据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生10起较为突出的安全事件,危害程度评级为「中级」,受损金额数千万元,涉及数字钱包3起、DApp2起、智能合约1起以及资金盘跑路、钓鱼等等。
数字钱包
10月份共发生3起钱包安全事件,其中包含2起钱包私钥被盗。
1)上海某投资机构冷钱包私钥被盗,造成的损失达数千万元;
2)去中心化托管平台Payfair官方发布声明称,由于黑客攻击,平台冷钱包的私钥被破解;
3)网页版加密货币钱包Safuwallet遭到黑客攻击,黑客通过注入恶意代码窃取了大量资金。
PeckShield点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。
Zksync 2.0已完成首次代码安全审计,报告显示并无重大安全问题:11月23日消息,据官方消息,Zksync 2.0网络已完成由安全机构 Open Zeppelin 负责的首次代码审计,并无重大安全问题。Zksync 表示,网络安全是 ZKsync 2.0 的首要保证,安全审计是确保 zkSync 2.0 安全的重要组成部分,官方计划在接下来的几个月内采取额外的安全措施,包括漏洞赏金、竞赛和编程马拉松等。[2022/11/24 8:02:27]
DApp?生态
10月份共发生2起DApp安全事件,都发生在EOS生态内。
EOS游戏BitDice遭受假EOS攻击,损失4千EOS;SKReos游戏遭受交易memo攻击,损失6千EOS。其中SKReos之前已被多次报道遭受交易阻塞和随机数攻击。
安全团队:paraswap部署者私钥疑似泄露,资金在多个链上被盗:10月11日消息,据Supremacy安全团队监测,2022年10月11日,paraswap部署者地址在多个链(ETH、BSC、FTM)上发起异常交易,将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。经过分析,该地址为Profanity漏洞利用者地址,其历史记录中有窃取多个靓号地址资产的痕迹。经过排查,目前只有paraswap部署者地址自身资产遭到窃取,暂不影响paraswap多签金库(签名阈值为2),但不排除其他多签地址也由Profanity生成,所以多签金库也可能存在风险。目前Supremacy团队已联系paraswap官方传达信息,在此再次呼吁大家即时将及时更换由Profanity生成的地址,针对Profanity地址的攻击仍在持续进行。[2022/10/11 10:30:53]
具体来说,假EOS攻击是被攻击合约在接收到玩家投入的EOS时,没有验证是官方eosio.token合约签发的,玩家可以自己创建同名为EOS的代币,进而触发被攻击合约的transfer函数,获得真正的EOS回报。而交易memo攻击是指黑客通过精心构造投注交易的memo,导致游戏方服务器解析异常,从而持续中奖或异常大额退款。
声音 | 牙买加证券交易所计划将安全令牌列为客户可交易资产:据coindesk消息,牙买加证券交易所(JSE)正计划将安全令牌列为客户可交易资产。JSE的加拿大技术合作伙伴Blockstation上周宣布,两家公司已经完成了为期60天的加密货币实时交易试点的第一阶段。JSE董事总经理马琳?斯特里特?福雷斯特(Marlene Street Forrest)表示,到目前为止,审判“非常顺利”,交易所对结果“非常满意”。[2019/1/24]
PeckShield点评:以上两款EOS游戏遭受的攻击都是比较常见的,DApp开发者应在合约上线前做好安全测试,防御已知的攻击方式,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。
智能合约
10月份共发生1起智能合约安全事件,相关漏洞导致其成为第一个进行硬分叉的区块链游戏。
声音 | 慢雾安全团队:区块链技术本身存在安全缺陷 可参考以太坊漏洞赏金计划实现安全:据火讯财经报道,慢雾安全团队表示,区块链技术本身存在安全缺陷,研究区块链安全的可以参考以太坊漏洞赏金计划实现安全,包括:1. 客户端协议实现安全;2. 网络安全;3. 节点安全;4. 客户端应用安全;5. 算法使用安全;6. Solidity 语言安全;7. ENS 安全。[2018/7/2]
10月14日,CheezeWizards在以太坊主网上线。不到24小时内,玩家@samczsun向官方反映,游戏合约存在一个严重的漏洞,使用该漏洞可以让玩家处于不败之地。随后CheezeWizards决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约,同时弥补了用户遭受的损失。
如下图,这一漏洞主要发生在智能合约的resolveTimedOutDuel(uint256,uint256)方法中。
作为一款格斗游戏,CheezeWizards允许玩家发起一个“单边揭示“的交易,当一位玩家已经揭示了招式,另一位玩家一直不揭示招式直到时间截止(90分钟)时,正常玩家可以调用resolveTimedOutDuel()方法,以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。
玩家正常调用和恶意调用的例子如下。
正常调用:resolveTimedOutDuel(WIZARD-A,WIZARD-B)
恶意调用:resolveTimedOutDuel(WIZARD-A,WIZARD-A)
由于合约开发者默认为传入的两个wizardid不同,所以没有进行相关效验,而该方法是公开的,任何玩家都可以设置wizardid,一个怀有恶意的玩家,通过传入相同的wizardid以此来冻结诚实玩家的能量。
修复此漏洞的方法很简单,只需要在方法体内加上如下判断。
PeckShield点评:智能合约开发者在实现相关方法时,要特别注意公开接口的相关参数,应考虑各种异常情况,做好防御限制。
跑路事件
10月份,经媒体报道多起资金盘项目涉及和,例如被立案调查的趣步,暂停维护的ICC等。
PeckShield旗下的CoinHolmes推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。
其中CoinHolmes监测到Cryptopia部分被盗资产流入了Uniswap去中心化交易所和知名DeFi项目Compound。资产流向示意图如下:
鉴于资金盘跑路事件频发,CoinHolmes为广大用户提供了爆料入口,用户可以通过提交关联链上地址,实时查询数字资产流向情况。
PeckShield点评:除了传统中心化交易所,黑客也在不断寻求新的方式,例如此次黑客转移资金至Compound,主要目的是利用DeFi借贷平台进行混淆资金,同时不排除“理财生息”的可能。除DEX之外,当前有着较好流通性的DeFi借贷平台也成了黑客的新选择。
钓鱼攻击等其他类安全事件
除上述之外,10月份还有一些安全事件同样值得警惕:
1)Telegram搬砖套利局八天内金额高达750枚ETH;
2)MEET.ONE提醒EOS用户警惕DApp钓鱼。
PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、搬砖套利等各类事件就是典型。在此提醒,参与数字资产投资的用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
11月8日-9日,由巴比特主办的“2019世界区块链大会·乌镇”在乌镇互联网国际会展中心举行。今日下午,宇链科技联合创始人兼CEO罗骁发表了题为“新一代区块链的探索与展望”的演讲.
作者:宋嘉吉 来源:国盛区块链研究院 摘要 事件:10月24日下午,中共中央局就区块链技术发展现状和趋势进行第十八次集体学习.
据Cointelegraph11月5日报道,TokenTaxonomyInitiative?公布了构建通证的标准化框架。目前,该项目已经将其通证分类框架向公众开放.
最近区块链世界发生的太多变化,无论是好的坏的,大洋彼岸的听证会、我国管理部门的备案和产业发展政策,都绕不开脸书的Libra,2019年6月18日是一个区块链世界的转折点,脸书白皮书的发布.
据Cointelegragh10月30日报道,Calibra首席执行官大卫?马库斯最近表示,Facebook提出的稳定币项目Libra的反标准将优于其他支付网络.
经过近两年时间的开发,TOPNetwork主网实现了技术上的重大突破,成为全球首条全状态分片公链,并将于11月8日在乌镇“第二届世界区块链大会”现场正式发布.