CER:CertiK：7月加密領域相關黑客攻擊事件總結

事件

黑客勒索及其他攻擊傳統的勒索軟件攻擊以及通過系統漏洞遠程控制受害者系統的攻擊，是7月至今發生的黑客勒索攻擊事件中的主要攻擊方式。此類攻擊行為，攻擊者不需要了解熟悉區塊鏈的知識和技術細節就可以完成攻擊，尤其是twitter攻擊，其攻擊者是三名青少年，其中最大年齡僅有22歲，這起事件在7月以來的安全事件中較典型的一例，產生的影響范圍極廣。①7月2日，MongoDB遭受到攻擊，約22900個數據庫被清空，攻擊者要求以BTC作為贖金贖回被清空數據庫的備份。②7月11日，Cashaa交易所發生交易異常，攻擊者通過控制受害者電腦，操作受害者在Blockchain.info上的比特幣錢包，向攻擊者賬戶轉移約合9800美元的BTC。③7月15日，twitter遭受社會工程攻擊，員工管理賬號被盜，造成多個組織和個人的推特上發布欺詐信息，誘使受害者向攻擊者比特幣賬戶轉賬。④7月22日，約克大學信息被盜取，攻擊者要求約合114萬美金的BTC作為贖金。⑤7月23日，英國足球聯盟信息被盜取，攻擊者要求BTC作為贖金。⑥7月25日，西班牙鐵路基礎建設管理局約800gb信息被盜，攻擊者要求BTC作為贖金。⑦7月30日，佳能遭受到黑客攻擊，約10tb照片和其他類型數據被盜，用戶要求以數字貨幣作為贖金。⑧7月31日，數字貨幣交易所2gether遭受到黑客攻擊，約139萬美金的BTC被盜。代碼漏洞攻擊對于代碼漏洞攻擊相關事件，攻擊者則必須要理解區塊鏈51%攻擊并且能夠找到可以利用的條件來完成攻擊，并且需要對智能合約的技術有深刻的了解，找到其中的邏輯漏洞并加以利用。⑨8月4日，DeFi項目Opyn被攻擊者通過代碼漏洞，獲得數目等于存入數目兩倍的代幣，最終造成了約37萬美金的損失。攻擊類型及危險

Balancer：約1190萬美元資金受Euler攻擊事件影響，其他流動性池安全:金色財經報道，去中心化交易協議 Balancer 發推表示，在 Euler Finance 攻擊事件中，約 1190 萬美元從 bbeUSD 流動性池中被發送給 Eule，占了整個該流動性池 TVL 的 65%，bbeUSD 代幣也被存入了其他 4 個流動性池：wstETH/bbeUSD、rETH/bbeUSD、TEMPLE/bbeUSD、DOLA/bbeUSD，所有其他的 Balancer 流動性池都是安全的。

由于采取了保護剩余資金的措施，UI 目前不支持現有 LP 退出這些 bbeUSD 池中的頭寸，但不存在資金進一步損失的風險，bbeUSD 池用戶可以使用 UI 按比例提取代幣和 bbeUSD，但在 Euler 恢復 eTokens（例如 eDAI/DAI）的可轉讓性之前，無法從 bbeUSD 撤回資金。[2023/3/14 13:02:28]

攻擊事件類型及危險程序：

DeFi衍生品項目Tracer DAO將過渡至Mycelium，并將在Arbitrum上推出永續掉期產品:8月11日消息，去中心化衍生品項目Tracer DAO表示，從Tracer DAO過渡到Mycelium的關鍵提案已由DAO達成一致，本月將在Arbitrum上推出首個產品，即永續掉期產品Mycelium Perpetual Swaps。另外，所有現有的TCR持有者都有權以1:1的比例將其代幣更改為新的MYC代幣。

Tracer DAO表示，Mycelium Perpetual Swaps將與原油的Perpetual Pools（永續資金池）共存。自2019年以來，Mycelium一直通過Mycelium Node提供數據，并在區塊鏈上構建衍生品基礎設施。2021年2月10日，Tracer DAO接受了Mycelium要成為DAO的核心服務提供者和貢獻者的提議。[2022/8/11 12:19:04]

Polygon 和 Cere Network 推出 Web3 媒體平臺 DaVinci:金色財經報道，Polygon 和去中心化數據云平臺Cere Network 宣布推出一個 Web3 媒體平臺 DaVinci，該平臺的使命是更安全地存儲 NFT 支持的資產，并確保可驗證和真正去中心化的數據。

DaVinci 是一個直接的內容貨幣化平臺，用于 NFT 支持的體驗，旨在促進去中心化數據傳輸和 NFT 價值轉移。該平臺由 Cere 的 DDC 提供支持，可通過智能合約向 NFT 持有者提供個性化內容流。它利用部署在 Polygon 上的 NFT 挖礦平臺 Cere Freeport 來鑄造和銷售功能性 NFT，以提供對獨家內容的訪問。[2022/2/15 9:51:48]

勒索及其他攻擊——攻擊的方法和媒介如下：

CertiK宣布主網已正式上線:北京時間10月24日晚間10:24分，CertiK主網已正式上線。

據此前報道，9月中旬，CertiK基金會正式開源CertiKChain。目前已開放使用的產品包括CertiKChain、去中心化CertiK安全預言機、用于編寫安全智能合約的安全編程語言和編譯器工具鏈DeepSEA工具鏈。[2020/10/25]

代碼漏洞攻擊：——攻擊的方法和媒介如下：

因勒索攻擊門檻低，攻擊方式大同小異，因此可供分析程度有限，下文將為大家具體分析第9號代碼漏洞攻擊事件。代碼漏洞攻擊事件分析

⑨第9號事件此次事件發生于DeFi項目Opyn中，攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。攻擊者在向智能合約中發送某一數量的ETH時候，智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致，并沒有動態的檢查攻擊者發送的ETH數量是否在每一次交易之后，仍舊等于完成該次期貨買賣所需要的數量。也就是說，攻擊者可以用一筆ETH進行抵押，并再贖回兩次交易，最終獲得自身發送數量兩倍的ETH。CertiK安全研究團隊認為，Opyn沒有對其更新完成后的智能合約再次進行嚴謹的安全審計驗證就直接進行部署運行，從而造成了其智能合約中的程序代碼漏洞沒有被及時發現，是此次事件發生的主要原因。總結

在此，CertiK安全團隊建議如下：做好區塊鏈項目運行的硬件以及平臺軟件的安全漏洞篩查，在日常工作中關注培養員工對于黑客攻擊常見手段的認識和防御意識。做好對區塊鏈運營中可能出現的某方占有超過全區塊鏈一半總算力的“支配”情況，對于特定區塊鏈項目中的防護，可以考慮采用提高交易確認必須次數或者優化共識算法。做好對區塊鏈項目中鏈代碼和智能合約代碼的驗證審計工作，邀請多個獨立的外部安全審計服務來審計代碼，并在每次更新代碼后進行重新審計。

Tags：CEREUSDUSDBEUCere NetworkBEP2 TrueUSDIUSDBeHaveBeU

聚幣