據PeckShield態勢感知平臺數據顯示,過去一個月,整個區塊鏈生態共發生10起較為突出的安全事件,危害程度評級為「中級」,受損金額數千萬元,涉及數字錢包3起、DApp2起、智能合約1起以及資金盤跑路、釣魚詐騙等等。
數字錢包
10月份共發生3起錢包安全事件,其中包含2起錢包私鑰被盜。
1)上海某投資機構冷錢包私鑰被盜,造成的損失達數千萬元;
2)去中心化托管平臺Payfair官方發布聲明稱,由于黑客攻擊,平臺冷錢包的私鑰被破解;
3)網頁版加密貨幣錢包Safuwallet遭到黑客攻擊,黑客通過注入惡意代碼竊取了大量資金。
PeckShield點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網絡連接的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,用戶也要謹防網絡釣魚,惡意代碼注入等攻擊方式。
安全團隊:PolkaDex項目Discord服務器遭入侵:金色財經消息,據CertiK官方推特發布消息稱,PolkaDex項目Discord服務器遭入侵,有黑客發布釣魚鏈接。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/7/2 22:13:13]
DApp?生態
10月份共發生2起DApp安全事件,都發生在EOS生態內。
EOS游戲BitDice遭受假EOS攻擊,損失4千EOS;SKReos游戲遭受交易memo攻擊,損失6千EOS。其中SKReos之前已被多次報道遭受交易阻塞和隨機數攻擊。
具體來說,假EOS攻擊是被攻擊合約在接收到玩家投入的EOS時,沒有驗證是官方eosio.token合約簽發的,玩家可以自己創建同名為EOS的代幣,進而觸發被攻擊合約的transfer函數,獲得真正的EOS回報。而交易memo攻擊是指黑客通過精心構造投注交易的memo,導致游戲方服務器解析異常,從而持續中獎或異常大額退款。
Starknet宣布將在今年晚些時候通過安全審計后,成為第一個本地集成存儲證明的網絡:金色財經報道,Chainanalysis估計,?跨鏈橋攻擊占2022年所有被盜加密貨幣的69%,有超過20億美元是從有問題的跨鏈橋接平臺竊取的。
隨著區塊鏈開發人員越來越多地認識到易受攻擊的跨鏈橋問題,以太坊Layer 2網絡Starknet等一些開發人員正在轉向“存儲證明”尋求幫助。據Starknet稱,在今年晚些時候通過安全審計后,他們將成為第一個本地集成存儲證明的網絡。目前,Starkware的Goerli測試網有一個名為Herodotus的團隊在其上構建的存儲證明。
據悉,存儲證明是一種密碼學方法,允許用戶“證明”區塊鏈上的某些數據、交易或資產是真實或有效的,而無需依賴第三方。[2023/6/22 21:53:43]
PeckShield點評:以上兩款EOS游戲遭受的攻擊都是比較常見的,DApp開發者應在合約上線前做好安全測試,防御已知的攻擊方式,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。
慢霧:過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息,據慢霧發推稱,過去一周Web3生態系統因安全事件損失約2400萬美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital,總計23,795,800美元。[2023/6/19 21:46:18]
智能合約
10月份共發生1起智能合約安全事件,相關漏洞導致其成為第一個進行硬分叉的區塊鏈游戲。
10月14日,CheezeWizards在以太坊主網上線。不到24小時內,玩家@samczsun向官方反映,游戲合約存在一個嚴重的漏洞,使用該漏洞可以讓玩家處于不敗之地。隨后CheezeWizards決定采用分叉的解決方案來保護用戶的權益。官方之后修復了此漏洞并部署了新的智能合約,同時彌補了用戶遭受的損失。
美參議員:德克薩斯州為比特幣礦工提供放松管制的安全港:10月13日消息,美國馬薩諸塞州參議員Elizabeth Warren和其他六名美國立法者在致德克薩斯州電力可靠性委員會(ERCOT)首席執行官Pablo Vegas的一封信中,要求德克薩斯州提供有關比特幣挖礦業務的能源使用和潛在環境影響的信息。參議員們稱德克薩斯州是加密挖礦公司“放松管制的安全港”,并補充說該州的“廉價電力和自由放任的監管”正在引發關于挖礦增加國家電網壓力的擔憂。(Decrypt)[2022/10/13 14:26:27]
如下圖,這一漏洞主要發生在智能合約的resolveTimedOutDuel(uint256,uint256)方法中。
作為一款格斗游戲,CheezeWizards允許玩家發起一個“單邊揭示“的交易,當一位玩家已經揭示了招式,另一位玩家一直不揭示招式直到時間截止(90分鐘)時,正常玩家可以調用resolveTimedOutDuel()方法,以此來奪走不揭示招式玩家的能量。而問題的關鍵在于誰先調用并如何調用該方法。
玩家正常調用和惡意調用的例子如下。
正常調用:resolveTimedOutDuel(WIZARD-A,WIZARD-B)
惡意調用:resolveTimedOutDuel(WIZARD-A,WIZARD-A)
由于合約開發者默認為傳入的兩個wizardid不同,所以沒有進行相關效驗,而該方法是公開的,任何玩家都可以設置wizardid,一個懷有惡意的玩家,通過傳入相同的wizardid以此來凍結誠實玩家的能量。
修復此漏洞的方法很簡單,只需要在方法體內加上如下判斷。
PeckShield點評:智能合約開發者在實現相關方法時,要特別注意公開接口的相關參數,應考慮各種異常情況,做好防御限制。
跑路事件
10月份,經媒體報道多起資金盤項目涉及傳銷和詐騙,例如被立案調查的趣步,暫停維護的ICC等。
PeckShield旗下的CoinHolmes推出的可視化的數字資產追蹤服務也一直監控著跑路和被盜資產的異動情況。
其中CoinHolmes監測到Cryptopia部分被盜資產流入了Uniswap去中心化交易所和知名DeFi項目Compound。資產流向示意圖如下:
鑒于資金盤跑路詐騙事件頻發,CoinHolmes為廣大用戶提供了爆料入口,用戶可以通過提交關聯鏈上地址,實時查詢數字資產流向情況。
PeckShield點評:除了傳統中心化交易所,黑客也在不斷尋求新的洗錢方式,例如此次黑客轉移資金至Compound,主要目的是利用DeFi借貸平臺進行混淆資金洗錢,同時不排除“理財生息”的可能。除DEX之外,當前有著較好流通性的DeFi借貸平臺也成了黑客洗錢的新選擇。
釣魚攻擊等其他類安全事件
除上述之外,10月份還有一些安全事件同樣值得警惕:
1)Telegram搬磚套利騙局八天內詐騙金額高達750枚ETH;
2)MEET.ONE提醒EOS用戶警惕DApp詐騙釣魚。
PeckShield點評:因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮,釣魚攻擊、搬磚套利等各類事件就是典型。在此提醒,參與數字資產投資的用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
Tags:EOSWIZWIZARDSHIELDEOS TrustDeFi WizardWIZARD Vault (NFTX)TenzShield
相信每一個關注區塊鏈行業的人,昨晚都被那條眾所周知的重磅利好刷屏了。一時間,業內到處回蕩著激昂與興奮的情緒,“正規機構即將進場”已經是行業共識.
1900/1/1 0:00:00報告作者: 幣安研究院江金澤 分布式資本蔣新 顧問: 分布式資本沈波、孫銘、余文波、姚鏡儀 如需合作,請聯系作者 摘要: 1.在宏觀環境進入長期低利率、經濟低增長、高不確定性的三期疊加背景下.
1900/1/1 0:00:00當大餅跌破7500美元時,扎克伯格正在被一眾議員圍攻。美國時間10月23日10時,美國眾議院金融服務委員會舉行有關?Libra的聽證會,Facebook首席執行官馬克·扎克伯格作為唯一證人出席.
1900/1/1 0:00:00作者:騰訊新聞《一線》?何西 來源:騰訊新聞 中國國際經濟交流中心副理事長黃奇帆“中國人民銀行對于DC/EP的研究已經有五六年,我認為已趨于成熟.
1900/1/1 0:00:00作者:小蔥姐 來源:小蔥區塊鏈 10月24日,Bakkt宣布將于今年12月9日推出全球首個基于比特幣期貨受監管的期權合約.
1900/1/1 0:00:00文|互鏈脈搏·金走車 10月25日晚消息,中共中央局10月24日下午就區塊鏈技術發展現狀和趨勢進行第十八次集體學習.
1900/1/1 0:00:00