事件
黑客勒索及其他攻擊
傳統的勒索軟件攻擊以及通過系統漏洞遠程控制受害者系統的攻擊,是7月至今發生的黑客勒索攻擊事件中的主要攻擊方式。
此類攻擊行為,攻擊者不需要了解熟悉區塊鏈的知識和技術細節就可以完成攻擊,尤其是twitter攻擊(利用了社會工程的方法),其攻擊者是三名青少年,其中最大年齡僅有22歲,這起事件在7月以來的安全事件中較典型的一例,產生的影響范圍極廣。
①
7月2日,MongoDB遭受到攻擊,約22900個數據庫被清空,攻擊者要求以BTC作為贖金贖回被清空數據庫的備份。
②
首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日,區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈安全提升和產業平穩健康發展。
據了解,在“天眼方案”下,歐科云鏈集團將打造鏈上數據追蹤系統,通過溯源數字資產、監控非法交易等手段,全力遏制洗錢等非法行為;協助執法機關辦案,并為打造法務等區塊鏈系統提供技術支持;為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]
7月11日, Cashaa交易所發生交易異常,攻擊者通過控制受害者電腦,操作受害者在Blockchain.info上的比特幣錢包,向攻擊者賬戶轉移約合9800美元的BTC。
首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道,2020年2月28日,百度(股票代碼BAIDU)公布財報,其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述,依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上,百度與上海浦東發展銀行達成合作,共建區塊鏈聯盟,在百度區塊鏈服務(BaaS)平臺上實現跨行信息驗證。[2020/2/28]
③
7月15日, twitter遭受社會工程攻擊,員工管理賬號被盜,造成多個組織和個人的推特上發布欺詐信息,誘使受害者向攻擊者比特幣賬戶轉賬。
④
7月22日,約克大學信息被盜取,攻擊者要求約合114萬美金的BTC作為贖金。
首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息,2020年2月17日,嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。
嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作,雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]
⑤
7月23日,英國足球聯盟信息被盜取,攻擊者要求BTC作為贖金。
公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]
⑥
7月25日,西班牙鐵路基礎建設管理局約800gb信息被盜,攻擊者要求BTC作為贖金。
⑦
7月30日,佳能遭受到黑客攻擊,約10tb照片和其他類型數據被盜,用戶要求以數字貨幣作為贖金。
⑧
7月31日,數字貨幣交易所2gether遭受到黑客攻擊,約139萬美金的BTC被盜。
代碼漏洞攻擊
對于代碼漏洞攻擊相關事件,攻擊者則必須要理解區塊鏈51%攻擊并且能夠找到可以利用的條件(租用龐大的算力)來完成攻擊,并且需要對智能合約的技術有深刻的了解,找到其中的邏輯漏洞并加以利用。
⑨
8月4日,DeFi項目Opyn被攻擊者通過代碼漏洞,獲得數目等于存入數目兩倍的代幣,最終造成了約37萬美金的損失。
攻擊類型及危險
攻擊事件類型及危險程序:
勒索及其他攻擊——攻擊的方法和媒介如下:
代碼漏洞攻擊:——攻擊的方法和媒介如下:
因勒索攻擊門檻低,攻擊方式大同小異,因此可供分析程度有限,下文將為大家具體分析第9號代碼漏洞攻擊事件。
代碼漏洞攻擊事件分析
第9號事件
此次事件發生于DeFi項目Opyn中,攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。
攻擊者在向智能合約中發送某一數量的ETH時候,智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致,并沒有動態的檢查攻擊者發送的ETH數量是否在每一次交易之后,仍舊等于完成該次期貨買賣所需要的數量。
也就是說,攻擊者可以用一筆ETH進行抵押,并再贖回兩次交易,最終獲得自身發送數量兩倍的ETH。
CertiK安全研究團隊認為,Opyn沒有對其更新完成后的智能合約再次進行嚴謹的安全審計驗證就直接進行部署運行,從而造成了其智能合約中的程序代碼漏洞沒有被及時發現,是此次事件發生的主要原因。
總結
在此,CertiK安全團隊建議如下:
做好區塊鏈項目運行的硬件以及平臺軟件的安全漏洞篩查,在日常工作中關注培養員工對于黑客攻擊常見手段的認識和防御意識。
做好對區塊鏈運營中可能出現的某方占有超過全區塊鏈一半總算力的“支配”情況,對于特定區塊鏈項目中的防護,可以考慮采用提高交易確認必須次數或者優化共識算法。
做好對區塊鏈項目中鏈代碼和智能合約代碼的驗證審計工作,邀請多個獨立的外部安全審計服務來審計代碼,并在每次更新代碼后進行重新審計。
我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000001%被攻擊的可能性
Uniswap有點火。 這個項目聲名鵲起,還是在2019年的悉尼開發者大會前后,聽去參會的以太坊社區項目描述, 在會上看到了Uniswap,認為未來會是一個新黑馬,這時候記得比較有意思的是幣安和.
1900/1/1 0:00:00據火幣行情顯示,今日BTC行情整體保持震蕩,下午三點快速上漲,最高觸及9358,隨后開始震蕩。日線圖大幅拉升突破整理平臺,并且突破均線MA30以及幾個9250等重要阻力位,多頭顯強;4小時圖上漲.
1900/1/1 0:00:00今年6月,有媒體報道稱一場大范圍的“凍卡潮”正在席卷幣圈,引發行業交易者關注和恐慌。彼時,大量未經證實的謠言在社群內流傳,讓公眾對火幣、OKex、幣安等主流交易所的OTC交易產生擔憂.
1900/1/1 0:00:00BTC/USDT永續合約 各級別性質:日線-盤整,4小時-盤整,1小時-上漲截圖來自OKEX?BTC/USDT永續合約4小時圖:對于行情從兩個角度來說.
1900/1/1 0:00:00最近YFI和AMPL是最火的兩個加密項目。藍狐筆記前幾天介紹過AMPL:一個是想成為更好比特幣的加密貨幣《AMPL:另類的稀缺性》.
1900/1/1 0:00:00比特幣并沒有錯過近期加密市場價格的上漲,但其鏈上轉賬費用也和以太坊網絡費用一樣大大上升,給用戶帶不了不太好的轉賬體驗。比特幣費用再次上升,接近了2020年3月加密市場崩潰后復蘇時期的水平.
1900/1/1 0:00:00