链资讯 链资讯
Ctrl+D收藏链资讯
首页 > TRX > 正文

DAP:安全公司:2018 年区块链全生态典型安全事件盘点_数字货币将造就大批富翁

作者:

时间:

2018年,是区块链发展最迅猛的一年,全球加密货币总市值一度接近8000亿美金。但层出不穷的漏洞,使2018年成为黑客最为猖獗的一年。

安全事件的频发,严重阻碍了区块链的健康发展,不仅给用户带来了不小的损失,还直接导致了许多项目的「终结」。

2018年到底发生了哪些安全事件?

稿件来源:猎豹区块链安全

概述

2018年,无论是安全事件的数量,还是造成的损失,都呈现指数级上升:

安全事件造成的经济损失趋势(万美元),来源:bcsec

重大安全事件数量统计,来源:bcsec

据Besec统计,2018年总计超过20亿美金被盗,大型事件数量超过130多起,区块链用户和项目方们纷纷沦为全球30万黑客的「提款机」。

2018安全事件造成的损失统计,来源:31QU

这其中,交易所的安全事件数量和损失的金额(13.44亿美元)都高居榜首;智能合约安全安全事件极少,但造成的经济损失比例却极高;DApp、个人钱包、公司服务器也无一幸免。

智能合约安全

目前,区块链整体还处于低迷期,但是智能合约的发展却非常稳定,根据猎豹区块链安全中心的数据,近一个月以太坊的智能合约平均每天以2000的数量在增长。

智能合约漏洞虽然数量不多,但是所造成的损失是非常巨大的,这与solidity语言的特性有关,也与ERC20协议使代币发行变得便捷有关。

智能合约漏洞的TOP10攻击类型为:重入攻击、权限控制、整型溢出、未检查的call返回值、交易顺序依赖、时间戳依赖、条件竞争、短地址攻击、可预测的随机处理等。

所有智能合约事件中,最著名的当属美链事件。18年4月22日下午,才发行两个月左右的BEC美蜜合约出现重大的溢出漏洞,黑客通过合约的批量转账方法无限生成代币,天量BEC从两个地址转出,进而引发抛售潮。当日,BEC的价值几乎归零。损失金额超过10亿。

由于区块链的「代码即一切」的原则,导致目前没有有效的安全防护手段来彻底避免智能合约安全的问题。

对于智能合约的开发,更建议摒弃「敏捷开发」的理念。而采用缓慢而有条理的方法来开发智能合约,在最初设计和编码时,就尽量谨慎和考虑周全。

前BitGo、Curv高管推出新的加密钱包安全公司Fordefi:11月5日消息,前BitGo、Curv高管Josh Schwartz推出新的加密钱包安全公司Fordefi,Fordefi提供了一个允许机构参与各种链的钱包平台。

Fordefi表示,使用安全的多方计算 (MPC) 以一种更难以妥协的方式分配用户的私钥,它将允许用户自动化他们与区块链和智能合约的互动。Fordefi的25人团队位于以色列和纽约,其中包括Michael Volfman和Dima Kogan。该公司聘请了斯坦福大学的加密货币教授Dan Boneh和前Curv首席执行官Itay Malinger作为顾问。(The Block)[2022/11/5 12:18:25]

开发管理者也不要对开发人员太大的压力,通常来说,赶出来的东西都多多少少会有问题。

另外,在上链之前,找到专业的区块链安全公司对智能合约进行安全审计是最最基础和必要的。

以下是2018年智能合约大事件,以及相关事件的一些细节:

2018年8月22日,GOD.GAME合约遭到黑客攻击,GOD智能合约上的以太坊总量归零

2018年4月25日,SmartMesh出现重大安全漏洞,导致1.4亿美元损失

18年4月22日下午,才发行两个月左右的BEC美蜜合约因为存在溢出漏洞,被黑客从两个地址不断转出代币,使BEC价格几乎归零,损失金额总计超过10亿美元。

交易所安全

据网络安全公司CiferTrace10月发布的一份报告显示,2018年前9个月,通过黑客入侵交易所窃取的加密货币就已达9.27亿美金,已经是整个2017年的2.5倍。

韩国科技部的调查报告称:「大部分交易所都存在安全漏洞。」

那么,为什么加密货币交易所安全问题层出不穷?

一方面,数字货币的匿名性,不可篡改性以及无监管特性,导致了资产转移便捷,溯源找回难度大。另一方面,数字货币交易行业出现时间短,发展又非常快,利润高,导致本来技术积累就不足的情况下,仍然忽视信息安全方面的建设,隐藏的安全漏洞多,攻击起来相对容易。甚至还有一些加密数字交易所甚至完全没有安全系统。

数字货币交易所面临的安全威胁主要包括:服务器软件漏洞、配置不当、DDoS攻击、服务端Web程序漏洞、办公电脑安全问题、内部人员攻击等。

加密安全公司CipherTrace推出新银行交易监控工具:加密安全分析公司CipherTrace开发了一种银行交易监控工具CipherTrace Armada,该工具可标记向高风险虚拟资产服务提供商(VASP)的付款。(Coindesk)[2020/4/28]

对于规模较大,用户较多的交易所,还会面临用户被攻击者利用仿冒的钓鱼网站取认证信息的问题。

而针对这些安全威胁,建议交易所在面向用户之前,先进行渗透测试,代码审计等安全服务,挖掘并修复系统存在的安全漏洞。

另外,建议交易所对所有正式入职的员工进行必要的基础的安全培训。

最后,针对数字虚拟币交易的网民,建议大家主动学习安全知识,并在电脑端、手机端使用安全软件,千万不要自信「裸奔」,以避免掉进网络钓鱼陷阱以及钱包被盗事件的发生。

以下是2018年加密货币交易所被盗事件,以及相关事件的具体细节。

1月,日本最大的数字加密货币交易所Coincheck被盗走价值5.34亿美元的XEM。Coincheck是日本第二大交易所,在之后的官方发布会上,Coincheck表示,XEM被盗是因为存储XEM的热钱包的私钥被黑客所窃取,但是没有其他币种被盗。受此事件影响,XEM当天下跌9.8%。

2月11日,意大利加密货币交易所BitGrail被攻击,价值1.7亿美元的加密货币NANO被盗。

3月7日,Binance遭到黑客入侵,黑客通过控制币安部分账户,卖出这些账户持仓的比特币,买入VIA币,导致VIA逆市大涨。币安将异常交易进行了回滚处理,但此事件依然引起市场恐惧,随后几天比特币跌幅超过15%。

4月1日,Bit-Z遭遇黑客攻击,未造成资金损失。为此Bit-Z专门设立了10000个ETH安全基金,用于奖励安全漏洞提交者。这笔奖励在当时价值400万美金。

4月13日,印度三大比特币交易所之一Coinsecure在官网发布公告称,该交易所438个BTC失窃,价值约330万美元。该交易所首席安全官AmitabhSaxena被列为嫌疑人。这是印度最大的加密货币被盗事件。

6月5日,Bitfinex遭到「拒绝服务」攻击,Bitfinex随即暂停了交易所的所有交易。

声音 | 网络安全公司:在消费者不知情的计算机上挖掘加密货币的时代已成为过去:据cryptimi消息,网络安全公司Malw??areBytes近日公布了一份报告。其中显示,在消费者不知情的计算机上挖掘加密货币的行为,已急剧下降至“基本绝迹”的水平。这种攻击行为常会导致受害者计算机的性能下降,以及增加产生的热量和降低电池寿命。但报告显示,该行动现在扩展为更大,更具经济效益的行动,企业和组织成为了最佳攻击目标。全世界有300个政府和大学网站被发现在他们的服务上安装了现已不存在的CoinHive浏览器内挖掘加密货币软件的脚本,而他们并不知情。[2019/4/28]

6月10日,韩国数字加密货币交易所Coinrail遭到黑客攻击,损失超过5000万美元。Coinrail加密货币总量的70%被保存在冷钱包,被盗总量的三分之二已被追回。

6月20日,韩国加密货币交易所Bithumb被黑客攻击,价值3000万美元的加密货币被盗,这是Bithumb第三次被黑客攻击。

此前,该交易所还遭受了两次「黑客攻击」。

第一次:2017年4月,Bithumb某员工电脑被黑,导致超过3万名用户的资料被窃,Bithumb也因此被韩国监管机构罚款5.5万美元。

第二次:2017年12月22日,韩国MBC电视台雇佣了一家安保公司,对包括Bithumb在内的5家韩国交易所进行安全测试。该安保公司成功「黑入」包括Bithumb在内的5家交易所,并获取了部分用户数据和资金。受雇「黑客」声称仅使用了「基本的黑客技巧」。

但是,安全问题并未引起交易所足够重视,这才导致了2018年6月份的黑客事件发生。

9月20日,日本数字货币交易所Zaif宣布遭受黑客攻击,损失5967万美元。其中1959万美元属于该交易所自有资金,其余4007万美元属于客户资金。

Dapp安全

智能合约和交易所是安全的重灾区,18年话题度颇高的DApp,也没能逃脱黑客的魔爪,虽然损失金额在所有安全事件中比例较低,但频繁的安全事件严重影响着Dapp生态的落地与应用。

据Dapp.review最新数据显示,目前运行在以太坊、EOS、波场等公链上的DApp总数量超过1900个。

网络安全公司Avira接受BTC、BCH支付:据Bitpay官方消息,德国网络安全公司Avira今日在其官网宣布接受BTC、BCH对其VPN服务进行支付,支付由区块链支付商Bitpay处理。[2018/6/22]

处于DApp生态建设初步发展阶段的EOS,DApp相关的安全问题层出不穷。截止12月份,由于DApp漏洞导致的损失已经高达39.5万个EOS与1.3万个ETH。按照两者最高市值计算,损失财富超过2700万美金。

2018年下半年,DApp安全事件集中爆发,黑客攻击事件主要发生在EOS主网。攻击手段也是花样百出:随机数攻击、种子漏洞、假币攻击……

EOS作为被寄予厚望的企业级区块链操作系统,基于此的DApp为什么会发生如此多黑客攻击事件?

今年5月份,EOS创始人BM曾表示,为EOS主网提供有价值的漏洞将获得1万美金的报酬。该悬赏令颁布之后,一位名叫「JonBottarini」的网友透漏,有人仅一天就发现了8个漏洞,获得8万美金奖励。这也充分说明EOS主网本身存在大量安全问题。

实际上,针对EOS上DApp的攻击,正越来越专业化、团队化。

11月份以来,作为三大EOS竞猜类DApp,EOSDice、FFgame和EOS.WIN先后发生了「随机数漏洞」攻击。据知情人士爆料,这些攻击案件系一人或者同一团队所为。该知情人士表示,已经成功锁定黑客交易所账户。

相较于EOS网络,以太坊的黑客攻击事件要稍微少一些。

下面是2018年以来DApp上发生的黑客攻击事件,以及相关事件具体细节:

7月25日,狼人游戏出现「溢出」漏洞,导致游戏损失60686个EOS。EOS核心仲裁论坛对黑客的行为仲裁后,签发新的仲裁令,冻结黑客的EOS账户:eosfomoplay1。

8月22日,Fomo3D遭受黑客攻击,损失10469个ETH。安比实验室首次宣布断定Fomo3D大奖获得者采取了一些「特殊攻击技巧」,攻击者通过高额手续费吸引矿工优先打包,最终以较低成本针对性地堵塞区块,加速游戏结束,提高自己获胜概率。

9月24日,Fomo3D第二轮游戏开始之后,黑客采用相似的攻击手段,拿到了3264.668个以太坊奖励。

瑞士网络安全公司:联网电动汽车可用数字货币支付:据globenewswire消息,瑞士网络安全和物联网公司WISeKey今日宣布将允许联网电动汽车使用WISeCoin数字货币支付,联网车主可以通过NFC技术将WISeCoins从汽车钱包转移到电动充电站,为汽车充电并支付费用。[2018/6/19]

8月27日,Luckyos旗下的石头剪刀布游戏被黑客攻破,损失未知。

9月2日,EOS.win「随机数」被黑客攻击,导致损失2000ESO。

9月10日,EOSBet遭到黑客攻击,共计损失了4000个EOS;4天后,EOSBet再次遭黑客「假通知」攻击,损失145321个EOS,目前损失已被追回。

9月12日,LuckyGo遭到攻击者iloveloveeos而被迫下线。当天晚上,iloveloveeos又迅速攻击了新上线的游戏LuckyGo。这两次攻击都属于「随机数缺陷攻击」。

9月12日EOSHappySlot遭黑客重放攻击,损失5000个EOS。一名账号为imeosmainnet的黑客利用「重放攻击」,导致项目方损失了5000个EOS。

9月14日,去中心化交易所Newdex遭到黑客攻击。黑客利用假币在交易所换区真币,共计获利11803个EOS。

攻击过程是这样的:攻击者创造了一种全新的代币,发行量也是10亿,并将其命名为「EOS」。攻击者采用特殊的方法,用11800个假EOS在Newdex上兑换出了大量等值真币。

9月15日,EOS.Win遭受黑客假币攻击,共计损失超过4000个EOS。

11月11日,EOS.Win还在11月11日遭受了第二次攻击。此次攻击黑客在一分钟之内,共计向EOS.WIN游戏合约发起10次攻击,获利超9180个EOS。

10月16日,WorldConquest遭受黑客「缴税规则」攻击,拒绝其他玩家参与,进而盈利4555个EOS;

10月26日,EOSRoyale遭受黑客「随机数」攻击,损失10800个EOS。过程是这样的:黑客通过调用随机数发生器,计算出先前区块的信息,进而获得游戏随机数,从而破解EosRoyale钱包,并窃取价值60000美金的EOS代币。

10月28日,EOSPoker遭受黑客「种子漏洞」攻击,损失1374个EOS。

10月31日,EOSCast遭遇黑客假币攻击,导致72912个EOS被黑客转走。根据游戏规则,黑客分别用100、1000、10000个假EOS代币进行攻击,每次攻击可得到198、9800、19600个不等的EOS。在进行最后一次攻击时,游戏方察觉到异常攻击,及时转走了奖金池仅剩的8000个EOS。

ECAF针对此事件即时响应,并发布了仲裁令,冻结了相关涉事账户。

11月4日,EOSDice发公告称智能合约遭到攻击,但由于其拥有自动检测功能,在攻击之后,合约自动将剩余资金转移至安全地址。此事件导致EOSDice损失2545个EOS。

11月8日,FFgame遭遇了黑客攻击,黑客账户jk2uslllkjfd向FFgame游戏合约发起多达304次攻击,共计获利1331.2922个EOS。

11月10日,黑客向MyEosVegas游戏合约发起超700次攻击,已获利超9000个EOS。

11月26日,竞技类DApp遭遇了前所未有的新型回滚攻击。

12月3日,Dice3D遭遇黑客攻击,损失10569个EOS。黑客已将被盗的EOS转至火币。Dice3D官方决定自费拿出部分EOS给予玩家补偿。

钱包安全

数字货币钱包有热钱包和冷钱包之分,冷钱包由于私钥不接触网络,相对安全性较高,不过随着技术的快速迭代,无论热钱包还是冷钱包,都相继被黑客攻击。

2018年,因为钱包安全而损失的金额损失在4000万美元左右。这其中,大部分是黑客通过各种手段获取到用户私钥,导致资产被盗。还有一部分是钱包设计存在缺陷造成的。

因为区块链的去中心化特点,黑客攻击目标的就是想方设法搞到用户私钥,如果用户存储方式不当,就肯可能被钓鱼邮件、木马病等方式攻击,导致资产被盗。

因此,建议广大用户把私钥要抄在纸上,要抄对,然后放在一个绝对不会忘的地方,千万不要存储在网上,保证私钥不触网,还要保证私钥和钱包不要放在一块;另外,尽量选择用户基数大,安全事件较少的钱包;最后,无论在网页端还是手机端,都必须安装安全软件,千万不能「裸」奔。

钱包设计上的缺陷也会引发攻击事件,并且一旦爆发,影响力和损失金额将会很广。

比如国外某钱包在第一次运行的时候,默认为用户创建一个新钱包并将钱包文件未加密存储在系统本地,攻击者可以读取存储的钱包文件,通过对钱包应用逆向分析等技术手段,还原该钱包的算法逻辑,并由此直接恢复出用户的助记词以及根密钥等敏感数据。

对于这部分安全问题,只能建议钱包项目在面向用户之前,找到专业的安全团队进行安全方面的审计。

下面是2018年以来钱包相关的黑客攻击事件:

1月8日,RedditTippr用户被黑客盗走了数千个BCH。

1月17日,XLM钱包被攻击,超40万美元XLM被盗。事件起源是黑客劫持了BlackWallet.co的DNS服务器,据估计,此次攻击事件,导致近70万个XLM被盗,价值超过40万美元。

1月22日,黑客入侵IOTA钱包,盗走价值400万美金的IOTA。据CCN报道,原因出在用户用来生成IOTA钱包私钥的网站被黑。

3月4日,钛合金区块链发布推特宣称遭受黑客攻击,公司钱包被盗窃了1870万BAR代币。

4月17日,数字货币投资者和Youtube博主IanBalina昨晚在直播评论ICO项目时受到黑客攻击,黑客从他的Etherscan钱包中转移了超过200万美元的数字货币。

4月25日,MyEtherWallet遭劫,共损失约500个ETH。

6月6日,日本零售商Shopin的MEW钱包遭到黑客攻击,损失了超1000万美元的加密货币。其中包括以太坊、LevelUp、Orbs与Shopin。

8月15日,陕西省西安市抓获了三名高级黑客嫌疑人,三人曾共同合作,盗取价值了6亿元加密货币。

今年3月30日,盗窃事件发生之后,受害人张姓男子报案,称自己的电脑被非法攻击,价值数亿元的虚拟货币被洗劫一空。随后展开搜捕工作,今年8月15日,三名黑客被逮捕。

9月25日,EOS持仓大户gm3dcnqgenes账号被盗,共计损失209万个EOS。

10月22日,瑞士区块链公司Trade.io称,其冷钱包中的5000万TIO被盗,价值750万美金,其中130万TIO被转移到Kucoin和Bancor两个交易所。Kucoin已经暂停了TIO的交易,而Bancor则永久删除了TIO。

10月25日,Reddit用户账户遭黑客攻击,黑客从他的钱包中盗窃了14个比特币、22个ETH和大约1170万个COSS代币,这些加密货币总共价值86.4万美金。

回顾整个2018年的安全事件,有人持悲观态度,认为区块链是极度高危的行业,应该避而远之。但也有认为,安全事件的频发从侧面反映了这个行业被前所未有的关注,因为黑客只会花时间攻击有价值的东西。

虽然2018年黑客猖獗,但全球范围内的区块链安全公司也已经悄悄崛起;整个行业也会因为付出惨痛代价,而加强安全方面的投入和建设;用户安全教育也逐渐被重视起来。未来区块链行业的蓬勃发展还是非常可期的。

本文来源于非小号媒体平台:

链闻看天下

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627104.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

2万美元就可以对以太坊经典双花攻击?没那么简单

下一篇:

利用比特币回款,横扫全球银行的黑客组织「Carbanak」

标签:DAP加密货币区块链数字货币区块链dapp开发合法吗加密货币的优缺点玩区块链挣的钱合法吗数字货币将造就大批富翁

TRX热门资讯
FACE:Facebook ATO 漏洞说明什么?请用哲学视角思考日益严峻的计算机安全威胁_区块链

从FacebookATO漏洞到众多区块链安全事件,这些均表明,建立起防范于未然的安全检测体系,关乎一切科技公司的存亡.

VIEW:?个通杀绝大多数交易平台的 XSS 0day 漏洞_Prometheus Trading

文章来源:慢雾科技作者:慢雾安全团队 引子 慢雾区前后两位白帽黑客给我们反馈了这个XSS0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后.

EOS:BTC放量跌破该点位 双顶形态则确立_EOS Venezuela

BTC近期走势比较疲软,这几天一直处于小幅阴跌走势,盘面上也能够看出有形成M头的趋势,下方颈线位支撑在7100美元附近,同时也是日线20均线的支撑位,目前币价已破位5日线与10日线.

GATE:Gate.io发布安卓2.4.7版本公告_htt币价格今日行情

Gate.io发布安卓手机APP2.4.7新版.下载地址:https://www.gateio.co/mobileapp手机扫码下载:本次版本2.4.7更新内容:1.新增账单功能.

GATE:火星一线 | 分析师Kiril Nikolaev称莱特币将在8月前飙升至220美元_GAT

火星财经APP一线报道,加密货币分析师KirilNikolaev近期撰文表示,LTC价格将在2019年8月前飙升至220美元。这意味着在接下来的几个月里,该代币将大幅上涨140%以上.

区块链:5个月亏掉2000万 币圈反指第一人蔡曙家真的有矿吗?_比特币市值多少亿

蔡曙是谁?在币圈,如果你还没有听说过这个名字,那你OUT了。2019年的币圈发生很多有趣的事情,从“交易所IEO大战”到“预告式维权”再到近来的“大家一起振”等币圈独创的造富游戏捧红了不少项目和.