事件分析

據(jù) 零時科技 區(qū)塊鏈安全威脅情報平臺 數(shù)據(jù)統(tǒng)計(jì)，2020年4月，整個區(qū)塊鏈生態(tài)被公開的區(qū)塊鏈安全事件共24起，其中智能合約攻擊發(fā)生3起，應(yīng)用漏洞攻擊5起，惡意軟件攻擊4起，51%攻擊1起，假EOS攻擊1起，惡意欺詐8起，釣魚攻擊2起。

從圖表數(shù)據(jù)來看，本月安全區(qū)塊鏈安全攻擊事件中，

惡意欺詐事件依舊占比最多，應(yīng)用漏洞攻擊事件和惡意軟件攻擊事件相比上月有明顯增多，影響較大的為智能合約攻擊事件，imBTC池，Lendf.me，Hegic都因智能合約漏洞損失大量數(shù)字貨幣，雖然黑客將盜走的Lendf.me數(shù)字貨幣如數(shù)歸還，但盡管如此，這些安全事件還是給我們警示了智能合約安全的重要性；釣魚攻擊是目前黑客最常用的攻擊手法之一，本月也發(fā)生兩起；51%攻擊是區(qū)塊鏈中特有漏洞點(diǎn)，達(dá)到這類攻擊需要控制全網(wǎng)50%以上的算力，本月也發(fā)生一起，但并未造成資金損失。

我們對比較重大的黑客事件進(jìn)行簡單分析回顧

智能合約攻擊事件

• 4月18日，黑客利用Uniswap和ERC777的兼容性問題，在進(jìn)行 ETH-imBTC 交易時，利用ERC777中的多次迭代調(diào)用tokensToSend來實(shí)現(xiàn)重入攻擊，將Uniswap上的imBTC（imBTC是一個1:1錨定比特幣的ERC-20代幣）池耗盡。

• 4月19日，Lendf.me 遭遇類似 Uniswap 事件的重入攻擊，出現(xiàn)大量異常借貸行為，攻擊者利用重入漏洞覆蓋自己的資金余額并使得可提現(xiàn)的資金量不斷翻倍，黑客以滾雪球的方式多筆轉(zhuǎn)走imBTC，且每一筆都比上一筆翻倍，最終將Lendf.Me賬戶約2500萬資產(chǎn)盜取一空。

• 4月23日，以太坊上的新期權(quán)交易協(xié)議Hegic剛剛進(jìn)入主網(wǎng)，由于代碼中的一個錯誤，鎖定了該平臺智能合約中價值28,000美元的用戶資金，該漏洞將用戶資金鎖定在過期的期權(quán)合約中，使得合約中的數(shù)字貨幣永久無法訪問。

  安全建議：

• 遵守嚴(yán)格的合約安全開發(fā)規(guī)范，在進(jìn)行外部調(diào)用時先修改合約變量狀態(tài)再進(jìn)行外部調(diào)用；

• 項(xiàng)目上線前可通過專業(yè)的第三方安全團(tuán)隊(duì)進(jìn)行全面的安全審計(jì)，盡可能的發(fā)現(xiàn)潛在的安全問題；

• 合約中加入風(fēng)控體系，比如設(shè)置暫停開關(guān)，出現(xiàn)不可控問題時可及時止損；

應(yīng)用漏洞攻擊事件

• 4月24日，Kraken的加密貨幣托管提供商Etana報告數(shù)據(jù)安全漏洞。 該公司稱，該漏洞發(fā)生在4月18日，導(dǎo)致未經(jīng)授權(quán)的外部用戶訪問其客戶端用戶界面?？蛻糍Y金沒有受到影響，但是入侵者可能已經(jīng)獲取了一些信息。

• 4月29日，MakerDao（MKR）發(fā)布了一份新報告，并建議采取安全措施以確保不再發(fā)生。在3月12日至13日，以太坊（ETH）價格暴跌約50％，導(dǎo)致支撐Maker Dai（DAI）穩(wěn)定幣的債務(wù)頭寸抵押不足。由于ETH網(wǎng)絡(luò)出現(xiàn)擁塞，用戶無法參與拍賣，一個競標(biāo)者以幾乎為零價格的DAI贏得了近62843個ETH。Maker的報告確定了對Maker系統(tǒng)所做的幾個關(guān)鍵更改，以防止協(xié)議在未來出現(xiàn)類似的危機(jī)。MakerDAO的治理現(xiàn)在可以“立即停止拍賣系統(tǒng)，從而進(jìn)行清算”，以防止以0 DAI的價格出售抵押債券。拍賣系統(tǒng)的參數(shù)也進(jìn)行了其他更改，包括添加了穩(wěn)定幣USD Coin（USDC）。Maker社區(qū)還創(chuàng)建了Web界面，以增加拍賣參與度。該報告還建議引入安全措施，以重新啟動少于三個競標(biāo)和兩個唯一競標(biāo)者的拍賣，每個拍賣批次不超過50個ETH批次的限制。

  安全建議：

• 網(wǎng)站應(yīng)用可通過專業(yè)的安全團(tuán)隊(duì)進(jìn)行安全測試；
• 對網(wǎng)站應(yīng)用新功能進(jìn)行安全測試后再進(jìn)行使用。

釣魚攻擊事件

• 4月13日，新西蘭警方提醒公眾警惕勒索比特幣的電子郵件騙局。警方表示，騙子一直在給受害者發(fā)送電子郵件，稱其電腦遭到黑客攻擊。他們還告訴受害者，他們通過網(wǎng)絡(luò)攝像頭泄露了其觀看色情內(nèi)容的視頻，并威脅受害者如果不支付1900美元的比特幣，將把視頻發(fā)送給家人和朋友。騙子們聲稱知道受害者的密碼，并展示了他們使用過的真實(shí)密碼，這些密碼在之前的數(shù)據(jù)泄露事件中被公布在網(wǎng)上。

  安全建議：

• 不清楚來源的鏈接盡量不要點(diǎn)擊；
• 陌生人的郵件應(yīng)在確認(rèn)身份后，再進(jìn)行點(diǎn)擊查看；
• 不幸被勒索時請尋求專業(yè)人士幫助。
• 個人或者企業(yè)電腦一定要裝殺毒軟件；
• 安裝軟件或者使用軟件時一定要確認(rèn)軟件來自官方渠道。

51%攻擊事件

• 4月23日，穩(wěn)定幣平臺PegNet遭遇51%攻擊以操縱價格，但未導(dǎo)致資金損失，基于Factom協(xié)議的DeFi穩(wěn)定幣交易平臺PegNet被執(zhí)行51%攻擊，4 位擁有該網(wǎng)絡(luò)算力接近70%的礦工聯(lián)合執(zhí)行一次異常價格數(shù)據(jù)篡改的攻擊行為，將一個僅擁有11美元的錢包余額變成名義上670萬美元。根據(jù)該項(xiàng)目官方網(wǎng)站顯示，該項(xiàng)目使用PoW網(wǎng)絡(luò)依靠礦工提交從預(yù)言機(jī)和API中收集的價格數(shù)據(jù)，以保持穩(wěn)定幣的價格與法定貨幣等價，系統(tǒng)會激勵礦工并獲得獎勵，以使其價格數(shù)據(jù)與其他提交的數(shù)據(jù)一致。此次攻擊中，在被操縱的假匯率的作用下，礦工蓄意將pJPY穩(wěn)定幣交易為天價的pUSD，該攻擊持續(xù)了大約20分鐘，但未影響其他用戶的資金。

安全事件

• 加密貨幣交易所Bisq被盜，損失3個BTC和4000個XMR
• Travelex透露年初曾向黑客支付近230萬美元比特幣
• 門羅幣加密惡意軟件VictoryGate被瓦解
• 穩(wěn)定幣平臺PegNet遭遇51%攻擊以操縱價格，但未導(dǎo)致資金損失
• 上線不久的期權(quán)交易協(xié)議Hegic，其代碼錯誤將用戶資產(chǎn)鎖定
• Kraken的加密貨幣托管提供商Etana報告數(shù)據(jù)安全漏洞
• EOS競猜游戲Felix遭假EOS攻擊
• Uniswap上的imBTC池遭到黑客重入攻擊
• 去中心化借貸平臺Lendf.me遭到智能合約重入攻擊
• MakerDao報告說明已對系統(tǒng)做出關(guān)鍵更改 防止債務(wù)危機(jī)事件再次發(fā)
• 利用加密貨幣交易所系統(tǒng)錯誤賺取3億韓元的韓國軍官被判刑
• 美國數(shù)十家醫(yī)院正面臨比特幣勒索軟件的攻擊 –
• 首爾警察廳對20家加密貨幣交易所和機(jī)構(gòu)執(zhí)行“N號房”扣押搜查令
• 加密交易員：有人僅用18美分在Coinbase上獲得了4.2085枚比特幣
• 新西蘭警方提醒公眾警惕勒索比特幣的電子郵件騙局
• 世界第四大風(fēng)能生產(chǎn)商EDP遭勒索軟件攻擊，贖金1580 BTC
• 暗網(wǎng)出現(xiàn)新冠病毒感染者血液銷售信息，售價0.005枚BTC
• 2019 年至目前為止，約 850 萬 XRP 通過 XRP 贈品騙局套現(xiàn)
• 勒索軟件團(tuán)伙盜取加州托倫斯市數(shù)據(jù)并索要100枚BTC贖金
• 資金盤CXC隱匿后再起新盤AK挖礦 不到1月斂財1100萬美元
• 兩名印度城市管理人員被勒索軟件威脅 要求支付比特幣贖金
• EOS生態(tài)被曝?zé)o法提幣 近日大量轉(zhuǎn)移資金或已跑路
• HEX再現(xiàn)1714萬美元大額轉(zhuǎn)賬 而此前主要存款地址已被清空
• 衡陽珠暉警方破獲虛擬貨幣詐騙案，涉案金額超3000萬元

預(yù)警事件

• Vollgar僵尸網(wǎng)絡(luò)持續(xù)劫持微軟SQL服務(wù)器以挖掘門羅幣和Vollar
• 警惕 EOS 賬號買賣中通過多簽提案回收 EOS 賬號風(fēng)險
• Uniswap遭黑客攻擊損失1,278枚ETH
• 警惕名為“EOS生態(tài)”的資金盤項(xiàng)目 已打著EOS節(jié)點(diǎn)旗號斂財1700萬
• Telegram“搬磚套利”騙局
• 詐騙者假冒以太坊權(quán)益證明驗(yàn)證器進(jìn)行詐騙
• WannaRen新型病毒勒索0.05個比特幣，已有大量網(wǎng)友中招
• 警惕釣魚網(wǎng)站airdrop-box.com空投HT詐騙
• 13000BTC重壓，需密切留意盤面變化
• 勒索軟件Sodinokibi已開始接受Monero支付，并計(jì)劃停止接受BTC
• 警惕假冒imtoken“交易回滾”騙局，部分贓款已流入幣安交易所進(jìn)行套現(xiàn)
• 部分Voice釣魚賬號已非法獲利9,044個EOS
• 寧夏警方查獲“ARW”虛擬貨幣傳銷案，提醒公眾虛擬貨幣詐騙風(fēng)險
• 警惕假冒imtoken“交易回滾”騙局，部分贓款已流入幣安交易所進(jìn)行套現(xiàn)
• Telegram等社群出現(xiàn)釣魚網(wǎng)站，用戶請勿輕信
• OneCoin翻版騙局OneLink出現(xiàn)，由OneCoin在逃管理人員操作
• Telegram“搬磚套利”詐騙最新案例，三用戶被騙834個ETH
• 警惕加密貨幣質(zhì)押應(yīng)用StakedWallet為騙局
• PoolTogether 已移除 ERC-777 標(biāo)準(zhǔn)代幣 plDai

總結(jié)

以上是生活随笔為你收集整理的2020年4月区块链安全大事件 | 黑客攻击早已蓄谋已久的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。