安全公司:2018 年区块链全生态典型安全事件盘点

链闻看天下 2019-01-04

2018 年,是区块链发展最迅猛的一年,全球加密货币总市值一度接近 8000 亿美金。但层出不穷的漏洞,使 2018 年成为黑客最为猖獗的一年。

安全事件的频发,严重阻碍了区块链的健康发展,不仅给用户带来了不小的损失,还直接导致了许多项目的「终结」。

2018 年到底发生了哪些安全事件?

稿件来源:猎豹区块链安全

概述

2018 年,无论是安全事件的数量,还是造成的损失,都呈现指数级上升:

安全公司:2018 年区块链全生态典型安全事件盘点安全事件造成的经济损失趋势 (万美元),来源:bcsec

安全公司:2018 年区块链全生态典型安全事件盘点重大安全事件数量统计,来源:bcsec

据 Besec 统计,2018 年总计超过 20 亿美金被盗,大型事件数量超过 130 多起(平均 3 天一起),区块链用户和项目方们纷纷沦为全球 30 万黑客的「提款机」。

安全公司:2018 年区块链全生态典型安全事件盘点2018 安全事件造成的损失统计,来源:31QU

这其中,交易所的安全事件数量(56.67%)和损失的金额 (13.44 亿美元) 都高居榜首;智能合约安全安全事件极少(6.67%),但造成的经济损失比例却极高(12.4 亿美元);DApp、个人钱包、公司服务器也无一幸免。

智能合约安全

目前,区块链整体还处于低迷期,但是智能合约的发展却非常稳定,根据猎豹区块链安全中心的数据,近一个月以太坊的智能合约平均每天以 2000+的数量在增长。

智能合约漏洞虽然数量不多,但是所造成的损失是非常巨大的,这与 solidity 语言的特性有关,也与 ERC20 协议使代币发行变得便捷有关。

智能合约漏洞的 TOP10 攻击类型为:重入攻击、权限控制、整型溢出、未检查的 call 返回值、交易顺序依赖、时间戳依赖、条件竞争、短地址攻击、可预测的随机处理等。

所有智能合约事件中,最著名的当属美链事件。18 年 4 月 22 日下午,才发行两个月左右的 BEC 美蜜合约出现重大的溢出漏洞,黑客通过合约的批量转账方法无限生成代币,天量 BEC 从两个地址转出,进而引发抛售潮。当日,BEC 的价值几乎归零。损失金额超过 10 亿。

由于区块链的「代码即一切」的原则,导致目前没有有效的安全防护手段来彻底避免智能合约安全的问题。

对于智能合约的开发,更建议摒弃「敏捷开发」的理念。而采用缓慢而有条理的方法来开发智能合约,在最初设计和编码时,就尽量谨慎和考虑周全。

开发管理者也不要对开发人员太大的压力(比如制定严格的期限等),通常来说,赶出来的东西都多多少少会有问题。

另外,在上链之前,找到专业的区块链安全公司对智能合约进行安全审计是最最基础和必要的。

以下是 2018 年智能合约大事件,以及相关事件的一些细节:

(1) 2018 年 8 月 22 日,GOD.GAME 合约遭到黑客攻击,GOD 智能合约上的以太坊总量归零

(2) 2018 年 4 月 25 日,SmartMesh 出现重大安全漏洞,导致 1.4 亿美元损失

(3) 18 年 4 月 22 日下午,才发行两个月左右的 BEC 美蜜合约因为存在溢出漏洞,被黑客从两个地址不断转出代币,使 BEC 价格几乎归零,损失金额总计超过 10 亿美元。

交易所安全

据网络安全公司 CiferTrace 10 月发布的一份报告显示,2018 年前 9 个月,通过黑客入侵交易所窃取的加密货币就已达 9.27 亿美金,已经是整个 2017 年的 2.5 倍。

韩国科技部的调查报告称:「大部分交易所都存在安全漏洞。」

那么,为什么加密货币交易所安全问题层出不穷?

一方面,数字货币的匿名性,不可篡改性以及无监管特性,导致了资产转移便捷,溯源找回难度大。另一方面,数字货币交易行业出现时间短,发展又非常快,利润高,导致本来技术积累就不足的情况下,仍然忽视信息安全方面的建设,隐藏的安全漏洞多,攻击起来相对容易。甚至还有一些加密数字交易所甚至完全没有安全系统。

数字货币交易所面临的安全威胁主要包括:服务器软件漏洞、配置不当、DDoS 攻击、服务端 Web 程序漏洞(包括技术性漏洞和业务逻辑缺陷)、办公电脑安全问题、内部人员攻击等。

对于规模较大,用户较多的交易所,还会面临用户被攻击者利用仿冒的钓鱼网站骗取认证信息的问题。

而针对这些安全威胁,建议交易所在面向用户之前,先进行渗透测试,代码审计等安全服务,挖掘并修复系统存在的安全漏洞。

另外,建议交易所对所有正式入职的员工进行必要的基础的安全培训。

最后,针对数字虚拟币交易的网民,建议大家主动学习安全知识,并在电脑端、手机端使用安全软件,千万不要自信「裸奔」,以避免掉进网络钓鱼陷阱以及钱包被盗事件的发生。

以下是 2018 年加密货币交易所被盗事件,以及相关事件的具体细节。

(1) 1 月,日本最大的数字加密货币交易所 Coincheck 被盗走价值 5.34 亿美元的 XEM。Coincheck 是日本第二大交易所,在之后的官方发布会上,Coincheck 表示,XEM 被盗是因为存储 XEM 的热钱包的私钥被黑客所窃取,但是没有其他币种被盗。受此事件影响,XEM 当天下跌 9.8%。

(2) 2 月 11 日,意大利加密货币交易所 BitGrail 被攻击,价值 1.7 亿美元的加密货币 NANO 被盗。

(3) 3 月 7 日,Binance 遭到黑客入侵,黑客通过控制币安部分账户,卖出这些账户持仓的比特币,买入 VIA 币,导致 VIA 逆市大涨。币安将异常交易进行了回滚处理,但此事件依然引起市场恐惧,随后几天比特币跌幅超过 15%。

(4) 4 月 1 日,Bit-Z 遭遇黑客攻击,未造成资金损失。为此 Bit-Z 专门设立了 10000 个 ETH 安全基金,用于奖励安全漏洞提交者。这笔奖励在当时价值 400 万美金。

(5) 4 月 13 日,印度三大比特币交易所之一 Coinsecure 在官网发布公告称,该交易所 438 个 BTC 失窃,价值约 330 万美元。该交易所首席安全官 Amitabh Saxena 被列为嫌疑人。这是印度最大的加密货币被盗事件。

(6) 6 月 5 日,Bitfinex 遭到「拒绝服务(denial-of-service)」攻击,Bitfinex 随即暂停了交易所的所有交易。

(7) 6 月 10 日,韩国数字加密货币交易所 Coinrail 遭到黑客攻击,损失超过 5000 万美元。Coinrail 加密货币总量的 70% 被保存在冷钱包,被盗总量的三分之二已被追回。

(8) 6 月 20 日,韩国加密货币交易所 Bithumb 被黑客攻击,价值 3000 万美元的加密货币被盗,这是 Bithumb 第三次被黑客攻击。

此前,该交易所还遭受了两次「黑客攻击」。

第一次:2017 年 4 月,Bithumb 某员工电脑被黑,导致超过 3 万名用户的资料被窃,Bithumb 也因此被韩国监管机构罚款 5.5 万美元。

第二次:2017 年 12 月 22 日,韩国 MBC 电视台雇佣了一家安保公司,对包括 Bithumb 在内的 5 家韩国交易所进行安全测试。该安保公司成功「黑入」包括 Bithumb 在内的 5 家交易所,并获取了部分用户数据和资金。受雇「黑客」声称仅使用了「基本的黑客技巧」。

但是,安全问题并未引起交易所足够重视,这才导致了 2018 年 6 月份的黑客事件发生。

(9) 9 月 20 日,日本数字货币交易所 Zaif 宣布遭受黑客攻击,损失 5967 万美元。其中 1959 万美元属于该交易所自有资金,其余 4007 万美元属于客户资金。

Dapp 安全

智能合约和交易所是安全的重灾区,18 年话题度颇高的 DApp,也没能逃脱黑客的魔爪,虽然损失金额在所有安全事件中比例较低,但频繁的安全事件严重影响着 Dapp 生态的落地与应用。

据 Dapp.review 最新数据显示,目前运行在以太坊、EOS、波场等公链上的 DApp 总数量超过 1900 个。

处于 DApp 生态建设初步发展阶段的 EOS,DApp 相关的安全问题层出不穷。截止 12 月份,由于 DApp 漏洞导致的损失已经高达 39.5 万个 EOS 与 1.3 万个 ETH。按照两者最高市值计算,损失财富超过 2700 万美金。

安全公司:2018 年区块链全生态典型安全事件盘点

2018 年下半年,DApp 安全事件集中爆发,黑客攻击事件主要发生在 EOS 主网。攻击手段也是花样百出:随机数攻击、种子漏洞、假币攻击……

EOS 作为被寄予厚望的企业级区块链操作系统,基于此的 DApp 为什么会发生如此多黑客攻击事件?

今年 5 月份,EOS 创始人 BM 曾表示,为 EOS 主网提供有价值的漏洞将获得 1 万美金的报酬。该悬赏令颁布之后,一位名叫「Jon Bottarini」的网友透漏,有人仅一天就发现了 8 个漏洞,获得 8 万美金奖励。这也充分说明 EOS 主网本身存在大量安全问题。

实际上,针对 EOS 上 DApp 的攻击,正越来越专业化、团队化。

11 月份以来,作为三大 EOS 竞猜类 DApp,EOSDice、FFgame 和 EOS.WIN 先后发生了「随机数漏洞」攻击。据知情人士爆料,这些攻击案件系一人或者同一团队所为。该知情人士表示,已经成功锁定黑客交易所账户。

相较于 EOS 网络,以太坊的黑客攻击事件要稍微少一些。

下面是 2018 年以来 DApp 上发生的黑客攻击事件,以及相关事件具体细节:

(1) 7 月 25 日,狼人游戏(EOS 版本的 Fomo 3D)出现「溢出」漏洞,导致游戏损失 60686 个 EOS。EOS 核心仲裁论坛(EACF)对黑客的行为仲裁后,签发新的仲裁令,冻结黑客的 EOS 账户:eosfomoplay1。

(2) 8 月 22 日,Fomo 3D (Last Winner)遭受黑客攻击,损失 10469 个 ETH (价值约 300 万美金)。安比(SECBIT)实验室首次宣布断定 Fomo3D 大奖获得者采取了一些「特殊攻击技巧」,攻击者通过高额手续费吸引矿工优先打包,最终以较低成本针对性地堵塞区块,加速游戏结束,提高自己获胜概率。

9 月 24 日,Fomo 3D 第二轮游戏开始之后,黑客采用相似的攻击手段,拿到了 3264.668 个以太坊奖励。

(3) 8 月 27 日,Luckyos 旗下的石头剪刀布游戏被黑客攻破,损失未知。

(4) 9 月 2 日,EOS.win「随机数」被黑客攻击,导致损失 2000ESO。

(5) 9 月 10 日,EOSBet 遭到黑客攻击,共计损失了 4000 个 EOS;4 天后,EOSBet 再次遭黑客「假通知」攻击,损失 145321 个 EOS,目前损失已被追回。

(6) 9 月 12 日,LuckyGo 遭到攻击者 iloveloveeos (恶意合约)而被迫下线。当天晚上,iloveloveeos 又迅速攻击了新上线的游戏 LuckyGo。这两次攻击都属于「随机数缺陷攻击」。

(7) 9 月 12 日 EOS Happy Slot 遭黑客重放攻击,损失 5000 个 EOS。一名账号为 imeosmainnet 的黑客利用「重放攻击」,导致项目方损失了 5000 个 EOS。

(8) 9 月 14 日,去中心化交易所 Newdex 遭到黑客攻击。黑客利用假币在交易所换区真币,共计获利 11803 个 EOS。

攻击过程是这样的:攻击者创造了一种全新的代币,发行量也是 10 亿(EOS 发行量为 10 亿),并将其命名为「EOS」。攻击者采用特殊的方法,用 11800 个假 EOS 在 Newdex 上兑换出了大量等值真币。

(9) 9 月 15 日,EOS.Win 遭受黑客假币攻击,共计损失超过 4000 个 EOS。

11 月 11 日, EOS.Win 还在 11 月 11 日遭受了第二次攻击。此次攻击黑客在一分钟之内,共计向 EOS.WIN 游戏合约(eosluckydice)发起 10 次攻击,获利超 9180 个 EOS。

(10) 10 月 16 日,World Conquest 遭受黑客「缴税规则」攻击,拒绝其他玩家参与,进而盈利 4555 个 EOS;

(11) 10 月 26 日,EOS Royale 遭受黑客「随机数」攻击,损失 10800 个 EOS。过程是这样的:黑客通过调用随机数发生器,计算出先前区块的信息,进而获得游戏随机数,从而破解 EosRoyale 钱包,并窃取价值 60000 美金的 EOS 代币。

(12) 10 月 28 日,EOS Poker 遭受黑客「种子漏洞」攻击,损失 1374 个 EOS。

(13) 10 月 31 日,EOSCast 遭遇黑客假币攻击,导致 72912 个 EOS 被黑客转走。根据游戏规则,黑客分别用 100、1000、10000 个假 EOS 代币进行攻击,每次攻击可得到 198、9800、19600 个不等的 EOS。在进行最后一次攻击时,游戏方察觉到异常攻击,及时转走了奖金池仅剩的 8000 个 EOS。

ECAF (EOS 核心仲裁委员会,对智能合约有仲裁权限)针对此事件即时响应,并发布了仲裁令,冻结了相关涉事账户。

(14) 11 月 4 日,EOSDice 发公告称智能合约遭到攻击,但由于其拥有自动检测功能,在攻击之后,合约自动将剩余资金转移至安全地址。此事件导致 EOSDice 损失 2545 个 EOS。

(15) 11 月 8 日,FFgame 遭遇了黑客攻击,黑客账户 jk2uslllkjfd 向 FFgame 游戏合约(eoswallet415)发起多达 304 次攻击,共计获利 1331.2922 个 EOS。

(16) 11 月 10 日,黑客向 MyEosVegas 游戏合约(eosvegasjack)发起超 700 次攻击,已获利超 9000 个 EOS。

(17) 11 月 26 日,竞技类 DApp 遭遇了前所未有的新型回滚攻击。

(18) 12 月 3 日,Dice3D 遭遇黑客攻击,损失 10569 个 EOS。黑客已将被盗的 EOS 转至火币。Dice3D 官方决定自费拿出部分 EOS 给予玩家补偿。

钱包安全

数字货币钱包有热钱包和冷钱包之分,冷钱包由于私钥不接触网络,相对安全性较高,不过随着技术的快速迭代,无论热钱包还是冷钱包,都相继被黑客攻击。

2018 年,因为钱包安全而损失的金额损失在 4000 万美元左右。这其中,大部分是黑客通过各种手段获取到用户私钥,导致资产被盗。还有一部分是钱包设计存在缺陷造成的。

因为区块链的去中心化特点,黑客攻击目标的就是想方设法搞到用户私钥,如果用户存储方式不当,就肯可能被钓鱼邮件、木马病毒等方式攻击,导致资产被盗。

因此,建议广大用户把私钥要抄在纸上,要抄对,然后放在一个绝对不会忘的地方,千万不要存储在网上,保证私钥不触网,还要保证私钥和钱包不要放在一块;另外,尽量选择用户基数大,安全事件较少的钱包;最后,无论在网页端还是手机端,都必须安装安全软件,千万不能「裸」奔。

钱包设计上的缺陷也会引发攻击事件,并且一旦爆发,影响力和损失金额将会很广。

比如国外某钱包在第一次运行的时候,默认为用户创建一个新钱包并将钱包文件未加密存储在系统本地,攻击者可以读取存储的钱包文件,通过对钱包应用逆向分析等技术手段,还原该钱包的算法逻辑,并由此直接恢复出用户的助记词以及根密钥等敏感数据。

对于这部分安全问题,只能建议钱包项目在面向用户之前,找到专业的安全团队进行安全方面的审计。

下面是 2018 年以来钱包相关的黑客攻击事件:

(1) 1 月 8 日,Reddit Tippr 用户被黑客盗走了数千个 BCH (比特币现金)。

(2) 1 月 17 日,XLM 钱包被攻击,超 40 万美元 XLM 被盗。事件起源是黑客劫持了 BlackWallet.co 的 DNS 服务器,据估计,此次攻击事件,导致近 70 万个 XLM 被盗,价值超过 40 万美元。

(3) 1 月 22 日,黑客入侵 IOTA 钱包,盗走价值 400 万美金的 IOTA。据 CCN 报道,原因出在用户用来生成 IOTA 钱包私钥的网站被黑。

(4) 3 月 4 日,钛合金区块链(TBIS)发布推特宣称遭受黑客攻击,公司钱包被盗窃了 1870 万 BAR 代币(约 90 万美元)。

(5) 4 月 17 日,数字货币投资者和 Youtube 博主 Ian Balina 昨晚在直播评论 ICO 项目时受到黑客攻击,黑客从他的 Etherscan 钱包中转移了超过 200 万美元的数字货币。

(6) 4 月 25 日,MyEtherWallet 遭劫,共损失约 500 个 ETH。

(7) 6 月 6 日,日本零售商 Shopin 的 MEW 钱包遭到黑客攻击,损失了超 1000 万美元的加密货币。其中包括以太坊、Level Up、Orbs 与 Shopin。

(8) 8 月 15 日,陕西省西安市警方抓获了三名高级黑客嫌疑人,三人曾共同合作,盗取价值了 6 亿元加密货币。

今年 3 月 30 日,盗窃事件发生之后,受害人张姓男子报案,称自己的电脑被非法攻击,价值数亿元的虚拟货币被洗劫一空。随后警方展开搜捕工作,今年 8 月 15 日,三名黑客被警方逮捕。

(9) 9 月 25 日,EOS 持仓大户 gm3dcnqgenes 账号被盗,共计损失 209 万个 EOS (约 1080 万美元)。

(10) 10 月 22 日,瑞士区块链公司 Trade.io 称,其冷钱包中的 5000 万 TIO 被盗,价值 750 万美金,其中 130 万 TIO 被转移到 Kucoin 和 Bancor 两个交易所。Kucoin 已经暂停了 TIO 的交易,而 Bancor 则永久删除了 TIO。

(11) 10 月 25 日,Reddit 用户账户遭黑客攻击,黑客从他的钱包中盗窃了 14 个比特币(89500 美元)、22 个 ETH (4400 美元)和大约 1170 万个 COSS 代币(77 万美元),这些加密货币总共价值 86.4 万美金。

回顾整个 2018 年的安全事件,有人持悲观态度,认为区块链是极度高危的行业,应该避而远之。但也有认为,安全事件的频发从侧面反映了这个行业被前所未有的关注,因为黑客只会花时间攻击有价值的东西。

虽然 2018 年黑客猖獗,但全球范围内的区块链安全公司也已经悄悄崛起;整个行业也会因为付出惨痛代价,而加强安全方面的投入和建设;用户安全教育也逐渐被重视起来。未来区块链行业的蓬勃发展还是非常可期的。

举报

链闻 ChainNews 信息平台,诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。如您发现这篇文章含有敏感信息,请点击「举报」,我们会及时调查,并进行处理。

你可能感兴趣

    App
    下载链闻 ChainNews Apps

    链闻 App

    扫码下载

    公众号 小程序
    链闻 ChainNews 微信公众号
    链闻 ChainNews 微信小程序