慢霧科技梳理了 2019 年區塊鏈安全與隱私生態發生重大影響的 13 件事,並給出了相應的觀點和建議。

原文標題:《慢霧:2019 年度區塊鏈安全與隱私生態大事記》
撰文:慢霧安全團隊

2019 年區塊鏈行業發展迅猛,中心化交易所 / 去中心化交易所、DApp、Staking、CeFi/DeFi、Web3.0 等概念逐漸變得耳熟能詳,大量資金的涌入,不斷吸引地下黑客的視線往區塊鏈行業轉移。據 慢霧區塊鏈被黑檔案庫 數據統計,2019 年全年區塊鏈行業發生安全事件超 130 起,累計損失資金超 50 億美金,交易所、錢包、DApp 成黑客攻擊重災區。

慢霧科技將通過這篇文章梳理 2019 年區塊鏈安全與隱私生態發生的影響重大的事件,爲讀者回顧事件詳情,同時對每個事件附上慢霧觀點。雖然本文列舉的僅是冰山一角,但具有很大的代表性。

1. ETC 遭受 51% 攻擊

發生日期:2019-01-05

事件描述:

1 月 5 日下午,ETC 高度爲 7245623 的區塊發生異動,1 月 7 日慢霧安全團隊披露稱,ETC 疑似發生了 51% 攻擊,有不少區塊發生回滾,在短短兩天之間,ETC 網絡共遭受了至少 11 次疑似雙花攻擊,損失約值 46 萬美元的 ETC,1 月 8 日,Gate.io 研究院發佈公告稱,已確認 ETC 網絡遭受 51% 攻擊並定位到攻擊者的 ETC 地址。

慢霧:我們看到 2019 年區塊鏈安全與隱私領域發生這些大事件

慢霧觀點

沒經過真實攻擊洗禮且保持進化的公鏈都不是安全的公鏈。當雙花攻擊變得常見時,公鏈需要將防控雙花攻擊作爲風控機制的一部分。作爲加密貨幣生態的參與者,防範雙花攻擊可能並不僅僅是公鏈的責任,交易所、錢包、投資人都有必要提高警惕。

2. Cryptopia 遭攻擊後破產

發生日期:2019-01-14

事件描述:

1 月 14 日,新西蘭加密貨幣交易所 Cryptopia 遭受黑客攻擊,黑客共偷走了價值 1600 萬美元的以太坊和 ERC20 代幣,隨後暫停了其平臺服務,早在推文發出之前的 13 個小時,該公司曾對外表示「平臺正在進行計劃外的維護」,暗示交易所已經受到黑客攻擊。隨後警方參與了對黑客攻擊事件的調查,而 Cryptopia 交易所無力繼續運營。今年 5 月,Cryptopia 交易所宣佈關閉並申請破產保護,該交易所欠債權人超過 270 萬美元。

慢霧觀點

Cryptopia 被黑事件成爲交易所 2019 新年第一「盜」,地下黑客將攻擊的重點目標轉向了加密貨幣交易所,加密貨幣交易所側的攻防戰場開始火熱起來。跟隨加密貨幣大生態的發展,地下黑客職業軍團相繼踏入區塊鏈攻防世界。

3. 衆多 EOS DApp 遭遇交易排擠攻擊

發生日期:2019 年 1 月開始

事件描述:

2019 年 1 月 11 日凌晨,EOS.WIN 遭遇黑客攻擊。EOS.WIN 的攻擊者採用的是新型攻擊手法,爲「交易排擠攻擊」,這種攻擊手法與之前攻擊 bocai.game 的攻擊手法爲同一種攻擊手法。攻擊者首先是發起正常的轉賬交易,然後使用另一個合約帳號檢測中獎行爲。如果不中獎,則發起大量的 defer 交易,將項目方的開獎交易「擠」到下一個區塊中。該類攻擊源於項目方的隨機數算法使用了時間種子,使攻擊者提升了中獎機率,導致攻擊成功。

慢霧觀點

區塊鏈上沒有完美的隨機數方案,只要是採用鏈上的變量作爲隨機數因子,都存在被黑客攻破的可能。建議開發者採用 EOS 官方推薦的隨機數安全實踐「Randomization in Contracts」,或者引入預言機。同時在合約設計時加上風控機制,比如獎池大額轉出超過某個閾值自動暫停。

4. DragonEx 遭入侵損失超 600 萬美元加密貨幣

發生日期:2019-03-24

事件描述:

加密貨幣交易所 DragonEx 發佈公告稱平臺錢包遭受黑客入侵,導致用戶和平臺的數字資產被盜,涉及 BTC、ETH、EOS、XRP、TRX 等 20 餘種主流數字資產,總損失超 600 萬美元。

慢霧觀點

在攻擊事件發生後,國內外多家安全公司證實該事件是黑客組織 Lazarus 所爲。該組織通過運營和模擬正常的量化軟件,以高利潤和高收益通過交易所對外的客服誘惑交易所高層使用。量化軟件中隱藏有後門,一旦軟件被傳遞到關鍵人電腦上運行就會進行一序列滲透和黑客動作。

隨着加密貨幣的發展,黑客組織 Lazarus 對加密貨幣的興趣已經越來越濃厚,黑客攻擊也越來越多,呈現出 APT(高級持續性威脅) 性質,只有交易所自身做好防護措施,才能讓黑客不再有機可乘。

5. Bithumb 被盜 3 百萬 EOS 和 2 千萬 XRP

發生日期:2019-03-29

事件描述:

3 月 29 日,韓國加密貨幣交易所 Bithumb 承認遭到黑客攻擊。一名管理人員表示,當地時間 3 月 29 日晚 10 點 15 分左右,檢測到熱錢包出現異常取款。黑客盜走約 300 萬枚 EOS,價值約 1340 萬美元,以及 2000 萬枚 XRP,價值 600 萬美元。早在 2018 年 6 月,該交易所就因黑客攻擊損失了價值達 3100 萬美元的加密貨幣,不到 1 年的時間裏 Bithumb 接連出現 2 次被黑事件。

慢霧觀點

加密貨幣交易所遭受二次攻擊,不排除內鬼作案。確實在金錢魔力面前,人性經不住考驗,而許多交易所的內部安全風控建設工作又過於缺失,這促使了內鬼有足夠動機作案,導致交易所被盜幣。

6. 幣安被盜 7074 枚比特幣

發生日期:2019-05-08

事件描述:

5 月 8 日,加密貨幣交易所幣安發佈安全公告稱,5 月 7 日 17:15:24,黑客在區塊高度 575012 處從幣安熱錢包中盜取 7074 枚比特幣(價值約 4000 萬美元),黑客此前已發現系統存在的安全漏洞,但一直很耐心,直到系統出現大額交易纔出手。

慢霧觀點

隨着地下黑客職業軍團相繼進場,職業的地下黑客通過高級釣魚及木馬植入,層層滲透最終拿到交易所的私鑰權限,導致加密貨幣交易所被盜幣。面對地下黑客職業軍團的攻勢,交易所側安全防禦表現極其無力。交易所可以與可信且職業的安全團隊進行深入合作,部署因地制宜的安全建議,做到默認一切不可信的心態去接觸這個世界。

7. TokenStore 被爆跑路,捲走用戶數十億資產

發生日期:2019-06-10

事件描述:

5 月 31 日,TokenStore 發佈公告稱由於受到黑客攻擊,系統將全面升級維護 10 天,並強調不管發生什麼,平臺會堅持運行。6 月 10 日,社區多位用戶反映,TokenStore 在升級公告發布 10 天之後疑似跑路,投資人數十億資金被一卷而空。

慢霧觀點

資金盤跑路還不忘把鍋甩給黑客攻擊,真是花樣百出……類似項目經常使用「高收益」、「最新區塊鏈科技」等名詞進行包裝,實則是龐氏騙局,投資者們要仔細分辨,切莫參與。

8. PlusToken 跑路捲走約 20 億美元加密貨幣

發生日期:2019-06-27

事件描述:

6 月 27 日晚上,有投資者發現,自己的 PlusToken 錢包無法提現了,遇到同樣問題的人不在少數。有人發現,以往少則 10 分鐘、最多 3 小時的提現時間,已經連續好幾日沒有任何反應,並且 App 無法登陸,客服也不在線。後被證實 PlusToken 跑路,騙局共吸納了價值超過 20 億美元的加密貨幣,包括 180,000 BTC、6,400,000 ETH、111,000 USDT 等。

慢霧觀點

PlusToken 是同類資金盤項目裏涉案金額最大、受害用戶最多的一個,給區塊鏈生態帶來嚴重的負面影響。慢霧 AML 系統對 PlusToken 錢包的鏈上交易進行了持續地追蹤與溯源,從統計數據發現,絕大部分加密貨幣已經被利用 Mixer (混幣器)、免 KYC 的幣幣兌換平臺進行清洗,進而轉化爲法幣離場。

9. Bitrue 被盜 930 萬枚 XRP

發生日期:2019-06-27

事件描述:

6 月 27 日凌晨 1 點,總部位於新加坡的加密資產交易所 Bitrue 遭遇重大黑客攻擊,其熱錢包損失了 930 萬枚 XRP 和 250 萬枚 ADA,被盜的 XRP 和 ADA 價值分別超過 450 萬美元和 23.75 萬美元。

慢霧觀點

Bitrue 官方表示,黑客利用風控系統的漏洞來訪問用戶的個人資金和 Bitrue 熱錢包,進而實施盜幣。由於交易所內部人員的安全意識缺失,本不該暴露的系統缺陷暴露了,給了地下黑客可乘之機,導致被盜幣。

在區塊鏈世界攻防差距明顯,以現在大多數交易所的防禦能力不足以抵擋職業地下黑客的入侵。安全體系化建設工作很複雜,防禦工作需要面面俱到,而入侵工作卻可以單點突破。

10. BitPoint 被盜價值約 3200 萬美元的加密貨幣

發生日期:2019-07-11

事件描述:

Bitpoint 在 7 月 11 日發生黑客攻擊事件。黑客攻擊了該交易所的熱錢包和冷錢包,竊取了價值約 3200 萬美元的比特幣、比特幣現金、萊特幣、瑞波幣和以太坊,其中約 2300 萬美元的數字貨幣屬於該交易所的用戶。BitPoint 表示,受害用戶數量接近該交易所用戶總數的一半,高達 5 萬人。該交易所表示將承擔用戶的所有損失。

慢霧觀點

三分之二的被盜資金屬於客戶,金融廳面子全毀。手法雖然未公開,但是不排除 APT 類攻擊行爲。地下黑客攻擊愈加激烈,加密貨幣交易所側安全防禦面臨新挑戰。

11. 第三方問題導致平臺遭受攻擊

發生日期:2019 年 7 月

事件描述:

7 月 5 日,NPM 官方博客發佈文章稱,NPM 安全團隊與 Komodo 合作發現並阻止了針對名爲 Agama 的加密貨幣錢包所有用戶的惡意投毒威脅。攻擊者將惡意程序包放入 Agama 的構建鏈中,用這種手法來竊取錢包應用程序中使用的錢包私鑰和其他登錄密碼。

慢霧觀點

在當下的技術架構中脫離不了第三方 JavaScript 庫,所有項目方技術團隊都應該強制至少一名核心技術完整 review 一遍所有第三方模塊,看看是否存在可疑代碼,也可以抓包看看是否存在可疑請求。

12. BitMEX、幣安用戶身份信息遭泄露

發生日期:2019 年 8 月、11 月

事件描述:

2019 年 11 月 1 日,BitMEX 在發送平臺郵件通知時,由於沒有采用密送設置,導致該郵件所有接收人的郵箱地址被泄露。事後有研究人員在推特上發佈消息稱,已收集到的郵箱地址超過 2.3 萬個。

幣安用戶 KYC 資料泄露事件發生於 2019 年 8 月,有人通過 Telegram 羣「FIND YOUR BINANCE KYC」公開發布幣安用戶 KYC 資料,之後幣安發佈消息稱:Telegram 羣傳播的 KYC 資料和幣安系統信息不符,圖片沒有幣安特定的電子水印,尚不能證明來自幣安。

慢霧觀點

用戶身份信息應得到高強度的加密和保護,平臺在早期架構設計時應貫徹落實這個策略,規避此類敏感信息泄露事件的發生。

13. Upbit 被盜 34.2 萬枚 ETH

發生日期:2019-11-27

事件描述:

韓國交易所 Upbit 公告稱,有 34.2 萬個以太坊被盜,已轉移至一個未知的以太坊地址(0xa098...029),總價值約 5000 萬美元。此前據 WhaleAlert 監測的鏈上數據顯示,Upbit 頻繁轉出大額加密貨幣,包括 SNT、EOS、OMG、XLM、TRX、ETH 等,總價值超過 1 億美元。隨後官方發佈公告澄清,只有 ETH 是被黑客盜走的,其餘資產均是交易所爲了安全自行轉移到冷錢包。

慢霧觀點

目前懷疑和之前一直在活動的 APT(高級持續性威脅) 攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。當然也不能排除內鬼可能性。被盜的是 Upbit 的 ETH 熱錢包,冷錢包應該無風險。

附:交易所安全攻防總結

2019 年交易所領域發生了大量的安全事件,且每個都造成了鉅額的損失。慢霧科技在交易所安全攻防方面有深厚的沉澱,我們總結髮現主要有如下幾個攻擊手法:

1. 內鬼作案。確實在金錢魔力面前,人性經不住考驗,而許多交易所的內部安全風控建設工作又過於缺失,這促使了內鬼有足夠動機作案,導致被盜幣;

2. 假充值漏洞攻擊。一些交易所在對接的各種公鏈或代幣上的安全經驗不足,導致充值環節中出現假資金情況,但交易所繫統卻認爲是真的,導致被盜幣;

3. APT 攻擊。職業的地下黑客通過高級釣魚及木馬植入,層層滲透最終拿到交易所的私鑰權限,導致被盜幣;

4. 供應鏈攻擊。交易所使用的第三方組件被黑植入了惡意代碼,從而間接影響了交易所的安全防線,導致被盜幣;

5. 粗心大意。由於交易所內部人員的安全意識缺失,本不該暴露的系統缺陷暴露了,給了地下黑客可乘之機,導致被盜幣。

從這些主要的攻擊手法來看,可以總結出兩個主要特點:

1. 內部人員人性之惡及安全意識、安全經驗缺失;

2. 攻防差距明顯,以現在大多數交易所的防禦能力不足以抵擋職業地下黑客的入侵。

來源鏈接:mp.weixin.qq.com