前不久,猎豹区块链中心盘点了9、10月的区块链安全事件,在9月和10月,黑客的攻击主要集中在EOS和交易所。而在11月的安全事件中,这两类攻击暂时消停,但2个月未见的51%攻击却再现江湖;钢铁侠马斯克“被”卷入了Twitter案;另外,我们还发现了潜在的代码共享的漏洞危机......2018年11月13日:Twitter
损失规模:32,700美元
事件经过及安全分析
11月12日,黑客入侵了电影制作公司、国会议员甚至是哥伦比亚交通部等经过认证的“蓝V”推特账号,通过修改名字、头像并上传新内容,假装是特斯拉CEO马斯克本人。黑客在推文中以马斯克的口吻称,自己将离任特斯拉董事长职务,并送出10000枚比特币(近6000多万美元)回报大家。而参与活动的前提,则是需要先转小额比特币(0.1-3个)到制定的地址来确认账户信息。他们甚至找了托给推文评论:“我刚转了2.7个比特币,现在收到了54个!”、“我发了0.50比特币并拿回了5个”、“+25BTC,谢谢你”在推文删除之前,点赞和转发都已上万,钱包地址则已经收到超过32,700美元价值的比特币。在同一天,GoogleGSuit也发出了类似的消息,要求用户在0.1到2之间发送BTC,并承诺能获得10倍的BTC回报,幸运的是,没有人将BTC发送到那个地址。安全小豹的想法:
这种方式并不能成为一种攻击手段,我更愿意把它称之为局,黑客充分利用和放大了人性的贪婪,浮躁和急功近利的丑陋真相在这种简单的诱惑面前展现的一览无遗。上个月是美国的安全月,我认为每个入行区块链的人都应该好好的学习一下基本的网络知识。但更重要的事,是在浮躁的币圈里保持清醒的头脑,不要再诱惑面前失去基本的智商。2018年11月13日:AurumCoin遭受51%攻击
事件背景:
AurumCoin是以黄金为价值支撑的加密货币,每个代币都与纯24K价值的黄金挂钩。AurumCoin声称,每发行一个代币,就会在全球安全保险库中存0.75克的黄金。自2014年以来,它一直在运行自己的区块链,其中AU是可开采的,硬币上限为300,000。损失规模:550,000美元
事件经过及安全分析
11月13日,AurumCoin在新西兰数字货币交易所Cryptopia遭到51%攻击,损失的15752.26AUAurumCoin官方发推表示:“我们并非责怪cryptopia,但是事实是,币确实是在cryptopia的钱包里丢的。”AurumCoin的态度是,坚持认为Cryptopia交易所被黑导致自己遭受51%攻击。然而,笔者认为可能性不大。AurumCoin是一个拥有少量矿工的公链,因此平均哈希率较低,租用矿机并执行51%的攻击是很容易的。安全小豹的看法:
使用POW共识算法的公链,如果参与挖矿的算力不足,遭到51%的攻击的风险非常大的。在整体市场低迷的行情下,甚至有人坦言,曾经租用矿机执行过51%攻击。所以,在此提醒广大用户,在选择和使用这类加密货币时,应该意识到这些风险。各家公链51%攻击的成本2018年10月29日——MapleChange交易所被盗
加密货币总市值为1.11万亿美元:金色财经报道,据CoinGecko数据显示,当前加密货币市值为1.11万亿美元,24小时交易量为616.21亿美元,当前比特币市值占比为40.9%,以太坊市值占比为17.6%。[2023/1/30 11:35:26]
事件背景
MapleChange是加拿大交易量非常小的交易所。损失规模:600万美元
事件经过及安全分析
10月29日,媒体宣称,MapleChange被黑客攻击,致使919个比特币被盗。10月30日以来,MapleChange关闭社交媒体账户和平台,导致用户没有办法提币接着,MapleChange创始人也失去下落,但是后来,社区成员找到了CEO的家庭地址,并把他送入监狱。此后MapleChange交易所官方表示,并没有919个比特币被盗,被盗的比特币只有8个而已。知情人士称,此次攻击是由于开发人员将关键代码行被注释掉引发的安全小豹的看法:
派盾:伪造推特账号@Aptos_Fond发布虚假空投链接,提醒用户请勿上当:11月4日消息,派盾发布提醒称,推特账号@Aptos_Fond是一个伪造的Aptos帐号,其主页上的aptosfond[.]org是钓鱼网站,提醒用户切勿点击虚假空投链接。[2022/11/4 12:17:30]
虽然规模较大的数字货币交易所也有被攻击的风险,但是相对于小规模的交易来说,还是比较安全的。道理也很简单,只有当交易所有足够大的交易量,才能收到足够多的手续费,有了足够多的手续费,才有可能在安全建设和防护上投入更多。希望大家在进行交易所时,尽量选择规模较大的头部交易所交易,不要因为贪图小型交易所的小恩小惠,而造成不必要的损失。2018年10月29日——OysterProtocol
Oyster协议是IOTADLT之上的数据存储解决方案,在以太坊区块链ERC20的token为:Oyster。损失规模:$30万美元
事件经过及安全分析
10月29日下午,有关OysterPearltoken的大量转账和大规模抛售的报道在社交媒体渠道中发酵。原来,在不到8小时的时间里,PRL交易量从156,351美元飙升至1,577,860美元——涨幅超过900%。但是在同一时间,PRL的价格却下跌超过63%——从0.22美元降至0.08美元。Oyster官员发布声明称,Oyster智能合约已经通过了3次不同的审核,没有发现任何漏洞但在第二次声明中,他们却说,“某人”接管了合约的所有权,并成功地铸造了新的300万PRL代币经证实,这个“某人”实际上是Oyster项目的前联合创始人和架构师Oyster首席执行官表示:这简直太糟糕了,项目创始团队从最初招聘,到后来让每个人都参与其中,都从没怀疑他们会破坏自己一手创造的项目。安全小豹的看法:
俗话说的好,“日防夜防,家贼难防”,对代码最熟悉的人莫过于开发人员,反过来就是最容易攻击。小豹认为,区块链项目的创始人在招募早期的核心骨干时,应该在自己最信任的名单开始,而不是通过社会招聘或朋友介绍等渠道。同样,在招募员工时,应该把道德品质考虑进去。2018年10月31日——以太坊的潜在威胁
背景
10月31日,马里兰大学和东北大学的分析师发布报告称,由于ETH的智能合约缺乏多样性,以太坊的整个生态系统将存在很大的风险。安全分析
10月31日,马里兰大学和东北大学的分析师发布对以太坊的代码分析报告,并得到了美国国家科学基金会的支持。研究分析了以ETH的前500万个区块的智能合约的字节码。研究发现,目前,以太坊智能合约是其他公链合约总和的三倍。但是,超过60%的智能合约从未与用户有过互动,只有不到10%的的智能合约是独一无二的。安全小豹的看法:
小豹认为,“开源”是一把双刃剑,它是区块链蓬勃发展的助推剂、降低了行业的准入门槛,但不得不说,它也或多或少的阻碍了创新。小豹建议广大的区块链项目,在组建技术团队时,一定要配置至少一位安全专家,可以避免很多未来的风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。