区块链生态 11 月发生安全事件 16 起,损失近 5600 万美元

区块链资讯PeckShield2019-12-02 18:18:21  阅读 -评论 0

原文标题:《安全月报|11 月共发生安全事件 16 起,损失近 5,600 万美元》
原文来源: PeckShield

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 16 起较为突出的安全事件,危害程度评级为「中级」,受损金额近 5,600 万美元,涉及 DApp 5 起、勒索 5 起、交易所 3 起、钱包 1 起以及若干钓鱼诈骗等。
DApp 生态
11 月份共发生 5 起 DApp 安全事件,其中 EOS 生态发生 3 起,ETH 和 TRON 生态各发生 1 起。
1)EOS DApp
EOS 生态发生的 3 起安全事件都跟 EIDOS 挖矿有关,具体而言,受 EIDOS 挖矿热潮的影响,EOSIO 主网的 CPU 资源消耗进入了高度饱和状态,普通用户根本无法正常使用网络。
一些黑客也开始尝试从 DApp 中偷取 CPU 资源进行挖矿。
11 月 06 日,BigGame 成为了首个被攻击的 DApp,它是一款为玩家代付 CPU 资源的 DApp,黑客劫持了用户和 BigGame 间的交易信息,在转账通知中嵌入了非法操作,故而成功窃取 BigGame 代付给用户的免费 CPU 资源,直到它的 CPU 资源被耗尽为止。
11 月 07 日凌晨 3 时,另一款 DApp 游戏 BetHash 也遭到了同样的攻击。对于多数博彩类游戏,玩家投注完,都会接收到 DApp 的游戏通知,此时,黑客就可以控制恶意程序劫持该通知嵌入内联操作,进而实施攻击行为。不仅 BetHash,一些其他的博彩类游戏包括 EOSBet、EOSMMM,Trust-Dice,WinPlay 等等也被相继攻击了。
问题貌似愈演愈烈,11 月 11 日凌晨 3 时,攻击开始延伸至 EOSIO 系统的 bidname 短账号竞拍上,甚至可以无限制的使用 EOS 系统的 CPU 资源。如果你想竞拍一个短账号,例如:baaa,你开始从 0.0001 个 EOS 起竞拍,当某人出价高出了 10% 的话,你的出价就会被返还。黑客在 EOSIO 系统返还的过程中劫持转账通知实施攻击。由于 EOSIO 系统拥有无限量的 CPU 资源,黑客就可以持续通过攻击获得 CPU 资源。
据 DAppTotal 数据显示,近 7 天 EOS CPU 拥堵指数都为 100%。
区块链生态 11 月发生安全事件 16 起,损失近 5600 万美元
2)ETH DApp
ETH 生态发生的 1 起安全事件跟 DeFi 市场 Augur DApp 有关。具体而言:Augur 是构建于以太坊网络上的预测市场协议,链下 Oracle 会爬取多处的信息再提交到链上。恶意攻击者通过在 Twitter 等社交媒体故意发布虚假信息,从而影响 Oracle 数据源,操纵预测结果。
3)TRON DApp
TRON 生态发生的 1 起安全事件是常见的交易回滚攻击。PeckShield 安全人员发现 TGiN78 地址开头的黑客通过自主创建的合约对波场 TR66FA 地址开头的合约发起交易回滚攻击,共计获利 18,808 TRX
PeckShield 点评:以上 DApp 生态安全事件基本都是由合约玩家导致的,DApp 在接收玩家代币或者发送通知之前应检查目标账户是否为智能合约。现在 EOSIO 网络上的智能合约中并没有检查 EOS 账户状态的 API,建议 DApp 合约开发者可以采用类似 DAppShield 安全盾工具提供的过滤合约账户服务,并请求第三方安全公司协助。
交易所安全
11 月份共发生 3 起交易所安全事件,其中两起和黑客攻击有关。
1)韩国交易所 Upbit 34.2 万枚 ETH 被盗,总价值约 5,000 万美元;
2)越南交易所 VinDAX 被黑客入侵,损失了至少 500 万美元的加密货币;
3)BitMEX 交易所发生大量邮箱地址泄露事件。
北京时间 11 月 27 日 12 时 04 分,PeckShield 旗下数字资产可视化资产追踪平台 CoinHolmes 监控到 Upbit 交易所地址向未知钱包和 Bittrex 交易所连续进行大额转账,其中有一笔涉及 34.2 万枚 ETH 的交易较为异常,可能遭到了黑客攻击。之后 Upbit 交易所发出公告,承认自己的以太坊热钱包被盗了 34.2 万个 ETH,当他们发现被盗后,很快将热钱包中其他资产转移到了冷钱包。
11 月 28 日 15 点 08 分,CoinHolmes 监控到韩国 Upbit 交易所被盗 ETH 资产首次出现异动,0xa09871ae 开头的黑客地址向多个地址转移盗取的 ETH,同时发送了极少量 ETH 至 Huobi,币安等交易所地址。
利用 CoinHolmes 一图概览 Upbit 交易所被盗资⾦流向图:
区块链生态 11 月发生安全事件 16 起,损失近 5600 万美元
(可访问 www.coinholmes.com 查看)
PeckShield 点评:今年以来,黑客已经盗取了多家交易所价值数亿美金的代币,例如此前发生的 Cryptopia、币安、DragonEx、Bitrue 等交易所被盗事件。PeckShield 建议交易所使用更加安全的防范系统,保管好自己的私钥,采用多签等机制防范。
勒索相关
11 月份共发生 5 起勒索有关的安全事件,其中出现了几种新型的勒索软件,例如 NextCry 勒索软件会利用 PHP-fpm 远程代码执行漏洞(CVE-2019-11043)针对 Linux 服务器发起攻击尝试入侵。
PeckShield 点评:对于一些可疑的网站和邮件,用户需要谨慎访问,同时要及时安装操作系统发布的漏洞补丁。即使电脑已受到勒索软件感染,也要向专业的安全人员寻求帮助,而不是给勒索软件付费。
钓鱼攻击等其他安全事件
除上述之外,11 月份还有一些安全事件同样值得警惕:
1)加密钱包 GateHub 的 140 万个用户账户信息被盗,包括密码、密钥和助记词等;
2)门罗 CLI 二进制文件遭破坏,用户下载文件后需要及时检查文件完整性。
PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
来源链接:mp.weixin.qq.com

区块律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

公链「春秋战国」:如果把以太坊比作秦,六国为什么输了?

原文标题:《如果把以太坊比作秦,六国为什么输了?》原文来源:陆遥远天下苦「秦」久矣,各大公链杀手盯着钉在悬赏令榜首的以太坊,在江湖自行其是瓜分着区块链的地盘。

加拿大矿业巨头Hut 8 Mining一季度收益下降14%,计划从中国购买更多新矿机

律动 BlockBeats 消息,加拿大最大的矿业公司之一 Hut 8 Mining 周一公布,其 2020 年第一季度收益不及预期。Hut 8 Mining 收入连续第三个季度下降,本季度收入下降了 14%,仅有 1,270 万加元 。

基于以太坊的 WBTC 价值已超过闪电网络,达到1120万美元

基于以太坊的 WBTC 价值已超过闪电网络,达到1120万美元

律动BlockBeats消息,基于以太坊的 WBTC 价值目前已经超过了比特币上的闪电网络 ,WBTC 价值已达 1120 万美元,而 LN 只有 810 万美元。今年 4 月,Tezos 区块链上也发行了一个以比特币为标的的代币 tzBTC。

姚前:Libra2.0与数字美元

姚前:Libra2.0与数字美元

二是 Libra2.0 白皮书公布,其姿态之谦卑,耐人寻味。Libra1.0 的提出也引发了国际监管机构对稳定币的高度重视。应该说,Libra2.0 充分考虑了各方监管的关切,提出一系列合规措施。Libra2.0 则放弃了这一方向,宣布在保持

中信银行打造“区块链”信用证结算!

中信银行打造“区块链”信用证结算!

科技不会改变金融的实质,但却能让金融服务更高效,能让资金供、需方信息不对称的问题更好地解决。近期,中信银行首个区块链项目——基于区块链的国内信用证信息传输系统(简称BCLC)(一期)成功上线,这是国内银行业第一次将区块链技术应用于信用证结算领域。 据中信银行国际业务部总经理助理张栩青介绍,将现在流行的区块链技术应用在国内信用证中,改变了银行传统信用证业务模式,信用证的开立、通知、交单、承兑报文

中国信息技术部门成立区块链研究实验室

中国信息技术部门成立区块链研究实验室

暴走时评:本月初,中国政府对国内的ICO和数字货币交易所的打击在世界范围内引起了强大反响,但政府已经多次声明不会将区块链与数字货币划等号,依然非常重视区块链技术在中国的发展。鉴于中国工业和信息化部成立了一个专门研究区块链的实验室,这一论调也得到了进一步的证实。 虽然中国政府最近在大力打击比特币交易所和ICO,但仍然致力于开发区块链在其他领域的潜力。 据财新网报道,中国工业和信息化部已经成立了一

 分布式账本中的生命科学

分布式账本中的生命科学

生物科学是医学领域涉及遗传研究,疾病预防和生活方式治疗(lifestyle treatments)的学科。它已经存在了很长时间,但区块链技术的基础设施应用给该学科提供了重大进步的可能性。 根据Pistoia Alliance进行的2016年6月份高级制药和生命科学领袖调查,83%的受访者表示,他们预计在五年内将全面采用区块链技术。 Pistoia Alliance是一个全球性的非营利组织,致

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑