盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

2020 年 9 月盘点

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

据成都链安『安全态势感知系统』(Beosin-Eagle Eye)数据监测显示:

2020 年 9 月,在区块链领域,多类型安全事件频繁发生,整体形势不容乐观。根据不完全统计,本月出现的典型安全事件超过 44 起,相比上个月有所增加,成为今年历史最高。

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

区块链行业起步不久,技术发展整体处于探索阶段。特别是,随着 DeFi 的市场走红,各种项目雨后春笋般崛起,技术底层、逻辑结构等诸多方面的铺设相对薄弱,安全风险漏洞极易出现。因此,对于区块链生态的每个环节而言,安全问题都必须放在首位,不容忽视。

交易所方面

共发生 『6』起较典型的安全事件

01

9 月 2 日,首尔警方对韩国规模最大的加密货币交易所 Bithumb 进行搜查。该交易所被指控预售其价值 300 亿韩元的 BXA 代币,但从未将其上市,让投资者遭受损失。

02

欧洲交易所 ETERBASE 于周一晚间被盗,涉及 BTC、ETH/ ERC-20、XRP、TRX、XTZ 和 ALGO 相关的六个地址。该交易所没有透露黑客攻击造成的具体损失金额,但根据 The Block Research 的统计,该交易所热钱包损失超 500 万美元。相关情况已报告给执法部门,该交易所正在密切配合调查。后续跟踪资金转移情况发现,目前大部分被盗资金在币安等交易所。

03

日本加密货币交易所 Fisco 在美国法院提起了针对币安(Binance)的诉讼。Fisco 声称,在 2018 年 Zaif (现已被 Fisco 收购)遭遇黑客入侵丢失 6300 万美元的加密货币后,币安为黑客洗钱提供了便利。

04

英国加密交易所 Covesting 发推称,作为对库币安全漏洞的回应,以及保护受影响的 COV 代币持有者,Covesting 团队已经冻结被举报地址中的 COV 代币(共计 3,126,692 枚,价值 560522 美元)。

05

斯洛伐克加密货币交易所 Eterbase 遭受黑客攻击,共计有 540 万美元的数字货币被盗。交易所称,其六个热钱包已被盗用,并且虹吸了比特币,以太坊,Ripple,Algorand,Tezos 和 Tron 的资金。

06

据库币(Kucoin)官方公告,2020 年 9 月 26 日凌晨 03:05:37 (UTC+8),官方发现了一次有计划的黑客攻击,根据目前的内部安全审计结果判断,黑客通过获取到库币早期热钱包的备份镜像发起提现攻击,通过此次攻击提走了部分热钱包中的比特币和 ERC-20 等代币,价值约 4800 个比特币,约占平台总持有资金量的 5%。

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

DeFi 方面

共发生 『14』 起较典型的安全事件

01

ZenGo 的研究人员已正确披露了在 Diogenes 协议证明中发现的漏洞。该证明旨在为以太坊 2.0 随机信标链的可验证延迟函数(VDF)提供原始熵。

02

以太坊账户疑遭遇 Gas Price 攻击,损失 115 个 ETH。该用户从交易所提现 115.299 个 ETH 到以太坊账户,到账后被莫名其妙迅速转出到另一个账号。蹊跷的是对方实际只收到 6.46 个以太坊,而转账的 Gas 费用却高达 108.83 个以太坊,约 36 万人民币。

03

SushiSwap 仿盘 YUNo Finance (YUNO) 与 KIMCHI.finance (KIMCHI) 智能合约均存在漏洞。智能合约拥有者可以利用漏洞,无限制地增发项目对应的代币数目,继而导致通胀并最终崩溃。

04

9 月 3 日晚间,以太坊研发者 Philippe Castonguay 发推称,DeFi 项目 BaconSwap 和 shroom.finance 均存在时间锁定漏洞,将允许项目所有者在没有时间锁定的情况下无限增发代币。

05

Blockstream Research 团队宣布已经开发出一种解决方案 MuSig-DN,可用于保护 MuSig 多签方案的用户免遭由恶意随机数生成器和虚拟机重置攻击导致的密钥泄露攻击。

06

开发人员在 SushiSwap 中发现了主要的治理缺陷,SushiSwap 似乎很容易受到漏洞的攻击,这个漏洞可以在不需要获得新代币的情况下成倍增加某人的治理能力。

07

EOS DeFi 流动性挖矿项目 EMD 合约 emeraldmine1 的大量质押资金被转移。其中,USDT 正在通过 DeFibox 币币交易等渠道进行转卖。

08

YFI 仿盘 Soft Yearn 的一名用户因 rebase 机制漏洞用 200 美元获得了 25 万美元的回报。

09

EOS 生态 DeFi 流动性挖矿项目 “珊瑚”的 wRAM 遭到黑客攻击,损失逾 12 万 EOS。截至 9 月 10 日已经有 4.6 万个 EOS 被转移至 ChangeNOW 进行洗钱。

10

9 月 14 日,bZx 官方发推特称,已经对 iToken 合约代码出现的漏洞进行修复,并且协议已恢复正常运行。

11

DeFi 稳定币协议 Lien 发布公告表示,团队的审计人员发现一个 Lien App 中的漏洞,决定暂时维护平台以防止漏洞被利用。

12

9 月 23 日消息,DeFi Pulse 周二晚在 Twitter 上表示,已识别漏洞并修复,并且已更正了历史数据。

13

9 月 23 日消息,此前被爆漏洞的 DeFi 项目 Soda 协议已于近日宣布修复漏洞,且新部署的智能合约预计 9 月 22 日 21 点生效。截至到 9 月 23 日,Soda 协议的 SoETH/WETH 资金池内尚有等值 ETH 的 2156 个 SoETH。

14

9 月 29 日,根据 bluekirbyfi 推特消息,yearn.finance 创始人 Andre Cronje 刚推出的游戏项目 Eminence (ENM)遭遇“Flash 贷款”攻击,黑客将 800 万美元的资金返还给了 yearn 部署者合约。

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

● Beosin 评论 ●

本月 DeFi 项目安全问题频繁暴露,技术代码、业务逻辑等诸多方面对 DeFi 安全而言是不可忽视的漏洞多发地带。

成都链安再次呼吁各大项目方,在项目上线之前做好安全审计工作。同时,建议投资者注意查看安全审计报告,投资前谨慎选择项目方。

诈骗跑路 / 加密骗局方面

共发生 『3』 起较典型的安全事件

01

9 月 26 日,名为 GemSwap 的 SushiSwap 仿盘项目被曝跑路,LP 被卷走。查询发现,该项目曾发推自曝其遭受了“ whatitdobb”开发者的攻击。据了解,发起攻击的开发者在流动性迁移完成之前就获得了相关许可,能够将流动池中的代币取走,具体损失尚不明确。

02

9 月 3 日,德克萨斯州证券委员会 (TSSB) 专员 Travis J. Iles 对两起名为 Forex Birds 和 PEK Universe 的加密骗局发出了紧急停牌令。他们被控欺诈发行与外汇 (forex) 和加密货币相关的证券。Forex Birds 涉嫌向投资者承诺高达 11% 的收益,其存款最高可达 100 万美元。

03

法国金融市场管理局(AMF)发布了一份新的投资网站清单,这些网站没有在该国境内运营的授权,其中包括所谓的数字资产服务提供商(DASP)。据称应用程序 BitcoinFrance 代表其客户在加密货币市场进行交易,每天产生 1000 美元的收入,且没有任何风险。很明显,这些描述带有投资欺诈的特征。

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

勒索软件 / 挖矿木马方面

共发生 『9』 起较典型的安全事件

01

腾讯安全威胁情报中心检测到新型挖矿木马家族 MrbMiner,黑客通过 SQL Server 服务器弱口令爆破入侵,爆破成功后在目标系统释放 C#语言编写的木马 assm.exe,进一步通过该木马与 C2 服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。

02

特斯拉创始人 Elon Musk 在一条推文中证实,俄罗斯男子 Egor Igorevich Kriuchkov 用 100 万美元比特币贿赂内华达州特斯拉工厂一名员工,以便在特斯拉的计算机网络上安装勒索软件。

03

阿根廷官方移民局 Dirección Nacional de Migraciones 遭遇 Netwalker 勒索软件攻击,暂时停止了出入该国的边境。黑客要求赎金 400 万美元。阿根廷政府拒绝与黑客谈判,也不会支付赎金。

04

黑客向以色列纳斯达克上市无线芯片和摄像头传感器制造商 Tower Semiconductor Ltd (TSEM)进行勒索软件攻击,并索要数十万美元比特币赎金。

05

智利三大银行之一的 Banco Estado 银行 7 日不得不关闭其全国性业务,原因是受到了 REvil 勒索软件的网络攻击。据悉,REvil 以拍卖在攻击中窃取的数据而闻名,并经常要求使用 Monero (XMR) 支付赎金。

06

动视暴雪《使命召唤:战区》的玩家抱怨帐户被盗。在某些情况下,黑客要求进行比特币支付以赎回游戏账户。黑客提供的地址迄今为止已收到 1.2 BTC。

07

巴基斯坦最大的电力生产商 K-Electric 遭遇勒索软件攻击,黑客索要约 770 万美元的比特币赎金。

08

数据中心和托管巨头 Equinix 遭到了 Netwalker 勒索软件攻击,威胁参与者要求 450 万美元购买一个解密器,以防止泄露被盗数据。

09

9 月 13 日消息,不久前,杭州市高新区(滨江)一家民营企业向公安机关报案,称有人恶意攻击该公司官网,并勒索 1 个比特币。接到报案后,侦查机关很快锁定了犯罪嫌疑人钟某。滨江区检察院以破坏计算机信息系统罪对钟某提起公诉,钟某被法院判处有期徒刑五年零六个月。

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

暗网方面

共发生 『2』 起较典型的安全事件

01

9 月 2 日消息,美国司法部于周二宣布暗网市场 AlphaBay 调解员 Bryan Connor Herrell 被判处 11 年监禁,AlphaBay 是一个可以通过 Tor 洋葱路由器路由器进入的暗网违禁品市场。违法者使用加密货币如比特币、门罗币以太坊进行交易。

02

由美国司法部、毒品和暗网联合执法小组(JCODE)和欧洲刑警组织等多个组织共同执行的打击暗网犯罪的行动中没收超 650 万美元现金和虚拟货币。

其他方面

共发生 『10』起较典型的安全事件

01

开发 BitBox 硬件钱包的瑞士公司 ShiftCrypto 透露,在 Trezor 和 KeepKey 硬件钱包中发现了一个漏洞,该漏洞允许攻击者在不靠近设备的情况下持有用户的加密货币以进行勒索。

02

瑞士硬件钱包提供商 ShiftCrypto 表示,Trezor 和 KeepKey 硬件钱包中存在一个漏洞,可能会引发潜在的赎金攻击。Trezor 硬件钱包的制造商 SatoshiLabs 向 Shift Crypto 支付了赏金,并表示在最近发布的升级中已经解决了这个问题。

03

风险投资家 Tim Draper 此前声称购买 BCH 或为乌龙事件。9 月 5 日凌晨 Tim Draper 突发推特称已购买 BCH,并对 Roger Ver 表示感谢。该条推文也引起了加密社区的关注。但 OpenNode 联合创始人 João Almeida 随后证实,Tim Draper 推特账户已被泄露。

04

9 月 9 日早间,加密浏览器 Brave 官方发推宣布,已整合网络安全公司 PhishFort 的开源解决方案,防止网络钓鱼攻击。此后 Brave 将检测加密骗局,并警告用户有关的可疑域名。

05

目前有一个比特币钱包成为了众多黑客的攻击对象,该钱包有 69370 枚 BTC,价值 7.14 亿美元。目前这个钱包还没被人破解。

06

9 月 16 日,美国司法部、美国国土安全部和美国财政部外国资产控制办公室宣布,已对两名使用复杂的网络钓鱼活动从三个不同的加密货币交易所的客户那里窃取至少 1680 万美元的俄罗斯国民实施制裁。

07

9 月 22 日,加密衍生品交易所 Deribit 发推称,凌晨遭遇 DDOS 攻击,使得平台服务器难以访问。官方正在阻止攻击。目前,DDOS 攻击已被阻止,官方已采取措施减少其他潜在问题。

08

闪电网络大额通道 wumbo 存在漏洞,使攻击者可以在几乎不费力气且零成本的情况下攻击支付通道,或导致通道瘫痪两周。

09

加密交易所 Kraken 的首席安全官 Nick Percoco 宣布,已在 Kraken 上发布了四个新的安全增强功能,将从今天开始向该交易所的所有客户开放。包括安全防护、安全检查、设备批准和设备管理,其中“设备批准”功能将特别对抗网络钓鱼攻击。

10

9 月 25 日,据外媒报道,一种名为 Alien 的新木马病毒正在攻击 Android 手机上的加密应用程序,被攻击对象包括 Coinbase、Blockchain.com 和 Luno。

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

鉴于当前区块链安全领域的新形势

『成都链安』温馨提示

从总体上看,9 月区块链安全事件较 8 月份有所增加,整体安全事件发生数量较高。区块链安全形势依然严峻。

本月 DeFi 项目仍是安全热点话题,又有许多项目的智能合约被爆出漏洞,甚至一些已经被黑客攻击利用,造成了损失。成都链安在此呼吁项目方,在进行合约代码编写时,一定要保持严谨的逻辑,在项目上线之前,寻找专业的安全公司做好安全审计工作。

此外,本月发生的诈骗跑路事件较少,但是广大用户仍然不能放松警惕,在选择项目的时候仍然需要保持谨慎,留心考察项目资质、安全审计报告等。

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

成都链安·安全实验室

出品

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』

盘点 | 成都链安:9 月典型安全事件超『44』起,整体风险评级『高』