11 月區塊鏈領域典型安全事件達 27 起,其中 DeFi 5 起,交易所 6 起。

原文標題:《盤點 | 成都鏈安:11 月典型安全事件超「27」起,整體風險評級「較高」》
撰文:成都鏈安

據成都鏈安「區塊鏈安全態勢感知平臺」(Beosin-Eagle Eye)的數據監測顯示:

2020 年 11 月,在區塊鏈領域中,各類安全事件的發生較爲頻繁。相較 10 月安全事件趨於緩和的態勢,本月的情況有所惡化。據不完全統計,11 月發生較典型的安全事件超過 27 起。

盤點 | 成都鏈安:11 月典型安全事件超「27」起,整體風險評級「較高」

本月,特別是在 DeFi 領域,黑客如同經過集中排練一般,上演了連續的協議「攻擊劇目」。其中,重入攻擊、預言機攻擊等手段在閃電貸的輔佐下,展現了強大的殺傷力。不得不說,11 月的 DeFi 市場就像經歷了一場「浩劫」,多起攻擊輪番「轟炸」,造成了巨大的資產損失。

其間,成都鏈安曾爲此呼籲,閃電貸攻擊只是冠名,背後的真相不容忽視。DeFi 項目方應該尤其注意預言機操控問題,以防數據危機帶來不可挽回的後果。

因此,成都鏈安再次鄭重建議,DeFi 開發者應加強預言機的針對性測試,特別是在項目上線前,需儘可能模擬價格操控攻擊的各類場景,及時發現問題並找出解決方案,切實提高項目抗預言機攻擊的能力,做到提前規避此類風險。

交易所方面共發生 「6」起較典型的安全事件

常州警方龍虎塘派出所近日接到報警,有用戶在「羅馬幣交易所」平臺上進行虛擬貨幣投資被騙。該平臺推出了兩款 APP,供用戶聊天和交易,操作成功之後可獲得返利。目前,該交易平臺已經無法登錄。

波卡去中心化金融平臺 Akropolis 遭遇攻擊。黑客利用在衍生品平臺 dYdX 的閃電貸進行重入攻擊,造成了 200 萬美元的損失。

泉州多位市民爆料稱,遭到了數字貨幣交易詐騙。涉案交易所名爲 MARK 交易所,涉案金額約 25 億元,疑似參與頭寸管理的大約 10 萬人。

11 月 13 日,Liquid 交易所發生了一起入侵事件。黑客更改了 DNS 記錄,然後控制了大量內部電子郵件帳戶。最終,他們部分破壞了該交易所的基礎設施並訪問了存儲的文檔。

Pickle Finance 的 pDAI PickleJar 被黑客攻擊,導致 19,759,355 枚 DAI 被耗盡。此次攻擊還涉及許多 Pickle 協議組件。

知名安全博客 KrebsOnSecurity 報告稱,從 11 月 13 日左右,由熱門託管提供商 Godaddy 託管的幾個加密貨幣平臺遭到了攻擊,其中包括加密貨幣交易平臺 Liquid.com。

DeFi 方面共發生 「5」 起較典型的安全事件

波場主網於香港時間 11 月 02 日 06:14 受到惡意合約攻擊。本次攻擊中,黑客利用授予合約編寫者的權限,發起了惡意交易導致「超級代表」暫停產塊來獲利。

DeFi 借貸平臺 Percent Finance 在 11 月 4 日的博客中寫道,某些貨幣市場遇到了可能導致用戶資金永久被鎖定的問題。因此,該團隊凍結了專門針對 USDC、ETH 和 WBTC 的貨幣市場。

11 月 14 日,Value DeFi 協議的 Value DeFi MultiStables 保險庫遭到黑客的預言機操控攻擊,最終導致超過 700 萬美元的損失。

起源協議 Origin Protocol 穩定幣 OUSD 遭閃電貸攻擊,跌至 0.13 美元。此後,Uniswap 中 OUSD 流動性從 16 日的 35 萬美元跌至了 12 萬美元。

Web3 去中心化 API 服務 API3 的 Kiyo 發推表示,DeFi 固定利率生成協議 88mph (MPH)似乎存在一個漏洞,一個攻擊者利用該漏洞鑄造了 10 萬美元的 MPH 代幣。此後,該漏洞已被修復。

Beosin 評論:本月,DeFi 項目的安全問題令人堪憂。這可能與對協議的核心環節缺乏足夠重視有關。「亡羊補牢,爲時不晚」,黑客的攻擊似乎不會停歇,面對嚴峻的安全形勢,主動防範的心態和行動至關重要。

成都鏈安認爲,安全問題永遠需放在首要考慮的位置。其實,項目上線前僅僅做好安全審計是遠遠不夠的。多個案例反映出了這樣一個問題,即審計只是安全防範工作的第一步。

在項目發展的過程中,需要時刻對系統問題進行梳理,防止任何「致命」漏洞的產生。否則,當黑客早於內部發現,資產安全很可能危在旦夕。

詐騙跑路 / 加密騙局方面共發生 「5」 起較典型的安全事件

印度社交名媛 Harpreet Singh Sahni 承認,其捲入了一場規模相當大的加密貨幣騙局,並在澳大利亞一家加密公司向投資者出售加密軟件,同時推廣 PGUC 代幣。該公司網站經常宕機,導致用戶無法提現。Sanhi 或將面臨約 24 年的監禁。

非營利組織「歐洲基金追回倡議組織」(EFRI)對荷蘭銀行 ING 控股的 Payvision 公司提起法律訴訟,聲稱該公司推動了欺詐性投資計劃,並曾爲加密貨幣公司提供服務,導致投資者損失超過 7500 萬美元。該組織正代表數百名受害者尋求賠償。根據 EFRI 提供的文件,Cryptopoint 加密交易平臺涉嫌與該騙局有關。

北京時間 11 月 5 日消息,僞裝成埃隆·馬斯克 (Elon Musk) 的一名黑客,在特朗普推文的回覆中騙取用戶的虛擬貨幣。黑客使用的賬戶通過了 Twitter 的認證,用戶名顯示爲「Elon Musk」。他回覆了特朗普討論總統大選形勢的推文,在數小時內獲利超過 25 萬美元。

11 月 9 日消息,有詐騙者利用虛假域名,從不同用戶那裏竊取了約 110 萬枚 XRP,目前價值已超過 28 萬美元。

11 月 17 日消息,澳大利亞證券投資委員會(ASIC)宣佈,前 BitConnect 發起人 John Louis Anthony Bigatton 因參與被指控詐騙投資者數百萬美元的加密貨幣項目而被起訴。

勒索軟件 / 挖礦木馬方面共發生 「5」 起較典型的安全事件

11 月 3 日消息,騰訊主機安全(雲鏡)捕獲到,挖礦木馬團伙 z0Miner 利用 Weblogic 未授權命令執行漏洞(CVE-2020-14882/14883)的攻擊行動。該團伙通過批量掃描雲服務器發現,具有 Weblogic 漏洞的機器被植入了門羅幣挖礦木馬。

11 月初,遊戲巨頭 CAPCOM 遭到名爲「Ragnar Locker」的組織開發的勒索軟件攻擊。安全專家 Pancak3lullz 表示,Ragnar Locker 通過加密鎖定 CAPCOM 網絡上的 2000 臺設備,並索要價值 1100 萬美元的比特幣贖金,而這些數據包括文件夾、護照、銷售報告、銀行對賬單、合同和大量戰略信息數據庫。

意大利知名酒商 Campari Group (金巴利)在 11 月 1 日遭到黑客勒索攻擊。該公司的重要文件、合同和銀行信息被竊取。黑客對此勒索價值 1500 萬美元的比特幣。

比特幣勒索軟件 Pay2Key 對多家以色列公司進行了攻擊。據悉,每家受害公司的泄露數據都被上傳到網站上的一個特定文件夾中,並附有攻擊者定製的信息。

微博網友「BCH 愛好者 BruceLee」表示,BCHA 鏈目前處於被攻擊狀態。攻擊是雙管齊下的(大概率是同一人所爲),而 BCHA 網絡中產生了大量空塊。

暗網方面共發生 「1」 起較典型的安全事件

美國司法部查獲與暗網「絲綢之路」有關的 10 億美元比特幣。其在一份聲明中表示,沒收的加密貨幣與暗網絲綢之路有關,而這是美國目前沒收的最大規模的加密貨幣。當局從一名黑客手中繳獲了這些比特幣,並在聲明中稱該黑客爲 Inpidual X。

其他方面共發生 「5」起較典型的安全事件

在 11 月 2 日上線後僅幾個小時,Axion Network 合約中出現了鑄造漏洞,已有 50 萬美元被盜。他們甚至建議用戶避免立即購買 AXN 代幣,並遠離網絡的儀表板。一位推特用戶指出,有 790 億枚 AXN 被意外鑄造和出售。

針對 Ledger 錢包所有者的網絡釣魚和詐騙正在增加。其中一個詐騙網站從受害者處獲得了超過 1150000 枚 XRP。這一騙局利用釣魚郵件將用戶引導到一個假冒的 Ledger 網站,誘騙受害者下載了冒充爲安全更新的惡意軟件,從而導致 Ledger 錢包餘額悉數被盜。

據 Reddit 消息,一批被「主動管理」的惡意節點試圖通過 Sybil 攻擊干擾和破壞 Monero 網絡,以獲取有關 Monero 區塊鏈上用戶的信息。

Grin 網站 11 月 9 日遭受 51%攻擊。一個未知實體控制了超過 57% 的網絡算力。根據 Grin 網站的說法,該團隊建議人們等待「關於支付最終性(Finality)的額外確認」。

近期,幣安與美國司法部通力合作,對涉嫌 2018 年 3 月發起對幣安網站攻擊的兩名人員提起公訴。

鑑於當前區塊鏈安全領域的新形勢「成都鏈安」溫馨提示

從總體上看,11 月區塊鏈安全事件較 10 月有所增加,整體安全事件發生數量處於中等水平。

本月的 DeFi 項目方面,安全事件發生數量較上個月有所增加。在黑客接二連三的攻擊下,DeFi 領域的整體安全狀況不容樂觀。

成都鏈安在此呼籲廣大項目方,在項目上線前需要切實做好一整套的安全篩查工作,並在項目上線後定期進行檢測,減少代碼漏洞等問題,避免不必要的損失。