2019年區塊鏈行業發展迅猛,中心化交易所/去中心化交易所、DApp、Staking、CeFi/DeFi、Web3.0等概念逐漸變得耳熟能詳,大量資金的涌入,不斷吸引地下黑客的視線往區塊鏈行業轉移。據慢霧區塊鏈被黑檔案庫(hacked.slowmist.io)數據統計,2019年全年區塊鏈行業發生安全事件超130起,累計損失資金超50億美金,交易所、錢包、DApp成黑客攻擊重災區。慢霧科技將通過這篇文章梳理2019年區塊鏈安全與隱私生態發生的影響重大的事件,為讀者回顧事件詳情,同時對每個事件附上慢霧觀點。雖然本文列舉的僅是冰山一角,但具有很大的代表性。No.1ETC遭受51%攻擊
發生日期:2019-01-05事件描述:1月5日下午,ETC高度為7245623的區塊發生異動,1月7日慢霧安全團隊披露稱,ETC疑似發生了51%攻擊,有不少區塊發生回滾,在短短兩天之間,ETC網絡共遭受了至少11次疑似雙花攻擊,損失約值46萬美元的ETC,1月8日,Gate.io研究院發布公告稱,已確認ETC網絡遭受51%攻擊并定位到攻擊者的ETC地址。
慢霧觀點沒經過真實攻擊洗禮且保持進化的公鏈都不是安全的公鏈。當雙花攻擊變得常見時,公鏈需要將防控雙花攻擊作為風控機制的一部分。作為加密貨幣生態的參與者,防范雙花攻擊可能并不僅僅是公鏈的責任,交易所、錢包、投資人都有必要提高警惕。No.2Cryptopia遭攻擊后破產
慢霧:Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道,Uwerx遭到攻擊,損失約174.78枚ETH,據慢霧分析,根本原因是當接收地址為 uniswapPoolAddress(0x01)時,將會多burn掉from地址的轉賬金額1%的代幣,因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣,然后調用sync函數惡意抬高代幣價格,最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析,黑客初始資金來自Tornadocash轉入的10 BNB,接著將10 BNB換成1.3 ETH,并通過Socket跨鏈到以太坊。目前,被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]
發生日期:2019-01-14事件描述:1月14日,新西蘭加密貨幣交易所Cryptopia遭受黑客攻擊,黑客共偷走了價值1600萬美元的以太坊和ERC20代幣,隨后暫停了其平臺服務,早在推文發出之前的13個小時,該公司曾對外表示“平臺正在進行計劃外的維護”,暗示交易所已經受到黑客攻擊。隨后參與了對黑客攻擊事件的調查,而Cryptopia交易所無力繼續運營。今年5月,Cryptopia交易所宣布關閉并申請破產保護,該交易所欠債權人超過270萬美元。慢霧觀點Cryptopia被黑事件成為交易所2019新年第一“盜”,地下黑客將攻擊的重點目標轉向了加密貨幣交易所,加密貨幣交易所側的攻防戰場開始火熱起來。跟隨加密貨幣大生態的發展,地下黑客職業軍團相繼踏入區塊鏈攻防世界。No.3眾多EOSDApp遭遇交易排擠攻擊
慢霧:Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道,慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析,以下將分析結論同步社區:
Hacker#1 攻擊黑客(盜取最大資金黑客),獲利金額:約 2410 萬美元
1: 0x75F2...FFD46
2: 0xfa71...90fb
已歸還超 1890 萬美元的被盜資金;12,500 BNB 存款到 Tornado Cash;約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。
Hacker#2 套利機器人-1,獲利金額:1,166,882.07 BUSD
0xcfb0...7ac7(BSC)
保留在獲利地址中,未進一步轉移。
Hacker#3 攻擊模仿者-1,獲利金額:356,690.71 USDT
0x87be...3c4c(BSC)
Hacker#4 套利機器人-2,獲利金額:246,757.31 USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5 套利機器人-3,獲利金額:584,801.17 USDC
0xcc3d...ae7d(BSC)
USDC 全部轉移至新地址 0x8960...8525,后無進一步轉移。
Hacker#6 攻擊模仿者-2,獲利金額:2,348,967.9 USDT
0x6e60...c5ea(BSC)
Hacker#7 套利機器人-4,獲利金額:5,974.52 UNI、1,667.36 MANA
0x6C6B...364e(ETH)
通過 Uniswap 兌換為 30.17 ETH,其中 0.71 支付給 Flashbots,剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]
發生日期:2019年1月開始事件描述:2019年1月11日凌晨,EOS.WIN遭遇黑客攻擊。EOS.WIN的攻擊者采用的是新型攻擊手法,為“交易排擠攻擊”,這種攻擊手法與之前攻擊bocai.game的攻擊手法為同一種攻擊手法。攻擊者首先是發起正常的轉賬交易,然后使用另一個合約帳號檢測中獎行為。如果不中獎,則發起大量的defer交易,將項目方的開獎交易“擠”到下一個區塊中。該類攻擊源于項目方的隨機數算法使用了時間種子,使攻擊者提升了中獎幾率,導致攻擊成功。慢霧觀點區塊鏈上沒有完美的隨機數方案,只要是采用鏈上的變量作為隨機數因子,都存在被黑客攻破的可能。建議開發者采用EOS官方推薦的隨機數安全實踐“RandomizationinContracts”,或者引入預言機。同時在合約設計時加上風控機制,比如獎池大額轉出超過某個閾值自動暫停。No.4DragonEx遭入侵損失超600萬美元加密貨幣
慢霧:Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋,Moonbirds 發布安全公告,Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣,而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架,如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]
發生日期:2019-03-24事件描述:加密貨幣交易所DragonEx發布公告稱平臺錢包遭受黑客入侵,導致用戶和平臺的數字資產被盜,涉及BTC、ETH、EOS、XRP、TRX等20余種主流數字資產,總損失超600萬美元。慢霧觀點在攻擊事件發生后,國內外多家安全公司證實該事件是黑客組織Lazarus所為。該組織通過運營和模擬正常的量化軟件,以高利潤和高收益通過交易所對外的客服誘惑交易所高層使用。量化軟件中隱藏有后門,一旦軟件被傳遞到關鍵人電腦上運行就會進行一序列滲透和黑客動作。隨著加密貨幣的發展,黑客組織Lazarus對加密貨幣的興趣已經越來越濃厚,黑客攻擊也越來越多,呈現出APT(高級持續性威脅)性質,只有交易所自身做好防護措施,才能讓黑客不再有機可乘。No.5Bithumb被盜3百萬EOS和2千萬XRP
慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。
當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]
發生日期:2019-03-29事件描述:3月29日,韓國加密貨幣交易所Bithumb承認遭到黑客攻擊。一名管理人員表示,當地時間3月29日晚10點15分左右,檢測到熱錢包出現異常取款。黑客盜走約300萬枚EOS,價值約1340萬美元,以及2000萬枚XRP,價值600萬美元。早在2018年6月,該交易所就因黑客攻擊損失了價值達3100萬美元的加密貨幣,不到1年的時間里Bithumb接連出現2次被黑事件。慢霧觀點加密貨幣交易所遭受二次攻擊,不排除內鬼作案。確實在金錢魔力面前,人性經不住考驗,而許多交易所的內部安全風控建設工作又過于缺失,這促使了內鬼有足夠動機作案,導致交易所被盜幣。No.6幣安被盜7074枚比特幣
慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]
發生日期:2019-05-08事件描述:5月8日,加密貨幣交易所幣安發布安全公告稱,5月7日17:15:24,黑客在區塊高度575012處從幣安熱錢包中盜取7074枚比特幣,黑客此前已發現系統存在的安全漏洞,但一直很耐心,直到系統出現大額交易才出手。慢霧觀點隨著地下黑客職業軍團相繼進場,職業的地下黑客通過高級釣魚及木馬植入,層層滲透最終拿到交易所的私鑰權限,導致加密貨幣交易所被盜幣。面對地下黑客職業軍團的攻勢,交易所側安全防御表現極其無力。交易所可以與可信且職業的安全團隊進行深入合作,部署因地制宜的安全建議,做到默認一切不可信的心態去接觸這個世界。No.7TokenStore被爆跑路,卷走用戶數十億資產
發生日期:2019-06-10事件描述:5月31日,TokenStore發布公告稱由于受到黑客攻擊,系統將全面升級維護10天,并強調不管發生什么,平臺會堅持運行。6月10日,社區多位用戶反映,TokenStore在升級公告發布10天之后疑似跑路,投資人數十億資金被一卷而空。慢霧觀點資金盤跑路還不忘把鍋甩給黑客攻擊,真是花樣百出……類似項目經常使用“高收益”、“最新區塊鏈科技”等名詞進行包裝,實則是龐氏騙局,投資者們要仔細分辨,切莫參與。No.8PlusToken跑路卷走約20億美元加密貨幣
發生日期:2019-06-27事件描述:6月27日晚上,有投資者發現,自己的PlusToken錢包無法提現了,遇到同樣問題的人不在少數。有人發現,以往少則10分鐘、最多3小時的提現時間,已經連續好幾日沒有任何反應,并且App無法登陸,客服也不在線。后被證實PlusToken跑路,騙局共吸納了價值超過20億美元的加密貨幣,包括180,000BTC、6,400,000ETH、111,000USDT等。慢霧觀點PlusToken是同類資金盤項目里涉案金額最大、受害用戶最多的一個,給區塊鏈生態帶來嚴重的負面影響。慢霧AML系統對PlusToken錢包的鏈上交易進行了持續地追蹤與溯源,從統計數據發現,絕大部分加密貨幣已經被利用Mixer、免KYC的幣幣兌換平臺進行清洗,進而轉化為法幣離場。No.9Bitrue被盜930萬枚XRP
發生日期:2019-06-27事件描述:6月27日凌晨1點,總部位于新加坡的加密資產交易所Bitrue遭遇重大黑客攻擊,其熱錢包損失了930萬枚XRP和250萬枚ADA,被盜的XRP和ADA價值分別超過450萬美元和23.75萬美元。慢霧觀點Bitrue官方表示,黑客利用風控系統的漏洞來訪問用戶的個人資金和Bitrue熱錢包,進而實施盜幣。由于交易所內部人員的安全意識缺失,本不該暴露的系統缺陷暴露了,給了地下黑客可乘之機,導致被盜幣。在區塊鏈世界攻防差距明顯,以現在大多數交易所的防御能力不足以抵擋職業地下黑客的入侵。安全體系化建設工作很復雜,防御工作需要面面俱到,而入侵工作卻可以單點突破。No.10BitPoint被盜價值約3200萬美元的加密貨幣
發生日期:2019-07-11事件描述:Bitpoint在7月11日發生黑客攻擊事件。黑客攻擊了該交易所的熱錢包和冷錢包,竊取了價值約3200萬美元的比特幣、比特幣現金、萊特幣、瑞波幣和以太坊,其中約2300萬美元的數字貨幣屬于該交易所的用戶。BitPoint表示,受害用戶數量接近該交易所用戶總數的一半,高達5萬人。該交易所表示將承擔用戶的所有損失。慢霧觀點三分之二的被盜資金屬于客戶,金融廳面子全毀。手法雖然未公開,但是不排除APT類攻擊行為。地下黑客攻擊愈加激烈,加密貨幣交易所側安全防御面臨新挑戰。No.11第三方問題導致平臺遭受攻擊
發生日期:2019年7月事件描述:7月5日,NPM官方博客發布文章稱,NPM安全團隊與Komodo合作發現并阻止了針對名為Agama的加密貨幣錢包所有用戶的惡意投威脅。攻擊者將惡意程序包放入Agama的構建鏈中,用這種手法來竊取錢包應用程序中使用的錢包私鑰和其他登錄密碼。慢霧觀點在當下的技術架構中脫離不了第三方JavaScript庫,所有項目方技術團隊都應該強制至少一名核心技術完整review一遍所有第三方模塊,看看是否存在可疑代碼,也可以抓包看看是否存在可疑請求。No.12BitMEX、幣安用戶身份信息遭泄露
發生日期:2019年8月、11月事件描述:2019年11月1日,BitMEX在發送平臺郵件通知時,由于沒有采用密送設置,導致該郵件所有接收人的郵箱地址被泄露。事后有研究人員在推特上發布消息稱,已收集到的郵箱地址超過2.3萬個。幣安用戶KYC資料泄露事件發生于2019年8月,有人通過Telegram群「FINDYOURBINANCEKYC」公開發布幣安用戶KYC資料,之后幣安發布消息稱:Telegram群傳播的KYC資料和幣安系統信息不符,圖片沒有幣安特定的電子水印,尚不能證明來自幣安。慢霧觀點用戶身份信息應得到高強度的加密和保護,平臺在早期架構設計時應貫徹落實這個策略,規避此類敏感信息泄露事件的發生。No.13Upbit被盜34.2萬枚ETH
發生日期:2019-11-27事件描述:韓國交易所Upbit公告稱,有34.2萬個以太坊被盜,已轉移至一個未知的以太坊地址,總價值約5000萬美元。此前據WhaleAlert監測的鏈上數據顯示,Upbit頻繁轉出大額加密貨幣,包括SNT、EOS、OMG、XLM、TRX、ETH等,總價值超過1億美元。隨后官方發布公告澄清,只有ETH是被黑客盜走的,其余資產均是交易所為了安全自行轉移到冷錢包。慢霧觀點目前懷疑和之前一直在活動的APT(高級持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。當然也不能排除內鬼可能性。被盜的是Upbit的ETH熱錢包,冷錢包應該無風險。附:交易所安全攻防總結
2019年交易所領域發生了大量的安全事件,且每個都造成了巨額的損失。慢霧科技在交易所安全攻防方面有深厚的沉淀,我們總結發現主要有如下幾個攻擊手法:1.內鬼作案。確實在金錢魔力面前,人性經不住考驗,而許多交易所的內部安全風控建設工作又過于缺失,這促使了內鬼有足夠動機作案,導致被盜幣;2.假充值漏洞攻擊。一些交易所在對接的各種公鏈或代幣上的安全經驗不足,導致充值環節中出現假資金情況,但交易所系統卻認為是真的,導致被盜幣;3.APT攻擊。職業的地下黑客通過高級釣魚及木馬植入,層層滲透最終拿到交易所的私鑰權限,導致被盜幣;4.供應鏈攻擊。交易所使用的第三方組件被黑植入了惡意代碼,從而間接影響了交易所的安全防線,導致被盜幣;5.粗心大意。由于交易所內部人員的安全意識缺失,本不該暴露的系統缺陷暴露了,給了地下黑客可乘之機,導致被盜幣。從這些主要的攻擊手法來看,可以總結出兩個主要特點:1.內部人員人性之惡及安全意識、安全經驗缺失;2.攻防差距明顯,以現在大多數交易所的防御能力不足以抵擋職業地下黑客的入侵。
考拉海購宣布升級商品全鏈路溯源系統,新引入區塊鏈溯源技術:3月17日消息,日前,考拉海購宣布升級商品全鏈路溯源系統,在原有的防偽、防惡意拆封技術上,新引入區塊鏈溯源技術,實現一鍵對商品溯源防偽.
1900/1/1 0:00:00編者按:本文來自BlockVC,作者:BlockVC行業研究團隊,Odaily星球日報經授權轉載。序章:中本聰的野望一個民族有一群仰望星空的人,他們才有希望.
1900/1/1 0:00:00編者按:本文來自:以太坊愛好者,作者:PaulSztorc,翻譯&校對:IANLIU&阿劍,Odaily星球日報經授權轉載.
1900/1/1 0:00:00新型冠狀病引起的肺炎疫情仍然在持續,每一個直接受疫情影響的病患后面牽連的不僅是個人而是一個家庭,而間接受影響的無數個體和中小企業由于假期的延長,無法正常按時復工,恐怕將面對更多的困難和風雨.
1900/1/1 0:00:00編者按:本文來自虧快鏈,作者:鐵拳無敵大興興,Odaily星球日報經授權轉載。這一期主要講幣圈的一些CP,什么是CP?配對,簡稱CP,網絡流行詞,來源于日本ACGN同人圈.
1900/1/1 0:00:00LeslieLamb,AmberGroup機構銷售負責人本文導讀加密市場整體體量的增長仍需成熟的市場基礎設施建設,來吸引更多的資金和機構入場.
1900/1/1 0:00:00