據 PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生 28 起較為突出的安全事件,危害程度評級為「中級」,涉及 DeFi 8 起、錢包安全 2 起、公鏈安全 6 起、交易所相關 1 起、勒索相關 4 起、詐騙跑路 7 起等。
DeFi 安全
8 月份共發生 8 起 DeFi 相關安全事件,具體如下:
1)DeFi 項目 Yam Finance(YAM)發布推文稱,在 Rebase合約時發現一個 bug。
初始重新設置之後的 Rebase 將產生比預期更多的 YAM。
延伸閱讀:完整解析|回天乏術…一開始就「注定失敗」的 YAM 社群投票拯救行動
2)DeFi 項目 YFValue (YFV)發佈公告稱,團隊於昨日在 YFV 質押池中發現一個漏洞,惡意參與者藉此漏洞對質押中的 YFV 計時器單獨重置。
延伸閱讀:DeFi 安全漏洞|技術解析:YFValue(YFV),一行程式碼如何鎖定上億資產?
3)8 月 5 日,DeFi 期權平台 Opyn 的看跌期權(Opyn ETH Put)智能合約遭到駭客攻擊,損失約 37 萬美元。
攻擊者發現 Opyn 智能合約行權(exercise)接口對接收到的 ETH 存在某些處理缺陷,其合約並沒有對交易者的實時交易額進行檢驗,使得攻擊者可以在一筆對自己發起真實的交易之後,再插入一筆偽裝交易騙得賣方所抵押的數位資產,進而實現空手套白狼。
4)YFII 的硬分叉項目 YYFI 已在 8 月 1 日凌晨徹底成為了「退出騙局」,從一開始這個項目似乎就打定了注意為自己的跑路做好了準備。
5)推特上有網友爆料稱 DeFi 流動性挖礦項目 Degen.Money 通過兩次授權獲取用戶資金。
第一次授權給了質押合約,第二次授權給了轉帳權,會導致用戶資金被攻擊者拿走。
6)新興的自動做市商平台 SushiSwap,被曝智能合約中存在多個安全漏洞。
該漏洞可能會被智能合約擁有者利用,允許擁有者進行包括將智能合約帳戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。
同時該項目智能合約還存在嚴重的重入攻擊漏洞,會導致潛在攻擊者的惡意代碼被執行多次。
延伸閱讀:鎖倉達10億美元 SushiSwap “SUSHI” 今上線FTX,兩天暴漲 1000% DeFi 專家不看好?
7)DeFi 流動性挖礦匿名項目 BASED 官方宣布將重新部署質押池,官方發布推特稱,有駭客試圖將「Pool1」永久凍結,但嘗試失敗。而「Pool1」將繼續按計劃進行。
8)兩個小型代幣項目——NUGS 和 NEXE ——在上線 Uniswap 不久後,疑似已進行了「跑路詐騙」。
NUGS 項目將這一舉動歸咎於「智能合約漏洞」,在其官方電報頻道,NUGS 表示其智能合約現已「無法修復」。另一個項目 NEXE 疑似也已跑路,該項目的社交媒體帳號已被刪除。
點評:
隨著 DeFi 項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與用戶資產的緊密聯繫,DeFi 項目的安全問題非常嚴峻。
由於各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平台交互的過程中出現安全問題,進而腹背受敵。
PeckShield 在此建議,DeFi 項目方在上線之前,應當盡可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
數位錢包安全
8 月份共發生 2 起錢包安全事件:
1)GitHub 用戶表示其比特幣巨額款項被駭客盜取。
據悉,該用戶使用的是比特幣錢包 Electrum 軟體,上次訪問是在 2017 年。
此後 Electrum 已經發布了安全更新,但該用戶一直沒有安裝,因此他這回轉移比特幣之前,被提示更新和修補潛在問題。
但當他根據提示操作的時候,該軟體利用一個漏洞連接了駭客的伺服器,1400 枚 BTC(價值 1600 萬美元)隨即從他的錢包中被取出,存入了駭客的錢包中。
2)8 月 30 日消息,加密錢包提供商 Ledger 最近出現了數據庫洩露以及錢包漏洞,使用戶的比特幣面臨風險。
Ledger 首席技術官 Charles Guillemet 對此表示,就數據庫洩露而言,攻擊者通過第三方在我們網站上配置錯誤的 API 密鑰訪問了我們的電子商務和營銷數據庫的一部分,允許未經授權訪問我們客戶的聯繫方式和訂單數據。
Ledger 在同一天修復了這個問題,並禁用了 API 密鑰。
點評:
數字錢包作為管理私鑰的工具,是離加密資產最近的地方。
雖然冷錢包是一種脫離網路連接的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,用戶也要謹防網路釣魚,惡意代碼注入等攻擊方式。
公鏈安全
8 月份共發生 6 起公鏈相關安全事件:
1)8 月 4 日早間,Adamant Capital 創辦人 Tuur Demeester 發推文稱,今日比特幣全節點可能正在遭受連接槽耗盡攻擊。
而根據 Tuur Demeester 所轉發的 Blockstream 副總裁 Warren Togami 發布的消息,其監測的幾個比特幣全節點,所有轉入的連接插槽都滿了。
Warren Togami表示,當公共傳入連接槽耗盡時,來自本地主機的傳入連接將停止。
2)根據北京大學、北京郵電大學、浙江大學和昆士蘭大學的研究人員的一項新研究,以太坊區塊鏈上價值超過 10 億美元的代幣缺少 2017 年發布的一項軟體標準,使這些代幣容易被劫持並從交易所流失。
該軟體漏洞被稱為假冒存款(fake deposit)漏洞,已在 7772 個 ERC-20 代幣發行商處被發現。
該研究表明,通過操縱使用了不足的交易驗證方法的 ERC-20 代幣智能合約中的代碼,駭客幾乎可以無成本騙取大量資金。
假冒的存款攻擊隨後可能會使交易所崩潰,導致 ERC-20 代幣和其他加密貨幣持有人損失其資金。
3)OpenEthereum 中的一個更新使運行在新版本上的節點基本上無用,這個 bug 似乎是在OpenEthereum 的 2.7.2 版本中引入的。
OpenEthereum 決定簡單地廢棄 2.7 版本,因為此版本及其 bug 非常難修復。
最新的 2.5.13 穩定版迭代定於 9 月中旬在 Berlin 硬分叉之前發布。
但是,在此之前,下載新版本的運營商將面臨極具破壞性的降級任務。
基礎架構開發商 BlockNative 的開發商 Liam Aharon 在 Twitter 上強調,降級需要完全重新同步區塊鏈。
對於某些節點配置,這將需要數月的時間。
該漏洞影響了當前 Parity 大約 50% 的節點,根據 Ethernodes 的數據,該節點總計佔整個網路的12%。
OpenEthereum 團隊正在研究一種轉換過程,該過程將幫助節點避免所費不貲的重新同步。
延伸閱讀:邁向Web 3.0進化之路!Parity: 程式碼將從以太坊搬到 DAO 上,新概念「OpenEthereum」
4)Bitfly(Ethermine 礦池母公司)發推文稱,ETC 區塊鏈在區塊高度 10904146 經歷了一次 3693 個區塊的鏈重組,導致所有狀態修建節點停止同步。
這可能是 51% 攻擊造成的,而後官方尋求所有交易所立即停止存取款,並調查所有最近發生的交易。
5)8 月 30 日,Bitfly(Ethermine 礦池母公司)官方發推文稱,今日 ETC 又遭遇了一次大規模 51% 攻擊,導致 7000 多個區塊發生重組,相當於大約 2 天的開採時間。
所有丟失的區塊將從未到期的餘額中移除,其將檢查所有支出以查找丟失的交易。
延伸閱讀:本月第三遭「以太經典 (ETC) 再驚傳 51% 攻擊」,OKEx:考慮下架以避免損失
6)8月25日,Filecoin 太空競賽開啟,CDSI 聯盟節點「t02398」便遭受大量惡意非法攻擊,攻擊者通過已過濾白名單發送大量 message 堵塞節點、消耗 Lotus 節點大量運算使得節點不能正常完成任務,最終導致失去算力。
點評:
公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。
交易所相關
8 月份共發生 1 起交易所相關安全事件:
1)韓國第三大數字貨幣交易所 Coinbit 被韓國警方查封調查,其董事長以及運營方涉嫌交易所內部交易和操縱市場價格。
據悉,Coinbit 排在 Bithumb 和 Upbit 之後,為韓國第三大交易所。
警方稱該公司涉嫌利用非法手段賺取了至少 1000 億韓元的非法利益(約 8500 萬美元),Coinbit 同時涉嫌偽造了其超過 99% 交易量。
點評:
駭客盜取資產後實施洗錢,不管過程多周密複雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的 KYC 和 KYT 業務均提升了要求,交易所應加強 AML 反洗錢和資金合規化方向的審查工作。
勒索相關
8 月份共發生 4 起勒索相關安全事件:
1)過去幾週,一個犯罪團體對全球一些最大的金融服務提供商發起了 DDoS 攻擊,並勒索比特幣贖金。
據悉,該組織使用了像 Armada Collective 和 Fancy Bear 這樣的名字 —— 這兩個名字都是藉鑑了知名駭客組織 —— 給公司發郵件,威脅將進行DDoS攻擊並索要比特幣贖金。
2)勒索軟體犯罪團體 REvil(也被稱為 Sodinokibi ),聲稱已成功襲擊了美國葡萄酒和烈酒巨頭 Brown-Forman Corp,駭客在其暗網官方博客以大約 150 萬美元的價格出售被盜數據。
不過,Brown-Forman Corp 在一份聲明中表示,他們已經成功地阻止了該網路犯罪團體的加密文件。
3)奧地利警方正在調查炸彈威脅勒索激增的情況,此前有多家公司收到了勒索比特幣的電子郵件。
郵件內容顯示,如果不在未來 80 小時內支付價值 2 萬美元的比特幣,他們將引爆炸藥。
奧地利媒體稱,電子郵件中還包含有關如何購買比特幣的說明。
延伸閱讀:倒數56小時引爆!奧地利企業遭大規模「BTC 炸彈黑函」勒索,警方正全力搜索
4)特斯拉通過與美國聯邦調查局(FBI)展開合作,成功破獲一起計劃中的勒索軟體攻擊。
據悉,該起攻擊的目標是特斯拉位於內華達州的一處工廠,攻擊者要求特斯拉支付價值數百萬美元的比特幣。
點評:
勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
其他詐騙跑路等事件
除上述之外,8 月份還發生了多起詐騙跑路事件值得警惕,例如:
1)中國蘭州市公安局安寧分局近日成功打掉了一個利用虛假理財平台實施電信網路詐騙犯罪的犯罪團伙,共抓獲犯罪嫌疑人 41人 、凍結涉案贓款 27 萬餘元、查扣寶馬汽車 2 輛以及用於作案的手機、電腦等工具 100 餘台。
2)8月20日,從中國江蘇省蘇州市公安局獲悉,在「淨網2020」特別行動中,該市破獲一起針對虛擬貨幣的駭客犯罪案件,抓獲多名犯罪嫌疑人。
嫌疑人專門利用駭客手段盜取帳戶密碼、竊取虛擬貨幣,並通過暗網聯繫職業洗錢銷贓團對變現,涉案金額達 3000 餘萬元。
3)以色列網路安全公司 Mitiga 建議運行某些程序的亞馬遜網路服務(Amazon Web Services)的所有客戶檢查自己是否受到了門羅幣挖礦軟體的惡意感染。
在一份報告中,Migita 稱任何運行基於 Community AMIs(Amazon Machine Images)的 EC2實例的用戶都容易受到該加密挖礦軟體的攻擊。
據悉,Migita 是在檢查一家金融機購。
4)騰訊安全威脅情報中心檢測到大量源自境外 IP 及部分中國國內 IP 針對中國國內雲端伺服器租用戶的攻擊。
攻擊者通過 SSH(22 端口)爆破登陸伺服器,然後執行惡意命令下載 Muhstik 殭屍網路木馬。
該殭屍網路會控制受害伺服器執行 SSH 橫向移動、下載門羅幣挖礦木馬和接受遠程指令發起 DDoS 攻擊。
5)西班牙加密貨幣支付應用和信用卡發行商 2gether 承認,上週五(7月31日)駭客盜取 140 萬美元,公司無法立即償還受攻擊影響的用戶,並提出一個折衷方案。
2gether 一直在努力尋找資金,但是與一家投資集團的談判失敗,未能找到資金向所有用戶償還被盜資金。
6)8 月 15 日消息,中國香港警方逮捕了三名男子,他們涉嫌從比特幣 ATM 機中騙取近 23 萬港元(約 3 萬美元),這是香港首例此類案件。在兩家加密貨幣交易所提交報告後,警方在過去兩天採取了行動。
這些交易所懷疑犯罪分子利用了自動取款機的“漏洞”,在沒有得到官方授權的情況下提取現金。
7)近期,廣州白雲警方在深入開展颶風 2020 特別行動過程中,發現並打掉了一個借助“跑分”平台進行數字貨幣交易,從而為電信詐騙“洗錢”的團伙,抓獲涉案嫌疑人 9 人,繳獲作案手機、銀行卡等涉案物品一批。
點評:
因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
📍相關報導📍
150億龐氏騙局OneCoin|法院: 主謀弟弟申請終止訴訟無效,集體訴訟繼續
蘋果公司創辦人|沃茲尼克提告Youtube:放縱比特幣騙局,默許詐騙投放廣告牟利
礦池龐氏騙局 BitClub|創辦人潛逃印尼被逮補,以「投資挖礦名目」吸金 207 億
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
📍相關報導📍
必讀乾貨|企業導入區塊鏈面臨的第一個問題:私鑰管理 (資安)
你的「紙錢包」可能不安全!私鑰盜竊問題叢生,資安新創 CYBAVO 詳列危險清單
資安月報|共 20 起安全事件總結 :DeFi 閃電貸攻擊再現,詐騙跑路案叢生 (6月)
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
