EOS:區塊鏈安全事件盤點（九月、十月）

在區塊鏈行業，安全問題是最根本的問題，相信你一定聽過“1行代碼損失幾十億”、“干了一年被黑客一夜搞走”等言論，因為區塊鏈發展還處于早期，加上一旦上鏈就不可篡改等特性，讓它成為了黑客攻擊的重災區。獵豹區塊鏈安全將在本月開始，對區塊鏈行業發生的安全事件進行盤點，旨在幫助大家認識區塊鏈的安全問題，以此推動行業向前發展。2018年9月9日——DEOSgames

事件背景

DEOSGames是一個運行在EOS區塊鏈之上的去中心的類游戲應用平臺，9月9日，一位名為RunningSnail的DEOSGames用戶進行了一次看起來相當成功的下注，用1000美元支付了數十次，存入10個EOS，然后在30秒后贏得頭獎。損失規模：價值約24,000美元的EOS攻擊媒介：智能合約漏洞事件經過及安全分析

◆DEOS在剛剛創建不到一小時的時間里，就向EOS帳戶進行了24筆轉賬，而且，這些賬戶都是該合約在不到一天之內創建的，根據EOS的交易記錄，每次惡意賬戶存入10個EOS時，它收到的DEOSGames合約金額約為20倍。換句話說，黑客利用了該賭博游戲的某個漏洞，每次賭博都能夠贏得頭獎，此次攻擊的整體收益約為成本的20倍◆DEOSGames官方在推文中發表看法，“這是一個很好的壓力測試，我們的項目在合約層面得到了顯著改善。”◆目前尚不清楚黑客利用了DEOSGames合約中的哪個漏洞，或者EOS內核中是否存在其他漏洞安全小豹的看法

中國首個積分區塊鏈標準白皮書發布:金色財經報道，4月10日，以“共建生態 智鏈未來——開啟可信商業積分新時代”為主題的中國商業積分聯盟成立啟動發布會暨區塊鏈技術創新應用高峰論壇在重慶舉行。在會議現在，中國首個積分區塊鏈標準白皮書發布，與此同時，中國積分聯盟鏈落地重慶江北。重慶市人民政府副市長李明清、江北區委書記李維超、重慶市委網信辦主任文天平、重慶市商務委員會主任張智奎、重慶市文化和旅游發展委員會主任劉旗、重慶市扶貧開發辦公室主任劉貴忠、重慶市大數據應用發展管理局局長羅清泉、江北區委副書記、區人民政府區長代小紅、江北區人大常委會主任劉渝平、江北區政協主席劉漢華、江北區人民政府黨組成員于寶亮、全聯并購工會區塊鏈專委會主任鄧迪等領導及嘉賓共同啟動并見證中國商業積分聯盟正式起航。

重慶積分消費購物節，中國旅游鏈重慶鏈也在本次大會上進行了發布。[2021/4/10 20:05:14]

◆發生該攻擊事件之后，DEOSGames團隊的反應令人費解，他們沒有對社區聲明自己是如何監控黑客攻擊的，按照常識，一個簡單的監控腳本就可以檢測到這種異常現象。◆我們假設DEOS游戲是有這樣的檢測工具的，那么此次攻擊的深層次原因就值得深究了，不排除團隊坐莊割韭菜的嫌疑。◆目前，此類游戲風險太高，建議廣大用戶理性投資，謹慎選擇。2018年9月18日——NewDexNewDex是全球首家基于EOS區塊鏈的去中心化交易所，8月8上線，號稱能夠完美支持平臺性能，交易速度媲美中心化交易所，且不接觸用戶私鑰，導入錢包即交易，以此保障資產安全。但是在上線后一個多月后，就遭遇EOS刷假幣事件，通過這起事件，外界開始質疑NewDex是否是真正的去中心化交易所。損失規模：58,000美元事件經過及安全分析

在美上市區塊鏈中概股普遍收跌:今日美股收盤，在美上市區塊鏈中概股普遍收跌。嘉楠科技收跌1.22%，人人網收跌8.96%，中網載線收跌8.4%，寺庫收跌2.58%，迅雷收跌0.28%，獵豹移動收跌4.78%，蘭亭集勢收跌1.23%。[2020/6/11]

◆惡意帳戶EOS賬戶“oo1122334455”于2018年9月1414:01:45發行10億個假EOS，并全額分配給dapphub12345賬戶。◆隨即由dapphub12345轉入iambillgates賬戶，iambillgates賬戶于14:21:37嘗試性的多次用1個假EOS掛單委托買入IPOS和ADD，并且成功以假EOS買入IPOS和ADD。成功買入BLACK、IQ、ADD后，iambillgates賬戶立刻將非法獲得的Token轉入xx1234512345與x12345x12345賬戶，最終由xx1234512345在Newdex中掛市價單賣出部分非法獲得的Token，共計賣得4028個真實的EOS◆然后，真的EOS本地貨幣被發送到Bitfinex與其他加密貨幣進行交易◆此次假EOS刷幣事件共給Newdex用戶造成11803個EOS的損失，NewDex團隊為此事件道歉，本著負責任的態度決定承擔此次全部損失，并且也已經在第一時間修復相關問題并恢復正常運營。◆對NewDex基礎設施的進一步調查顯示，Newdex沒有使用智能合約來驗證用戶發送的token安全小豹的看法

聲音 | 中國信通院魏凱：區塊鏈在金融合同等社會領域也有應用前景:首屆互聯網法治論壇近期在杭州召開，來自全國各地政法產學研各界人士參加會議，深入研討“網絡社會治理的法治化”問題。中國信息通信研究院云計算與大數據研究所副所長魏凱認為，區塊鏈是一種不可篡改的記賬技術，其規則用代碼表達，在區塊鏈上代碼即“法律”。區塊鏈技術不僅可在司法公開、訴訟服務、輔助審判、輔助執行等法院內部應用，在諸如金融合同、版權、遺囑存證等社會領域也有應用前景，空間很大。但當前還存在一些挑戰，首先區塊鏈技術應該值得信賴，但是，上鏈數據規格與元數據缺乏標準，跨鏈互聯互通難以實現，法務流程與區塊鏈技術對接還需理順，鏈上證據認定規范還需要進一步明確，這些問題還需要各方共同努力。（經濟參考報）[2019/10/21]

◆這起事件中，黑客用EOS原生貨幣來交易假的代幣，導致NewDex系統中EOS嚴重貶值◆之所以黑客能夠得手，是因為NewDex沒有通過其智能合約驗證token的事實性，因此我們可以得出結論：本質上看，NewDex只是處理用戶交易時使用的帳戶訂單的中心化場外交易所，并不是像他自己宣稱的一樣，是一家去中心的交易所！◆種種跡象表明一個事實：NewDex在冒充自己是一家去中心化的交易所。他們只是在他們的中央服務器上進行交易匹配，在處理交易時系統甚至沒有檢查存入的token真實性。◆在這里，我們建議大家，在選擇數字貨幣交易所交易時，需要進行詳細的盡職調查，而不要媒體宣傳所蠱惑，最好能夠在客觀中立的第三方評級機構查看他們的相關信息。2018年9月19日——Zaif交易所被盜事件

Bitwala在德國推出區塊鏈銀行業務:德國區塊鏈支付服務提供商Bitwala宣布，它將為德國客戶推出新的數字貨幣交易銀行服務，包括賬戶、國際銀行賬號（IBAN）、SWIFT代碼以及相應的萬事達借記卡等。目前德國聯邦金融監管局（BaFin）正在申請批準該項目。此項“區塊鏈銀行業務”服務將為客戶提供使用比特幣和其他數字貨幣支付的套餐。通過整合銀行賬戶，該服務還可以實現正常的銀行轉賬和使用信用卡。[2018/3/1]

事件背景：

2018年9月19日，總部位于大阪的TechBureauCorp.旗下的Zaif交易所發生了比特幣、萌奈幣(MonaCoin)和比特幣現金被盜事件，被盜總額為價值6,000萬美元的數字貨幣，其中約有22億日元(約合1,960萬美元)的被盜加密貨幣屬于該交易所，其余的是客戶資金。損失規模：6000萬美元被盜取的數字貨幣：比特幣、比特幣現金和MonaCoin事件經過及安全分析

◆2018年9月14日之后，zaif交易所關閉了用戶的存取款服務。◆根據Zaif交易所的說法，關閉該服務的原因是在9月14日17:00至19:00之間，發現有人非法入侵了其熱錢包◆經核實，該黑客的非法行為導致了5,900美元價值的BTC、比特幣現金和萌奈幣損失◆Zaif在公告上沒有公布被攻擊的細節，它尋求了日本當局幫助調查此次被盜案◆事實證明，在此攻擊行為發生前，日本金融廳分別于3月8日和6月22日，向zaif發出過關于其內部管理系統和安全措施的預警。◆被盜事件發生后第一時間，日本金融廳向Zaif母公司TechBureau發出了今年的第三份業務改善令。但是Zaif交易所沒有對FSA的建議做出任何行動◆根據扎伊夫對當局的透露，事件的起因居然是交易所一名員工的電腦被黑◆11月22日，Zaif交易所把虛擬貨幣的相關業務轉移至FISCO集團，Fisco集團將接管Zaif并賠付用戶此次被盜的資金。◆需要強調的一點是，這起事件是加密貨幣歷史上損失最大的安全事件之一安全小豹的看法

騰訊王鈞：中小微金融服務領域最可能出現區塊鏈“殺手級”應用，騰訊正重點布局:近日，在一項專訪中，騰訊金融科技智庫首席研究員王鈞發表了自己對區塊鏈的看法，他表示認可區塊鏈是一項影響深遠的技術，但談顛覆性卻為時尚早。就目前的區塊鏈技術而言，在基礎技術和應用范疇尚無重大突破，應當理性看待。對于區塊鏈如何產生“顛覆”，王鈞認為，區塊鏈的最大價值在于減輕多方信息不對稱的程度。中小微金融，或是下一步最有可能出現“殺手級”應用的細分領域，而騰訊已在此布局。在王鈞看來，比特幣等所謂的“數字貨幣”要成為被廣泛認可的具有金融屬性的配置資產，還有很長的路要走。加密幣僅是區塊鏈技術的一項應用。[2018/2/23]

◆根據種種跡象表面，該事件的起因很可能是Zaif員工的計算機被黑客成功利用釣魚網站的方式攻擊了◆對于數字貨幣交易所來說，犯這種低級錯誤是不非常不應該的。◆我們認為，該事件對廣大數字貨幣交易所敲響了警鐘，安全意識是數字貨幣交易所的根基，每家交易所都應在新員工入職工作之前，進行必要的網絡安全培訓。其他相似的攻擊事件

2017年7月，在Bithumbhack也使用了相同的方法，數百萬美元的加密貨幣被盜，并且導致客戶數據被泄露SpankChain事件背景

SpankChain是一個基于以太坊公鏈的成人娛樂區塊鏈項目。團隊于10月9日在博客上表示，上周六遭受到黑客攻擊，損失了165.38ETH(當時價值約3.8萬美元)。另有價值4000美元的BOOTY幣遭到凍結。損失規模：超過40,000美元攻擊方式：通過智能合約的重入漏洞事件經過及安全分析

◆此次黑客攻擊利用到是SpankChain智能合約中的重入漏洞，該漏洞類似于著名到TheDAO事件中的漏洞◆技術團隊發現合約被黑客入侵是在攻擊發生后的24小時，SpankChain團隊第一時間關閉了自己的官網◆攻擊發生后，該公司表示，他們會為ETH的airdrop工作，來償還那些在攻擊中損失資金的用戶◆10月12日，黑客竟然主動聯系了SpankChain的首席執行官，將165.38ETH退還給該團隊，另外黑客還幫助SpankChain恢復了因攻擊而被凍結的大約4000個BOOTY代幣。作為回報，SpankChain團隊給了該黑客一些獎勵。◆SpankChain曾公開表示，他們進行沒有給智能合約對已經發生過的安全漏洞進行審計，認為審計費用“非常昂貴”。安全小豹的看法

◆SpankChain區塊鏈社區對該事件的反應比較激烈，原因很可能是難以接受被黑客利用著名的重入漏洞進行攻擊。◆重入其實就是遞歸，就是對于一個函數的循環調用和對自身的循環調用，針對重入漏洞最根本的解決方案還是在轉賬之前就把所有應該變更的狀態提前更新，而不是在轉賬之后再進行更新。◆在這里，再次提醒大家，區塊鏈行業里安全審計的重要性。在上鏈前，只需投入很少的費用，對智能合約進行安全審計，就可以很好的避免這種事情。◆在區塊鏈里，沒有刪除和修改的概念，一旦合約部署到公鏈，就無法篡改，全球數以萬計的黑客可以慢慢的，一行一行的找上面的漏洞。對于區塊鏈行業來說，安全審計是必不可少的流程。◆慶幸的是，當時黑客返回了價值數百萬美元的Ether。目前還不清楚黑客為何會歸還被盜資金，這對受害者來說可能是一種安慰，但是這種事情不常有。但這也不是第一次發生，在CoinDashICO的事件中也曾經出現過黑客歸還被盜資金的事情。◆希望這次事件過后，項目方、交易所都能夠警醒，認識到安全審計的重要性。獵豹區塊鏈安全中心提供相應的審計服務，詳情請訪問：safe.cmcm.com其他相似的攻擊事件

DAOHack——以太坊區塊鏈歷史上最臭名昭著的事件之一，引起以太坊區塊鏈的硬分叉，分裂成以太坊和以太坊的經典的事件。EOSBet賭場EOSBet是EOS上的游戲平臺，分別在9月14日和10月15日遭受了兩次黑客的攻擊，損失分別為44427.4302個EOS和138,319.7995EOS。損失規模：200,000美元+338,000美元攻擊方式：利用智能合約中的漏洞事件經過及安全分析

第一次黑客攻擊：◆9月14日，EOSBet遭到黑客攻擊，EOSBet團隊官方宣稱：這個攻擊并不簡單，我們正在進行取證，并將所發生的事情拼湊在一起，來尋找蛛絲馬跡◆根據TheNextWeb的分析，“黑客的攻擊方式是使用假哈希在外部調用'傳輸'功能”◆攻擊發生后，一個與EOSBet官方帳戶名稱非常相似的EOS帳戶，向攻擊者的地址發送了少量EOS，并且附帶一個要求對方退回被盜資金的消息，聲稱如果不退回，他們將雇用一個律師團隊追捕并起訴攻擊者。◆9月16日，EOSBet重新上線，并且官方發布了關于黑客攻擊的詳細報告，承諾他們的合約已經修補了全部漏洞，目前是非常安全的第二次攻擊：◆一個月后，黑客利用EOSBet合約在檢驗收款方時存在的漏洞，偽造轉賬通知，總計從eosbetdice11獲利138,319.7995EOS。◆其中72,150EOS流入了Bitfinex，65,100EOS流入了Poloniex。根據EOS當前行情價格37元估算，EOSBet平臺此次損失額超500萬元。◆該公司報告稱，他們正與這兩家交易所談收回資金的事情安全小豹的看法◆EOS的智能合約發展相對ETH來說還比較早期，頻頻發生的安全事件對這個新生兒來說是不可承受之痛結語9、10兩個月的安全大事件主要集中在EOS的智能合約漏洞和交易所相關的漏洞，損失的金額可以說是非常高。但是在這些事件中，有很多是完全可以避免的，之所以頻頻發生安全事件，很大程度上是因為我們的安全意識還太過于薄弱。安全事件的頻發，加上行業的暴跌，不斷打擊著區塊鏈參與者的信心，但是不妨我們換個視角，放眼整個行業的發展來看，如果行業的參與者能夠從這些巨額損失的安全事件中獲得警醒，汲取過往的教訓，更加注重安全方面的建設，相信這對于茁壯發展的區塊鏈行業來說是非常利好的。獵豹區塊鏈安全以金山霸的技術為依托，結合人工智能、nlp等技術，為區塊鏈用戶提供合約審計、情感分析等生態安全服務，旗下產品Ratingtoken是專注于數字貨幣和ICO評級和排?行行的區塊鏈評級機構。了解更多請訪問：Ratingtoken官網

Tags：EOS區塊鏈WDEXNEWEOSeven區塊鏈dapp開發例子WDEX價格NewSolution 2.0

萊特幣價格