣。

4月25日，MyEtherWallet遭劫，共損失約500個ETH。

6月6日，日本零售商Shopin的MEW錢包遭到黑客攻擊，損失了超1000萬美元的加密貨幣。其中包括以太坊、LevelUp、Orbs與Shopin。

8月15日，陜西省西安市抓獲了三名高級黑客嫌疑人，三人曾共同合作，盜取價值了6億元加密貨幣。

今年3月30日，盜竊事件發生之后，受害人張姓男子報案，稱自己的電腦被非法攻擊，價值數億元的虛擬貨幣被洗劫一空。隨后展開搜捕工作，今年8月15日，三名黑客被逮捕。

9月25日，EOS持倉大戶gm3dcnqgenes賬號被盜，共計損失209萬個EOS。

10月22日，瑞士區塊鏈公司Trade.io稱，其冷錢包中的5000萬TIO被盜，價值750萬美金，其中130萬TIO被轉移到Kucoin和Bancor兩個交易所。Kucoin已經暫停了TIO的交易，而Bancor則永久刪除了TIO。

10月25日，Reddit用戶賬戶遭黑客攻擊，黑客從他的錢包中盜竊了14個比特幣、22個ETH和大約1170萬個COSS代幣，這些加密貨幣總共價值86.4萬美金。

回顧整個2018年的安全事件，有人持悲觀態度，認為區塊鏈是極度高危的行業，應該避而遠之。但也有認為，安全事件的頻發從側面反映了這個行業被前所未有的關注，因為黑客只會花時間攻擊有價值的東西。

雖然2018年黑客猖獗，但全球范圍內的區塊鏈安全公司也已經悄悄崛起；整個行業也會因為付出慘痛代價，而加強安全方面的投入和建設；用戶安全教育也逐漸被重視起來。未來區塊鏈行業的蓬勃發展還是非常可期的。

本文來源于非小號媒體平臺：

鏈聞看天下

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627104.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

2萬美元就可以對以太坊經典雙花攻擊？沒那么簡單

下一篇：

利用比特幣回款，橫掃全球銀行的黑客組織「Carbanak」

Tags：EOS區塊鏈APP加密貨幣PIXEOS什么叫做區塊鏈技術的概念抹茶交易所app下載安卓v3.5.7加密貨幣和中國數字貨幣

Fil