據 PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生23 起較為突出的安全事件,危害程度評級為「中級」,受損金額數十億元,涉及 DeFi 2 起、交易所 6 起、公鏈 1 起、勒索相關 3 起,詐騙跑路8 起等。
DeFi 安全
5 月份共發生2 起 DeFi 安全事件,具體如下:
1)5 月 7 日,路印協議(Loopring)出現一個嚴重的前端錯誤,密鑰素材被設置在一個 32 位整數的範圍,可以窮舉找出所有用戶密鑰對。該漏洞由於用戶的 EdDSA 密鑰對實際被限制在了一個 32 位整數空間,導致駭客可以通過窮舉,找出所有用戶的 EdDSA 密鑰對。受此影響,Loopring Exchange 關停半天進行維護升級。
2)05月18日,tBTC 團隊疑似發現重大合約漏洞,於是緊急暫停充值服務並進行再審核。tBTC 是一種無需信任的,由可贖回 BTC 作為擔保的一種 ERC-20 代幣,該項目主網於 5 月15 日上線。
點評:
隨著 DeFi 項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與用戶資產的緊密聯繫,DeFi 項目的安全問題非常嚴峻。DeFi 項目方在上線之前,應當盡可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在的安全隱患。
交易所安全
5 月份共發生 6 起交易所相關安全事件:
1)據 Youbi 交易所官方消息,Youbi 自 5 月6 日開啟平台幣認購後,連續3 天遭遇大流量 DDOS 攻擊,造成服務器短時間無法訪問。
2)5 月 1 日,幣星交易所官方發佈公告稱,其網站 bitsg 及 app 遭受了不間斷的 DOSS 持續攻擊,導致某些時段無法正常登陸。
3)5月 27 日,LMEX 聯交所在社群發布關於交易所營運調整通知稱:平台遭駭客入侵被盜損失了15 萬枚 USDT,致使平台資不低債,目前已關閉充提。
4)近期有媒體爆料稱,富比特交易所鄭州辦公室人去樓空,在遭到投資者質疑之後,富比特官方發出公告稱資不抵債,並且推出了清償方案。
5)去年年底 Upbit 交易所被盜損失3.4 萬個ETH,近半年時間,駭客對被盜資產採取多渠道洗錢操作,近日已基本清洗完畢。
延伸閱讀:韓國Upbit遭駭: 34.2 萬以太 (15億台幣) 從交易所轉出
6)UEX 交易所官方發布通知稱: 平台遭遇駭客攻擊,需要 5 天左右時間修復與核實數據,數據庫修復期間,平台關閉充提,關閉內部轉帳。
點評:
針對層出不窮的交易所安全事件,交易所應使用更加安全的防範系統,類似 DDoS 攻擊,交易所可配置多台備用機器,避免單點故障給系統帶來的風險。除此之外,也不排除存在部分小交易所,以遭攻擊之名行「跑路」之實的惡意行為。
公鏈安全
5 月份共爆出 1 起較為嚴重的公鏈安全問題:
1)石榴礦池(6block)技術人員發現 Filecoin 代碼中的嚴重漏洞,通過該漏洞可以實現 Filecoin 的無限增發。石榴礦池表示,為了證明漏洞的有效性,6Block 旗下的三個礦工帳號 t01043、t027999、t0234783 通過該漏洞已實現 16 億 Filecoin 的增發,佔據了 Filecoin 富豪榜前三名。6Block 團隊獨立發現並向 Filecoin 官方匯報了該漏洞,目前正積極協助官方完成漏洞修復。
點評:
公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,避免因漏洞威脅影響公鏈生態。
勒索相關
5 月份還發生了3 起典型的勒索事件 ,例如:
1)援引俄羅斯媒體 RBC 報導稱,匿名駭客獲取了超過 1.29 億俄羅斯車主的數據,並將其暴露在暗網上,勒索以獲取加密貨幣。
2)據報導,Grubman Shire Meiselas & Sacks 受到 REvil 勒索軟體(也被稱為Sodinokibi)的攻擊,攻擊者威脅要分 9 次發布高達 756 GB 的被盜數據。被盜數據包括保密合約、電話號碼、電子郵件地址、個人通信、保密協議等。
3)網路安全公司 Group-IB 發出警告稱,最近幾個月出現了一種新型勒索軟體 ProLock,依靠Qakbot 銀行木馬發起攻擊。受害者包括地方政府、金融、醫療和零售機構。Group-IB 稱,該勒索軟體攻擊要求總計支付 35 枚比特幣的贖金,目前價值337,750美元。
延伸閱讀:歐洲爆連續駭客攻擊: 數國超級電腦被植入惡意挖礦程式,偷挖門羅幣
點評:
勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
詐騙跑路事件
除上述之外,5 月份還發生了多起詐騙跑路事件值得警惕,例如:
1)中國浙江省東陽市檢察院對一起數位貨幣詐騙案提起公訴,詐騙金額達3.8 億元,被害人3,000多名。該詐騙集團通過微信、QQ 等方式拉攏客戶,謊稱投資數字貨幣可以獲取高額回報為誘餌,誘導客戶到公司開發的數字貨幣交易平台進行投資。
2)有騙子冒充波場創始人孫宇晨,以與 TRON 達成合作夥伴關係為幌子,企圖從毫無戒心的受害者那裡竊取錢財。
3)中國安徽省馬鞍山市警方抓捕一名潛逃至東鄉區的電信詐騙犯饒某。犯罪嫌疑人饒某在2019 年至2020 年期間,夥同他人多次在境外「SABCT投資平台」對受害人以誘導投資虛擬貨幣為由實施詐騙七百餘萬元。
4)孫某等人營運「超級錢包」APP,誘惑用戶存入代為託管,而後關閉平台侵吞虛擬貨幣。目前孫某等人已被中國福建省莆田市涵江檢察院依法逮捕。該案系利用虛擬貨幣平台進行詐騙的新類型犯罪案,為涵江區出現的首例虛擬貨幣詐騙案件。
5)有詐騙者正在利用知名人士的影像在 Youtube 平台直播,同時放出比特幣地址進行詐騙。目前發現的有 Social Capital 的創始人兼CEO Chamath Palihapitiya 、微軟總裁Brad Smith,以及小米創始人雷軍等。
延伸閱讀:5,000 枚比特幣減半前大放送!? 打著蘋果共同創辦人、富爸爸作者的詐騙直播
6)近日山東省淄博警方破獲了一起公安部督辦的網路平台投資詐騙案。詐騙團伙以投資虛擬貨幣獲高息為誘餌,讓中國 20 多個省份的 300 多人上當,涉案金額高達1 億之多。
點評:
因用戶認知意識欠缺,不法分子常設計一些投入低、高回報的龐氏騙局,並利用人們的逐利心理,層層設套。那些屢見不鮮,利用高利息回報的資金盤、理財錢包等各類騙局實施的詐騙就是典型。
其他安全事件
1)騰訊安全威脅情報中心檢測到 H2Miner 木馬利用 SaltStack 遠程命令執行漏洞入侵企業主機進行挖礦。
2)安全公司 Red Canary 最近發現,駭客組織 BlueMockingBird 瞄準了數千台企業電腦,非法開採加密貨幣。據悉,駭客特別針對運行 ASP 的面向公眾的伺服器,在獲得訪問伺服器的權限後,駭客下載並安裝門羅幣挖掘應用程序 XMRRig。
3)英國、德國和瑞士等歐洲各地的多台超級計算機本週已被加密貨幣挖掘惡意軟體感染,並已關閉以調查入侵事件。據報導,攻擊者似乎通過破壞 SSH 憑證獲得了訪問超級計算機集群的權限,一旦攻擊者獲得訪問權限,就會利用 CVE-2019-15666 漏洞繼而部署挖掘門羅幣(XMR)的應用程序。
點評:
因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
相關報導
Defi|BlockFi 遭遇SIM卡駭客,「用戶信箱, 通訊地址, 出生日期洩漏」但資金皆安全
資安報告|DeFi 樂高下的米蘭諾鬆塔:Uniswap 和 Lendf.Me 遭駭始末
三大冷錢包商被駭?Trezor、Ledger、KeepKey 驚傳逾 8 萬位用戶資料遭拍賣!
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
