7 月区块链生态共发生 32 起较为突出的安全事件,其中诈骗跑路事件占 5 成。

原文标题:《PeckShield:7 月共发生安全事件 32 起,虚拟货币诈骗案件泛滥!》
撰文:PeckShield

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 32 起较为突出的安全事件,危害程度评级为「中级」,涉及 DeFi 5 起、钱包安全 2 起,公链安全 3 起,交易所相关 2 起,勒索相关 4 起,诈骗跑路 16 起等。

PeckShield:7 月发生 5 起 DeFi 安全事件,虚拟货币诈骗达 16 起

DeFi 安全

7 月份共发生 5 起 DeFi 相关安全事件,具体如下:

1)加密货币项目 Vether (VETH)遭到闪贷攻击,其 Uniswap 资金池耗尽 919299 VETH,价值约合 90 万美元,而且整个攻击成本仅有 0.9ETH,约合 200 美元。

2)知名区块链安全研究员 Sam Sun 在小组讨论中表示,自己似乎发现一种盗取 yearn.finance yusdc 资金池资金的方法。yearn.finance 官方回应称这个问题已经得到解决,但依然提示用户暂时不要投入资金。7 月 26 日,yearn.finance 公布 V2 版本的更新将添加 USDC 合约的资金池,但 V2 版本还没有完全部署,尚在实验测试阶段,官方也已经提示该合约仍为实验性质且具有高度风险,建议不要立即投入资金。

3) samczsun 在 yearn.finance 新部署的 yVault 中发现了一个漏洞,初步分析是由于 flashloan 中产生滑点导致。

4)网络安全公司 OpenZeppelin 已发布 Compound 的开放式预言机(Open Oracle)集成 Uniswap V2 的审计报告。指出,开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格,这些价格将以 Uniswap V2 的市场价格作为基础,发布价格的人只能在一定程度上偏离 Uniswap V2 的价格(具体由部署者决定),这可以很大程度上限制汇报者操纵预言机的权力。

5) DeDi 门户网站 DefiPrime 识别了目前最流行的 DeFi 骗局:Uniswap 上的伪造代币列表。骗子正试图在目标协议实际推出其加密货币之前,在 Uniswap 上列出「官方」协议代币。DefiPrime 至少确定六个被这些诈骗者锁定的协议:Uniswap、Tornado Cash、BZRX (Fulcrum)、Curve、dYdX 和 1inch。甚至已经有人因此受骗。

PeckShield 点评: 随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。

数字钱包安全

7 月份共发生 2 起钱包安全事件:

1)加密货币钱包服务商 ZenGo 表示,其在 Ledger、BRD 和 Edge 等市场主流的一些钱包中发现了一个漏洞,该漏洞允许攻击者欺骗用户,让用户以为自己收到了比特币,但实际上他们并没有收到。ZenGo 将这一漏洞命名为「BigSpender」,攻击手法定义为「双重支出攻击」。

2)研究人员发现了一种新的木马,这种木马针对在 macOS 上使用交易程序的交易者。该木马使用恶意软件 GMERA,被整合进貌似无毒的应用中,再从使用者的钱包中偷取代币。

PeckShield 点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。

公链安全

7 月份共发生 3 起公链相关安全事件:

1) 7 月 3 日,CryptoScope 团队发现 Ravencoin (RVN)区块链存在漏洞,经过 rvn 首席开发团队确认后已发布了紧急更新。据悉,该漏洞可生成额外的 RVN,但是不会影响或控制已经存在的 RVN 资产。由于该漏洞造成了 RVN 总量比原计划多出了 1.5%,并且漏洞产生的 RVN 已经流入市场,因此无法进行回滚等操作。

2) Polkadot 联合创始人 Gavin Wood 称雪崩协议类似一个中心化的 Cosmos,由选出来的重叠的验证人组充当了子网安全性。这将导致整个系统内各个链间的安全性有极大的不均。跨分片攻击是可行的,因为来自一个(低安全性)链的消息可以导致另一个(更安全的)子网上的状态迁移。这样一来整个网络的安全性就等同于安全性最差的那个链。综上,雪崩协议并不安全,也不具备可拓展性。

3) Bitcoin Gold 的开发人员团队已经阻止了针对网络的「极长的攻击链」。根据开发团队的说法,攻击者于 7 月 1 日从采矿服务提供商 NiceHash 租用了哈希功能,并秘密开采了一条替代链(本质上为网络创建了新的交易记录)持续了近 10 天,在此过程中挖掘了 1,300 多个区块。7 月 10 日,攻击者发布了秘密链,以试图收集 8,000 多枚比特币黄金,但是,由于比特币黄金团队及早发现了攻击,并就潜在的攻击向矿池和交易所发出了警告,从而挫败了攻击者。

PeckShield 点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。

交易所相关

7 月份共发生 2 起交易所相关安全事件:

1) OKCoin 官方发推称,OKCoin 网站遭遇两波 DoS 攻击,致使用户近四小时无法登入网站。所幸,所有客户资产是安全的,移动应用程序和 API 正常运行。

2)英国加密货币交易所 Cashaa 表示,黑客从其中一个钱包中窃取了超过 336 枚比特币。目前,该交易所已停止所有与加密有关的交易。

PeckShield 点评:黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。详情可 点击 了解。

勒索相关

7 月份共发生 4 起勒索相关安全事件:

1)跨国科技公司 Garmin 被俄罗斯网络犯罪团伙 Evil Corp 勒索了 1000 万美元的赎金,需以加密货币支付。Garmin 匿名员工证实,WastedLocker 勒索软件破坏了该公司的客户支持服务、导航解决方案等。

2)跨平台数据库公司 MongoDB 遭受了网络攻击,黑客团伙通过擦除其内容渗透了 22,900 个不安全的数据库。黑客要求每个数据库支付 0.015 BTC (约合 140 美元),因此要求的总金额超过 320 万美元。

3)英国足球联赛俱乐部被勒索软件盯上,其公司安全系统被破坏。攻击者要求的赎金金额为 400 BTC (约 366 万美元)。据悉,由于俱乐部拒绝付款,导致其存储的数据丢失。根据该研究,对英国体育组织的攻击中约有 40%与恶意软件有关,其中四分之一与勒索软件有关。

4)乌克兰安全局(SSU)拘留了两名要求获得比特币,否则将炸毁该国首都建筑物的恐怖分子。根据 SSU 的帖子,两名 60 岁男子在基辅的一栋公寓楼上张贴了纸条,扬言如果其比特币地址未收到 50 枚比特币,就会炸毁该建筑物或另一栋建筑。

PeckShield 点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗。

诈骗跑路事件

除上述之外,7 月份还发生了多起诈骗跑路事件值得警惕,例如:

1)四年前攻击 Bitfinex 交易所的黑客再次出现,从当时偷走的加密货币中转移了 448.72 枚 BTC,价值近 500 万美元。当时 Bitfinex 被黑损失近 7200 万美元。

2) 7 月 22 日,加密公司 Veritaseum 首席执行官 Reggie Middleton 对电信运营商 T-Mobile 发起诉讼,指控其通过一系列「交换 SIM 卡(simo -swap)」攻击,窃取了价值 870 万美元的加密货币。

3) 7 月 16 日,包括比尔·盖茨,奥巴马,埃隆马斯克,苹果官方账号等在内的诸多推特账号被黑客攻击并发布比特币钓鱼信息。经查询黑客留在推特上的地址发现,该地址目前已经收到了 12.86 枚比特币。

4)白帽黑客 Harry Denley 在成功侵入了一个加密货币网络钓鱼骗局的数据库后,成功截获了价值 1.6 万美元的 ETH 和 DEC,并已将这些加密货币返还给其合法所有者。

5)区块链公司 Veritaseum 首席执行官 ReggieMiddleton 已起诉美国电信运营商 T-Mobile,称该公司因严重过失并未能保护其客户,使得黑客进行了一系列 SIM 劫持攻击,导致价值 870 万美元的加密货币失窃。

6)黑龙江省牡丹江市公安局反诈中心与海林市公安局经过两个多月缜密侦查,成功侦破涉案金额 100 余万元的特大虚拟货币电信诈骗案,跨省抓获 7 名犯罪嫌疑人。

7)近日,灌云警方深挖彻查、快速出击,先后抓获利用区块链投资诈骗嫌疑人杨某等人,成功捣毁该团伙位于河南郑州的犯罪窝点,查扣电脑、手机、硬盘等作案电子设备,涉案金额达 29 万元。据调查,2019 年期间,杨某通过其所购买「百业链」APP,诱骗会员在软件上投资区块链,承诺购买「矿机」后,可通过挖币、兑币、交易的方式获取高额回报。

8)韩国蔚山地方法院刑事审判员金正锡 14 日表示,涉嫌谎称「人工智能 (AI) 通过交易比特币获得收益」,从投资者处骗取 68 亿韩元的 5 人犯罪团伙被判处有期徒刑和罚款。2018 年 1 月至 9 月期间,他们以投资名义共获得了 944 次共计 68 亿多韩元赃款。

9)虚构柬埔寨「西港特区」投资项目,虚构亚泰坊「数字货币」,引诱他人加入传销组织。短短 6 个月,就发展下线层级 108 层,吸纳会员注册账号 67 万个,涉案金额达 8.14 亿元。

10)浙江温州瓯海警方破获全国首例利用区块链「智能合约」犯罪案件,捣毁两处作案窝点,抓获犯罪嫌疑人 10 名,扣押查封迈凯伦、法拉利等豪华轿车及房产,涉案金额高达亿余元。

11)一个名为「Keeper」的黑客团伙建立了一个互连网络,从 570 多个电子商务网站窃取信用卡数据。自 2017 年以来,该组织通过在暗网出售信用卡信息而获得了超过 700 万美元的加密货币。

12)云算力平台 Miningzoo 疑似跑路。该平台伪造大量信息,包括伪造获得知名 VC 策源创投投资的信息。截止到 7 月 6 日,仍然大量投资者无法提取在平台投资云算力获得的加密货币,一些投资者准备报案处理。

13)黑客利用游戏 Runescape 的漏洞进行双花攻击获取了数万亿的游戏币,价值超 25 万美元,并利用这些资金购买比特币。

14)亡命徒(Outlaw)僵尸网络已造成国内约 2 万台 Linux 服务器感染,影响上万家企业。此次攻击传播的母体文件为 dota3.tar.gz,推测为亡命徒(Outlaw)僵尸网络木马的第 3 个版本,母体文件释放 shell 脚本启动对应二进制程序,kswapd0 负责进行门罗币挖矿,tsm32、tsm64 负责继续 SSH 爆破攻击传播病毒。

15)有假冒 Ripple CEO Brad Garlinghouse 的非法人员在 Change.org 上发起请愿,该请愿包含了假冒的 XRP 空投内容。这个「请愿」分享了一个到可疑网站的链接,该网站邀请所有空投参与者将他们的 XRP 发送到一个可以保证获得 100% 利润的特殊地址。

16)近日,按照公安部统一指挥部署,公安机关立案侦办「Plus Token 平台」网络传销案,先后将潜逃境外的全部 27 名主要犯罪嫌疑人和该案 82 名骨干成员抓捕归案,彻底摧毁了这一盘踞境内外的特大跨国网络传销组织。该案系公安机关侦破的首起以比特币等数字货币为交易媒介的网络传销案,涉及参与人员 200 余万人,层级关系多达 3000 余层,涉案数字货币总值逾 400 亿元。

PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

来源链接:mp.weixin.qq.com