区块链生态 11 月发生安全事件 16 起,损失近 5600 万美元

区块链资讯PeckShield2019-12-02 18:18:21  阅读 -评论 0

原文标题:《安全月报|11 月共发生安全事件 16 起,损失近 5,600 万美元》
原文来源: PeckShield

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 16 起较为突出的安全事件,危害程度评级为「中级」,受损金额近 5,600 万美元,涉及 DApp 5 起、勒索 5 起、交易所 3 起、钱包 1 起以及若干钓鱼诈骗等。
DApp 生态
11 月份共发生 5 起 DApp 安全事件,其中 EOS 生态发生 3 起,ETH 和 TRON 生态各发生 1 起。
1)EOS DApp
EOS 生态发生的 3 起安全事件都跟 EIDOS 挖矿有关,具体而言,受 EIDOS 挖矿热潮的影响,EOSIO 主网的 CPU 资源消耗进入了高度饱和状态,普通用户根本无法正常使用网络。
一些黑客也开始尝试从 DApp 中偷取 CPU 资源进行挖矿。
11 月 06 日,BigGame 成为了首个被攻击的 DApp,它是一款为玩家代付 CPU 资源的 DApp,黑客劫持了用户和 BigGame 间的交易信息,在转账通知中嵌入了非法操作,故而成功窃取 BigGame 代付给用户的免费 CPU 资源,直到它的 CPU 资源被耗尽为止。
11 月 07 日凌晨 3 时,另一款 DApp 游戏 BetHash 也遭到了同样的攻击。对于多数博彩类游戏,玩家投注完,都会接收到 DApp 的游戏通知,此时,黑客就可以控制恶意程序劫持该通知嵌入内联操作,进而实施攻击行为。不仅 BetHash,一些其他的博彩类游戏包括 EOSBet、EOSMMM,Trust-Dice,WinPlay 等等也被相继攻击了。
问题貌似愈演愈烈,11 月 11 日凌晨 3 时,攻击开始延伸至 EOSIO 系统的 bidname 短账号竞拍上,甚至可以无限制的使用 EOS 系统的 CPU 资源。如果你想竞拍一个短账号,例如:baaa,你开始从 0.0001 个 EOS 起竞拍,当某人出价高出了 10% 的话,你的出价就会被返还。黑客在 EOSIO 系统返还的过程中劫持转账通知实施攻击。由于 EOSIO 系统拥有无限量的 CPU 资源,黑客就可以持续通过攻击获得 CPU 资源。
据 DAppTotal 数据显示,近 7 天 EOS CPU 拥堵指数都为 100%。
区块链生态 11 月发生安全事件 16 起,损失近 5600 万美元
2)ETH DApp
ETH 生态发生的 1 起安全事件跟 DeFi 市场 Augur DApp 有关。具体而言:Augur 是构建于以太坊网络上的预测市场协议,链下 Oracle 会爬取多处的信息再提交到链上。恶意攻击者通过在 Twitter 等社交媒体故意发布虚假信息,从而影响 Oracle 数据源,操纵预测结果。
3)TRON DApp
TRON 生态发生的 1 起安全事件是常见的交易回滚攻击。PeckShield 安全人员发现 TGiN78 地址开头的黑客通过自主创建的合约对波场 TR66FA 地址开头的合约发起交易回滚攻击,共计获利 18,808 TRX
PeckShield 点评:以上 DApp 生态安全事件基本都是由合约玩家导致的,DApp 在接收玩家代币或者发送通知之前应检查目标账户是否为智能合约。现在 EOSIO 网络上的智能合约中并没有检查 EOS 账户状态的 API,建议 DApp 合约开发者可以采用类似 DAppShield 安全盾工具提供的过滤合约账户服务,并请求第三方安全公司协助。
交易所安全
11 月份共发生 3 起交易所安全事件,其中两起和黑客攻击有关。
1)韩国交易所 Upbit 34.2 万枚 ETH 被盗,总价值约 5,000 万美元;
2)越南交易所 VinDAX 被黑客入侵,损失了至少 500 万美元的加密货币;
3)BitMEX 交易所发生大量邮箱地址泄露事件。
北京时间 11 月 27 日 12 时 04 分,PeckShield 旗下数字资产可视化资产追踪平台 CoinHolmes 监控到 Upbit 交易所地址向未知钱包和 Bittrex 交易所连续进行大额转账,其中有一笔涉及 34.2 万枚 ETH 的交易较为异常,可能遭到了黑客攻击。之后 Upbit 交易所发出公告,承认自己的以太坊热钱包被盗了 34.2 万个 ETH,当他们发现被盗后,很快将热钱包中其他资产转移到了冷钱包。
11 月 28 日 15 点 08 分,CoinHolmes 监控到韩国 Upbit 交易所被盗 ETH 资产首次出现异动,0xa09871ae 开头的黑客地址向多个地址转移盗取的 ETH,同时发送了极少量 ETH 至 Huobi,币安等交易所地址。
利用 CoinHolmes 一图概览 Upbit 交易所被盗资⾦流向图:
区块链生态 11 月发生安全事件 16 起,损失近 5600 万美元
(可访问 www.coinholmes.com 查看)
PeckShield 点评:今年以来,黑客已经盗取了多家交易所价值数亿美金的代币,例如此前发生的 Cryptopia、币安、DragonEx、Bitrue 等交易所被盗事件。PeckShield 建议交易所使用更加安全的防范系统,保管好自己的私钥,采用多签等机制防范。
勒索相关
11 月份共发生 5 起勒索有关的安全事件,其中出现了几种新型的勒索软件,例如 NextCry 勒索软件会利用 PHP-fpm 远程代码执行漏洞(CVE-2019-11043)针对 Linux 服务器发起攻击尝试入侵。
PeckShield 点评:对于一些可疑的网站和邮件,用户需要谨慎访问,同时要及时安装操作系统发布的漏洞补丁。即使电脑已受到勒索软件感染,也要向专业的安全人员寻求帮助,而不是给勒索软件付费。
钓鱼攻击等其他安全事件
除上述之外,11 月份还有一些安全事件同样值得警惕:
1)加密钱包 GateHub 的 140 万个用户账户信息被盗,包括密码、密钥和助记词等;
2)门罗 CLI 二进制文件遭破坏,用户下载文件后需要及时检查文件完整性。
PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
来源链接:mp.weixin.qq.com

区块律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

Avalanche 共识协议发明者 Emin Gün Sirer:我们的目标是华尔街

Avalanche 共识协议发明者 Emin Gün Sirer:我们的目标是华尔街

为未来设计的第三代共识协议:Avalanche这个全新的共识协议「Avalanche」最大的特点,是与目前区块链中广泛使用的中本聪工作量证明共识协议或者是经典的拜占庭容错类共识协议均不相同,由 Emin Gün Sirer 教授和他带领的团队发明。

不为企业所了解的区块链的黑暗面

不为企业所了解的区块链的黑暗面

区块链驱动的未来假设,区块链可能会颠覆一系列行业的信息管理。区块链的去中心化特性大大提高了数据安全性。或者,制造商可以使用区块链来确保质量保证,并轻松进行调查。

区块链国家队再报新战绩 下个战场“链”向哪

业务量超800亿元作为区块链国家队,央行贸金平台上线一年多以来屡获“战果”。“区块链国家队的发展对区块链行业是一大利好。”

重磅!“2019中部区块链全产业生态发展论坛”在肥成功举办

重磅!“2019中部区块链全产业生态发展论坛”在肥成功举办

8月3日,以"创新共识 徽链未来"为主题,由币对集团、金色财经、特股区块链、鼎炫科技主办,鼎链传媒、北京舞雩大愿教育科技有限公司承办,昊京科技、尊链科技、世链财经协办,安徽省工业和信息化研究院指导,ZG.COM支持的"2019中部区块链全产业生态发展论坛(Forum on the Ecological Development of the Whole Industry in the Central

2019世界区块链未来发展投资与创新联盟峰会盛大开幕在即!

2019世界区块链未来发展投资与创新联盟峰会盛大开幕在即!

区块链正成为席卷互联网和传统经济的一股浪潮,它像一阵龙卷风正以极快的速度"侵袭"整个市场,彰显它的生机与活力。在市场应用需求的推动下,区块链的发展得以提速,与实体经济融合发展也更加明显,因而也催生了更多的新应用、新生机。区块链发展的潮流,使得如何在形形色色的区块链项目中选择较好的区块链项目,成为区块链从业者关注的重点。汇聚核心资源 共筑优质成果2019年8月18日,由COINAD&鑫润财经

中信银行打造“区块链”信用证结算!

中信银行打造“区块链”信用证结算!

科技不会改变金融的实质,但却能让金融服务更高效,能让资金供、需方信息不对称的问题更好地解决。近期,中信银行首个区块链项目——基于区块链的国内信用证信息传输系统(简称BCLC)(一期)成功上线,这是国内银行业第一次将区块链技术应用于信用证结算领域。 据中信银行国际业务部总经理助理张栩青介绍,将现在流行的区块链技术应用在国内信用证中,改变了银行传统信用证业务模式,信用证的开立、通知、交单、承兑报文

中国信息技术部门成立区块链研究实验室

中国信息技术部门成立区块链研究实验室

暴走时评:本月初,中国政府对国内的ICO和数字货币交易所的打击在世界范围内引起了强大反响,但政府已经多次声明不会将区块链与数字货币划等号,依然非常重视区块链技术在中国的发展。鉴于中国工业和信息化部成立了一个专门研究区块链的实验室,这一论调也得到了进一步的证实。 虽然中国政府最近在大力打击比特币交易所和ICO,但仍然致力于开发区块链在其他领域的潜力。 据财新网报道,中国工业和信息化部已经成立了一

 分布式账本中的生命科学

分布式账本中的生命科学

生物科学是医学领域涉及遗传研究,疾病预防和生活方式治疗(lifestyle treatments)的学科。它已经存在了很长时间,但区块链技术的基础设施应用给该学科提供了重大进步的可能性。 根据Pistoia Alliance进行的2016年6月份高级制药和生命科学领袖调查,83%的受访者表示,他们预计在五年内将全面采用区块链技术。 Pistoia Alliance是一个全球性的非营利组织,致

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑