据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生23起较为突出的安全事件,危害程度评级为「中级」,受损金额数亿元,涉及DeFi2起、交易所6起、公链1起、勒索相关3起,跑路8起等。DeFi安全
5月份共发生2起DeFi安全事件,具体如下:1)05月07日,路印协议出现一个严重的前端错误,密钥素材被设置在一个32位整数的范围,可以穷举找出所有用户秘钥对。该漏洞由于用户的EdDSA密钥对实际被限制在了一个32位整数空间,导致黑客可以通过穷举,找出所有用户的EdDSA密钥对。受此影响,LoopringExchange关停半天进行维护升级。2)05月18日,tBTC团队疑似发现重大合约漏洞,于是紧急暂停充值服务并进行再审核。tBTC是一种无需信任的,由可赎回BTC作为担保的一种ERC-20代币,该项目主网于05月15日上线。PeckShield点评:随着DeFi项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi项目的安全问题非常严峻。PeckShield在此建议,DeFi项目方在上线之前,应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。交易所安全
万向区块链邹传伟:区块链兼有信息互联网和价值互联网的功能:万向区块链首席经济学家邹传伟表示,很多研究者把区块链称为价值互联网。这个说法不全对。区块链实际上兼有信息互联网和价值互联网的功能。区块链应用于供应链管理、防伪溯源、精准扶贫、医疗健康、食品安全、公益和社会救助等场景,主要体现区块链作为信息互联网的功能,是用公共账本来记录区块链外商品、药品、食品和资金等的流向,让上下游、不同环节相互校验,穿透信息“孤岛”,让全流程可管理。这类应用在很多场合也被称为“无币区块链”,它们共同的关键特征是:区块链本身不涉及价值流转(指资产产权或风险转移),而是记录区块链外的价值流转。(新浪财经)[2020/7/1]
5月份共发生6起交易所相关安全事件:1)据Youbi交易所官方消息,Youbi自05月06日开启平台币认购后,连续3天遭遇大流量DDOS攻击,造成服务器短时间无法访问。2)05月01日,币星交易所官方发布公告称,其网站bitsg及app遭受了不间断的DOSS持续攻击,导致某些时段无法正常登陆。3)05月27日,LMEX联交所在社群发布关于交易所运营调整通知称:平台遭黑客入侵被盗损失了15万枚USDT,致使平台资不低债,目前已关闭充提。4)近期有媒体爆料称,富比特交易所郑州办公室人去楼空,在遭到投资者质疑之后,富比特官方发出公告称资不抵债,并且推出了清偿方案。5)去年年底Upbit交易所被盗损失3.4万个ETH,近半年时间,黑客对被盗资产采取多渠道操作,近日已基本清洗完毕。6)UEX交易所官方发布通知称:平台遭遇黑客攻击,需要5天左右时间修复与核实数据,数据库修复期间,平台关闭充提,关闭内部转账。PeckShield点评:针对层出不穷的交易所安全事件,交易所应使用更加安全的防范系统,类似DDoS攻击,交易所可配置多台备用机器,避免单点故障给系统带来的风险。除此之外,也不排除存在部分小交易所,以遭攻击之名行“跑路”之实的恶意行为。公链安全
万向区块链联合中化等7家企业将发布《能源石化交易行业区块链应用白皮书》:5月12日消息,万向区块链宣布联合中化集团下属中化能源科技有限公司、中国石油国际事业有限公司、中远海运能源运输股份有限公司、招商局能源运输股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、麦格理集团 7 家企业共同编写《能源石化交易行业区块链应用白皮书》,白皮书将于5月15日正式发布。万向区块链表示与其他编写单位,从行业参与者的视角,结合在能源石化行业区块链技术应用中的探索经验,阐述了各方对区块链技术创新与能源石化交易行业生态重塑的展望。(万向区块链)[2020/5/12]
5月份共爆出1起较为严重的公链安全问题:1)石榴矿池技术人员发现Filecoin代码中的严重漏洞,通过该漏洞可以实现Filecoin的无限增发。石榴矿池表示,为了证明漏洞的有效性,6Block旗下的三个矿工账号t01043、t027999、t0234783通过该漏洞已实现16亿Filecoin的增发,占据了Filecoin富豪榜前三名。6Block团队独立发现并向Filecoin官方汇报了该漏洞,目前正积极协助官方完成漏洞修复。PeckShield点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。勒索相关
万向区块链邹传伟:在DC/EP中区块链用于数字货币的确权登记 居于辅助地位:万向区块链首席经济学家邹传伟表示,支付系统(乃至金融基础设施)分为账户范式和Token范式,前者以银行账户体系为代表,后者以区块链为代表。邹传伟分析认为:DC/EP发行登记子系统由中央银行负责维护,是中心化的,不需要运行共识算法,这样就不会受制于区块链的性能瓶颈。在DC/EP中,区块链用于数字货币的确权登记,居于辅助地位,比如网上验钞功能。邹传伟也曾表示,DC/EP和现金的投放路径类似,二元体系设计考虑了商业银行利益,预计会进一步推动商业银行去拓展零售支付和零售业务。(中国经营网)[2020/4/26]
5月份还发生了3起典型的勒索事件,例如:1)援引俄罗斯媒体RBC报道称,匿名黑客获取了超过1.29亿俄罗斯车主的数据,并将其暴露在“暗网”上,勒索以获取加密货币。2)据报道,GrubmanShireMeiselas&Sacks受到REvil勒索软件的攻击,攻击者威胁要分9次发布高达756GB的被盗数据。被盗数据包括保密合同、电话号码、电子邮件地址、个人通信、保密协议等。3)网络安全公司Group-IB发出警告称,最近几个月出现了一种新型勒索软件ProLock,依靠Qakbot银行木马发起攻击。受害者包括地方政府、金融、医疗和零售机构。Group-IB称,该勒索软件攻击要求总计支付35枚比特币的赎金,目前价值337,750美元。PeckShield点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索。跑路事件
金色财经现场报道,万向区块链首席技术官:完全没有中心是没有效率的:在新金融100人主题论坛上,金色财经现场报道,在新金融100人主题论坛上,万向区块链首席技术官罗荣阁表示,完全没有中心是没有效率的,而中心化却存在垄断,通过点对点加共识算法的多中心化才能符合解决博弈主体之间所存在的问题。[2018/4/27]
除上述之外,5月份还发生了多起跑路事件值得警惕,例如:1)浙江省东阳市检察院对一起数字货币案提起公诉,金额达3.8亿元,被害人3,000多名。该集团通过微信、QQ等方式拉拢客户,谎称投资数字货币可以获取高额回报为诱饵,诱导客户到公司开发的数字货币交易平台进行投资。2)有子冒充波场创始人孙宇晨,以与TRON达成合作伙伴关系为幌子,企图从毫无戒心的受害者那里窃取钱财。3)安徽省马鞍山市抓捕一名潜逃至东乡区的电信犯饶某。犯罪嫌疑人饶某在2019年至2020年期间,伙同他人多次在境外“SABCT投资平台”对受害人以诱导投资虚拟货币为由实施七百余万元。4)孙某等人运营“超级钱包”APP,诱惑用户存入代为托管,而后关闭平台侵吞虚拟货币。目前孙某等人已被福建省莆田市涵江检察院依法逮捕。该案系利用虚拟货币平台进行的新类型犯罪案,为涵江区出现的首例虚拟货币案件。5)有者正在利用知名人士的影像在Youtube平台直播,同时放出比特币地址进行。目前发现的有SocialCapital的创始人兼CEOChamathPalihapitiya、微软总裁BradSmith,以及小米创始人雷军等。6)近日山东省淄博破获了一起部督办的网络平台投资案。团伙以投资虚拟货币获高息为诱饵,让全国20多个省份的300多人上当,涉案金额高达3,000多万元。7)在一些电子邮件中,子假冒奥组委成员,并要求人们向一个“属于国际奥委会”的比特币(BTC)加密钱包捐款。8)CoinCorner报告称,GoogleAds为模仿CoinCorner的网络钓鱼克隆网站CoinCornerr.com投放了广告。PeckShield点评:因用户认知意识欠缺,不法分子常设计一些投入低、高回报的庞氏局,并利用人们的逐利心理,层层设套。那些屡见不鲜,利用高利息回报的资金盘、理财钱包等各类局实施的就是典型。其他安全事件
动态 | PeckShield: EOS竞猜游戏FarmEOS再遭交易阻塞攻击,block.one正修复:今天下午15:43-16:03之间,PeckShield安全盾风控平台监测到黑客向EOS竞猜类游戏FarmEOS发起连续攻击,成功获利数千个EOS。PeckShield安全人员分析认为,此次黑客攻击采用的是交易阻塞攻击,和13日凌晨攻击FarmEOS的为同一黑客。01月11日,PeckShield安全团队率先监测到EOS主网存在致命拒绝服务漏洞(CVE-2019-6199),并紧急联系了block.one团队实施修复。过去几天内,黑客利用此漏洞向多款EOS竞猜游戏发起攻击,共造成开发者损失超8000个EOS。目前,block.one团队表示正在实施升级修复,PeckShield安全团队会在官方升级后第一时间公开漏洞详细细节。[2019/1/15]
1)腾讯安全威胁情报中心检测到H2Miner木马利用SaltStack远程命令执行漏洞入侵企业主机进行挖矿。2)安全公司红RedCanary最近发现,黑客组织BlueMockingBird瞄准了数千台企业电脑,非法开采加密货币。据悉,黑客特别针对运行ASP的面向公众的服务器,在获得访问服务器的权限后,黑客下载并安装门罗币挖掘应用程序XMRRig。3)英国、德国和瑞士等欧洲各地的多台超级计算机本周已被加密货币挖掘恶意软件感染,并已关闭以调查入侵事件。据报道,攻击者似乎通过破坏SSH凭证获得了访问超级计算机集群的权限,一旦攻击者获得访问权限,就会利用CVE-2019-15666漏洞继而部署挖掘门罗币的应用程序。PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。