链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 比特币 > 正文

首发 | 区块链领域攻击频发细数7月以来发生的区块链相关攻击事件

作者:

时间:

事件

黑客勒索及其他攻击

传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是7月至今发生的黑客勒索攻击事件中的主要攻击方式。

此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击(利用了社会工程的方法),其攻击者是三名青少年,其中最大年龄仅有22岁,这起事件在7月以来的安全事件中较典型的一例,产生的影响范围极广。

7月2日,MongoDB遭受到攻击,约22900个数据库被清空,攻击者要求以BTC作为赎金赎回被清空数据库的备份。

7月11日, Cashaa交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移约合9800美元的BTC。

7月15日, twitter遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。

7月22日,约克大学信息被盗取,攻击者要求约合114万美金的BTC作为赎金。

数据:Robinhood三季度加密货币交易收入仅5100万美元,环比下降78.11%:10月27日消息,股票和加密货币交易平台Robinhood发布第三季度财报,该季度营业收入3.65亿美元,净亏损13.17亿美元,而二季度该公司营业收入为5.65亿美元,净亏损5.02亿美元。该平台该季度加密货币交易收入仅5100万美元,而二季度为2.33亿美元,环比下降78.11%。[2021/10/27 21:02:01]

7月23日,英国足球联盟信息被盗取,攻击者要求BTC作为赎金。

7月25日,西班牙铁路基础建设管理局约800gb信息被盗,攻击者要求BTC作为赎金。

7月30日,佳能遭受到黑客攻击,约10tb照片和其他类型数据被盗,用户要求以数字货币作为赎金。

7月31日,数字货币交易所2gether遭受到黑客攻击,约139万美金的BTC被盗。

代码漏洞攻击

对于代码漏洞攻击相关事件,攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件(租用庞大的算力)来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。

8月4日,DeFi项目Opyn被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约37万美金的损失。

攻击类型及危险

攻击事件类型及危险程序:

勒索及其他攻击——攻击的方法和媒介如下:

代码漏洞攻击:——攻击的方法和媒介如下:

因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析第9号代码漏洞攻击事件。

代码漏洞攻击事件分析

第9号事件

此次事件发生于DeFi项目Opyn中,攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。

攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。

也就是说,攻击者可以用一笔ETH进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的ETH。

CertiK安全研究团队认为,Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。

总结

在此,CertiK安全团队建议如下:

做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。

做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。

做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。

我们绝不仅仅是寻找漏洞,而是要消除哪怕只有0.00000001%被攻击的可能性

标签:区块链BTCETHOpyn什么叫做区块链技术的概念LBTC币ETHSHIB币Opyn Squeeth

比特币热门资讯
机构投资者考虑采用比特币 比特币或迎来光辉时刻

到目前为止,2020年被证明是比特币重要发展的一年。迄今为止,该资产击败了股票,黄金和几乎所有其他资产。 现在,所有人都在关注有史以来的第一种加密货币比特币,一位管理着数十亿英镑资产的英国基金经理声称,比特币已经达到了“现在或永远不会倒下的时刻”。 一些技术爱好者和某些网络的用户是最早对比特币和加密货币感兴趣的。

新兴交易所突围:BitMax创新拍卖玩法

近期比特币站稳了11000美金,而以太坊由于Defi上Uniswap模型的AMM DEX交易成为刚需,并且在ETH2.0的过渡期,使得以太坊近期频繁的站上400美金的高度。而很多山寨币也应声上涨,这使得市场情绪又一次高涨。

如何竞拍波卡平行链?

Polkadot 的平行链插槽将根据无需许可的蜡烛拍卖进行出售,我们在这个蜡烛拍卖的基础上做了一些改进,以确保区块链的安全。 蜡烛拍卖机制 蜡烛拍卖是公开拍卖的一种变体,在公开拍卖中,竞买人提交的出价越来越高,拍卖结束时,出价最高的人被认为是赢家。 蜡烛拍卖最初是在 16 世纪用于出售船只,并从决定拍卖开放期的 “一寸蜡烛” 中得名。

专访西安灵动创始人晏梓桐:分布式存储行业市场空间可达数千亿元

2020年,“新基建”绝对是中国最热的产业政策之一。 2020年3月4日,中共中央局常委会提出要发力于科技端的新型基础设施建设,拉开“新基建”序幕。随后中央开始密集部署,再传递到资本市场,“新基建”一时间炙手可热。2020年4月20号发改委公布了新基建范围,“区块链”入选。

金色观察丨yearn.finance上托管资金真的安全吗?

金色财经 区块链8月10日讯  DeFi收益聚合平台yearn.finance在今年七月中旬发行了治理代币YFI,该代币因为发行公平且分配广泛而受到社区称赞,yearn.finance也因此人气暴涨。然而与此同时,也有人对于该平台上的托管资金安全和中心化问题产生了质疑。

一文说透联盟链落地与激励机制

本文研究联盟链的落地及配套激励措施。结论是,联盟链具有效率及可扩展性高的优势,但是需要建立良好的利益分配机制才能吸引企业加入。建议联盟链以双层治理架构组成 : 底层是基于股权的合资公司,上层是基于 Token 的合作联盟。 区块链虽然被视为去中心化的创新变革,但最终目的是要建立一个能够由各节点长久协作的生态。