PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生32 起較為突出的安全事件,危害程度評級為「中級」,涉及DeFi 5 起、錢包安全2 起,公有鏈安全3 起,交易所相關2 起,勒索相關4 起,詐騙跑路16 起等。
(相關新聞:趁萬點銷贓「80億」比特幣?4 年前 Bitfinex 被盜事件駭客也跟上牛市,凌晨轉移2,250BTC)
(重大事件:砸盤危機解除!中國公安破獲PlusToken「400億人民幣」虛擬貨幣詐騙,27名關鍵罪嫌全遭逮捕)
DeFi 安全
7月份共發生5 起DeFi 相關安全事件,具體如下:
1)加密貨幣項目Vether(VETH)遭到閃貸攻擊,其Uniswap資金池耗盡919299 VETH,價值約合90萬美元,而且整個攻擊成本僅有0.9ETH,約合200美元。
補充資訊:Defi 新手入門|一文看懂 Uniswap,什麼是以太坊上的「代幣交換協議」
2)知名區塊鏈安全研究員 Sam Sun 在小組討論中表示,自己似乎發現一種盜取yearn.finance yusdc資金池資金的方法。
yearn.finance官方回應稱這個問題已經得到解決,但依然提示用戶暫時不要投入資金。
7月26日,yearn.finance公佈V2 版本的更新將添加USDC合約的資金池,但V2版本還沒有完全部署,尚在實驗測試階段,官方也已經提示該合約仍為實驗性質且具有高度風險,建議不要立即投入資金。
補充知識:DeFi 專欄|一文帶你解析「新型態」流動性挖礦,暴漲100倍的 yearn 和 mStable
3)samczsun在yearn.finance新部署的yVault中發現了一個漏洞,初步分析是由於flashloan 中產生滑點導致。
4)網路安全公司OpenZeppelin已發布Compound的開放式預言機(Open Oracle)集成Uniswap V2的審計報告。
指出,開放式預言機旨在允許受信任的匯報者在鏈上發布一系列資產價格,這些價格將以Uniswap V2的市場價格作為基礎,發布價格的人只能在一定程度上偏離Uniswap V2的價格(具體由部署者決定),這可以很大程度上限制匯報者操縱預言機的權力。
5)DeDi入口網站DefiPrime識別了目前最流行的DeFi騙局:Uniswap上的偽造代幣列表。
騙子正試圖在目標協議實際推出其加密貨幣之前,在Uniswap上列出“官方”協議代幣。
DefiPrime至少確定六個被這些詐騙者鎖定的協議:Uniswap、Tornado Cash、BZRX(Fulcrum)、Curve、dYdX 和1inch。甚至已經有人因此受騙。
PeckShield點評:
隨著DeFi項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與用戶資產的緊密聯繫,DeFi項目的安全問題非常嚴峻。
由於各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平台交互的過程中出現安全問題,進而腹背受敵。
PeckShield在此建議,DeFi項目方在上線之前,應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
延伸閱讀:台灣又一資金盤跑路?比特幣搬磚套利 ENai 稱遭駭客攻擊,外傳恐已捲款潛逃
延伸閱讀:Abra 遭美國政府狙擊啟發|就像 SEC 扼殺了 ICO,DeFi 成下一個目標 ?
數位錢包安全
7月份共發生2 起錢包安全事件:
1)加密貨幣錢包服務商ZenGo表示,其在Ledger、BRD和Edge等市場主流的一些錢包中發現了一個漏洞,該漏洞允許攻擊者欺騙用戶,讓用戶以為自己收到了比特幣,但實際上他們並沒有收到。ZenGo將這一漏洞命名為“BigSpender”,攻擊手法定義為“雙重支出攻擊”。
2)研究人員發現了一種新的木馬,這種木馬針對在macOS上使用交易程序的交易者。該木馬使用惡意軟件GMERA,被整合進貌似無毒的應用中,再從使用者的錢包中偷取代幣。
PeckShield點評:
數字錢包作為管理私鑰的工具,是離加密資產最近的地方。
雖然冷錢包是一種脫離網路連接的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,用戶也要謹防網路釣魚,惡意代碼注入等攻擊方式。
公有鏈安全
7月份共發生3 起公鏈相關安全事件:
1)7月3日,CryptoScope團隊發現Ravencoin(RVN)區塊鏈存在漏洞,經過rvn首席開發團隊確認後已發布了緊急更新。據悉,該漏洞可生成額外的RVN,但是不會影響或控制已經存在的RVN資產。
由於該漏洞造成了RVN總量比原計劃多出了1.5%,並且漏洞產生的RVN已經流入市場,因此無法進行回滾等操作。
事件補充:幣安 CZ 曾公開支持!烏鴉幣 Ravencoin 遭駭:3 行程式碼碼憑空鑄幣,駭客得手 570 萬美元 RVN
2)Polkadot 共同創辦人Gavin Wood稱雪崩協議類似一個中心化的Cosmos,由選出來的重疊的驗證人組充當了子網安全性。
這將導致整個系統內各個鏈間的安全性有極大的不均。跨分片攻擊是可行的,因為來自一個(低安全性)鏈的消息可以導致另一個(更安全的)子網上的狀態遷移。
這樣一來整個網路的安全性就等同於安全性最差的那個鏈。
綜上,雪崩協議並不安全,也不具備可拓展性。
補充資訊:動區專題|5 分鐘看懂「跨鏈的未來解決方案」波卡 Polkadot
3)Bitcoin Gold的開發人員團隊已經阻止了針對網路的“極長的攻擊鏈”。
根據開發團隊的說法,攻擊者於7月1日從採礦服務提供商NiceHash租用了哈希功能,並秘密開采了一條替代鏈(本質上為網路創建了新的交易記錄)持續了近10天,在此過程中挖掘了1,300多個區塊。
7月10日,攻擊者發布了秘密鏈,以試圖收集8,000多枚比特幣黃金,但是,由於比特幣黃金團隊及早發現了攻擊,並就潛在的攻擊向礦池和交易所發出了警告,從而挫敗了攻擊者。
PeckShield點評:
公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。
交易所相關
7月份共發生2 起交易所相關安全事件:
1) OKCoin官方發推稱,OKCoin網站遭遇兩波DoS攻擊,致使用戶近四小時無法登入網站。所幸,所有客戶資產是安全的,移動應用程序和API正常運行。
2)英國加密貨幣交易所Cashaa表示,駭客從其中一個錢包中竊取了超過336枚比特幣。目前,該交易所已停止所有與加密有關的交易。
PeckShield點評:
駭盜取資產後實施洗錢,不管過程多周密複雜,一般都會把交易所作為套現通道的一部分。
這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求,交易所應加強AML反洗錢和資金合規化方向的審查工作。詳情可瀏覽www.coinholmes.com了解。
勒索相關
7月份共發生4 起勒索相關安全事件:
1)跨國科技公司Garmin 被俄羅斯網路犯罪團伙Evil Corp 勒索了1000萬美元的贖金,需以加密貨幣支付。Garmin 匿名員工證實,WastedLocker勒索軟件破壞了該公司的客戶支持服務、導航解決方案等。
2)跨平台數據庫公司MongoDB遭受了網路攻擊,駭客團伙通過擦除其內容滲透了22,900個不安全的數據庫。駭客要求每個數據庫支付0.015 BTC(約合140美元),因此要求的總金額超過320萬美元。
3)英國足球聯賽俱樂部被勒索軟件盯上,其公司安全系統被破壞。攻擊者要求的贖金金額為400 BTC(約366萬美元)。
據悉,由於俱樂部拒絕付款,導致其存儲的數據丟失。
根據該研究,對英國體育組織的攻擊中約有40%與惡意軟件有關,其中四分之一與勒索軟件有關。
4)烏克蘭安全局(SSU)拘留了兩名要求獲得比特幣,否則將炸毀該國首都建築物的恐怖分子。
根據SSU的帖子,兩名60歲男子在基輔的一棟公寓樓上張貼了紙條,揚言如果其比特幣地址未收到50枚比特幣,就會炸毀該建築物或另一棟建築。
PeckShield點評:
勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
詐騙跑路事件
除上述之外,7 月份還發生了多起詐騙跑路事件值得警惕,例如:
1)四年前攻擊Bitfinex 交易所的駭客再次出現,從當時偷走的加密貨幣中轉移了448.72枚BTC,價值近500萬美元。當時Bitfinex被駭損失近7200萬美元。
事件補充:趁萬點銷贓「80億」比特幣?4 年前 Bitfinex 被盜事件駭客也跟上牛市,凌晨轉移2,250BTC
2)7月22日,加密公司Veritaseum 首席執行官Reggie Middleton 對電信運營商T-Mobile 發起訴訟,指控其通過一系列“交換SIM卡(simo -swap)”攻擊,竊取了價值870萬美元的加密貨幣。
3) 7月16日,包括比爾·蓋茲(Bill Gates)、歐巴馬(Obama)、伊隆馬斯克(Elon Musk),蘋果官方帳號等在內的諸多推特帳號被駭客攻擊並發布比特幣釣魚信息。
經查詢駭客留在推特上的地址發現,該地址目前已經收到了12.86枚比特幣。
事件補充:推特真相報告|官方證實:「社交工程」駭客手法得手,130 個名人 Twitter 受害
事件補充:推特大浩劫!歐巴馬 比爾蓋茲 馬斯克 拜登 Uber..等世界名人帳號遭駭,全發文推廣比特幣詐騙
4)白帽駭客Harry Denley在成功侵入了一個加密貨幣網路釣魚騙局的數據庫後,成功截獲了價值1.6萬美元的ETH和DEC,並已將這些加密貨幣返還給其合法所有者。
5)區塊鏈公司Veritaseum首席執行官ReggieMiddleton已起訴美國電信運營商T-Mobile,稱該公司因嚴重過失並未能保護其客戶,使得駭客進行了一系列SIM劫持攻擊,導致價值870萬美元的加密貨幣失竊。
6)中國駭龍江省牡丹江市公安局反詐中心與海林市公安局經過兩個多月縝密偵查,成功偵破涉案金額100餘萬元的特大虛擬貨幣電信詐騙案,跨省抓獲7名犯罪嫌疑人。
7)近日,中國灌雲警方深挖徹查、快速出擊,先後抓獲利用區塊鏈投資詐騙嫌疑人楊某等人,成功搗毀該團伙位於河南鄭州的犯罪窩點,查扣電腦、手機、硬盤等作案電子設備,涉案金額達29萬元。
據調查,2019年期間,楊某通過其所購買“百業鏈”APP,誘騙會員在軟件上投資區塊鏈,承諾購買“礦機”後,可通過挖幣、兌幣、交易的方式獲取高額回報。
8)韓國蔚山地方法院刑事審判員金正錫14日表示,涉嫌謊稱“人工智慧(AI)通過交易比特幣獲得收益”,從投資者處騙取68億韓元的5人犯罪團伙被判處有期徒刑和罰款。
2018年1月至9月期間,他們以投資名義共獲得了944次共計68億多韓元贓款。
9)虛構柬埔寨“西港特區”投資項目,虛構亞泰坊“數位貨幣”,引誘他人加入傳銷組織。短短6個月,就發展下線層級108層,吸納會員註冊帳號67萬個,涉案金額達8.14億元。
10)中國浙江溫州甌海警方破獲全國首例利用區塊鏈“智能合約”犯罪案件,搗毀兩處作案窩點,抓獲犯罪嫌疑人10名,扣押查封邁凱倫、法拉利等豪華轎車及房產,涉案金額高達億餘元。
11)一個名為“Keeper”的駭客團伙建立了一個網路,從570多個電子商務網站竊取信用卡數據。
自2017年以來,該組織通過在暗網出售信用卡信息而獲得了超過700萬美元的加密貨幣。
12)雲算力平台Miningzoo疑似跑路。
該平台偽造大量信息,包括偽造獲得知名VC策源創投投資的信息。
截止到7月6日,仍然大量投資者無法提取在平台投資雲算力獲得的加密貨幣,一些投資者準備報案處理。
13)駭客利用遊戲Runescape的漏洞進行雙花攻擊獲取了數兆的遊戲幣,價值超25萬美元,並利用這些資金購買比特幣。
14)亡命徒(Outlaw)殭屍網路已造成國內約2萬台Linux服務器感染,影響上萬家企業。此次攻擊傳播的母體文件為dota3.tar.gz,推測為亡命徒(Outlaw)殭屍網路木馬的第3個版本,母體文件釋放shell腳本啟動對應二進製程序,kswapd0負責進行門羅幣挖礦,tsm32 、tsm64負責繼續SSH爆破攻擊傳播病毒。
15)有假冒Ripple CEO Brad Garlinghouse的非法人員在Change.org上發起請願,該請願包含了假冒的XRP空投內容。
這個“請願”分享了一個到可疑網站的連結,該網站邀請所有空投參與者將他們的XRP發送到一個可以保證獲得100%利潤的特殊地址。
16)近日,按照中國公安部統一指揮部署,公安機關立案偵辦“Plus Token平台”網路傳銷案,先後將潛逃境外的全部27名主要犯罪嫌疑人和該案82名骨干成員抓捕歸案,徹底摧毀了這一盤踞境海內外的特大跨國網路傳銷組織。
該案系公安機關偵破的首起以比特幣等數位貨幣為交易媒介的網路傳銷案,涉及參與人員200餘萬人,層級關係多達3000餘層,涉案數位貨幣總值逾400億元。
事件補充:砸盤危機解除!中國公安破獲PlusToken「400億人民幣」虛擬貨幣詐騙,27名關鍵罪嫌全遭逮捕
PeckShield點評:
因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
相關報導
「再破萬點,王者歸來」分析師:牛市開始,比特幣將上看 50,000 美元!
重磅!美國聯邦法院判定「比特幣就是貨幣!」被告無照經營”匯款業務”(D.C)
烏克蘭警察「遭國家安全局逮補」,涉嫌索賂 15 萬元等值比特幣|虛擬貨幣犯罪
美國貨幣監管署 :「銀行」可提供加密貨幣託管服務,比特幣聞訊大漲5% (OCC)
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
