慢雾:2019年度区块链安全与隐私生态大事记_SPV:区块链

2019年区块链行业发展迅猛,中心化交易所/去中心化交易所、DApp、Staking、CeFi/DeFi、Web3.0等概念逐渐变得耳熟能详,大量资金的涌入,不断吸引地下黑客的视线往区块链行业转移。据慢雾区块链被黑档案库(hacked.slowmist.io)数据统计,2019年全年区块链行业发生安全事件超130起,累计损失资金超50亿美金,交易所、钱包、DApp成黑客攻击重灾区。慢雾科技将通过这篇文章梳理2019年区块链安全与隐私生态发生的影响重大的事件,为读者回顾事件详情,同时对每个事件附上慢雾观点。虽然本文列举的仅是冰山一角,但具有很大的代表性。No.1ETC遭受51%攻击

发生日期:2019-01-05事件描述:1月5日下午,ETC高度为7245623的区块发生异动,1月7日慢雾安全团队披露称,ETC疑似发生了51%攻击,有不少区块发生回滚,在短短两天之间,ETC网络共遭受了至少11次疑似双花攻击,损失约值46万美元的ETC,1月8日,Gate.io研究院发布公告称,已确认ETC网络遭受51%攻击并定位到攻击者的ETC地址。

慢雾观点没经过真实攻击洗礼且保持进化的公链都不是安全的公链。当双花攻击变得常见时,公链需要将防控双花攻击作为风控机制的一部分。作为加密货币生态的参与者,防范双花攻击可能并不仅仅是公链的责任,交易所、钱包、投资人都有必要提高警惕。No.2Cryptopia遭攻击后破产

慢雾:上周Web3安全事件中总损失约1996.3万美元:金色财经报道,据慢雾区块链被黑档案库统计,2023年8月14日至8月20日,共发生安全事件10起,总损失约1996.3万美元。具体事件:

8月14日,Hexagate发推表示,过去几天单个MEV Bot被利用了约20万美元。以太坊上Zunami Protocol协议遭遇价格操纵攻击,损失1,179个ETH(约220万美元)。

8月15日,以太坊扩容解决方案Metis官方推特账号被盗。Sei Network官方Discord服务器遭入侵。Base生态项目RocketSwap遭遇攻击,攻击者窃取了RCKT代币,将其转换为价值约86.8万美元的ETH并跨链到以太坊。

8月16日,借贷协议SwirlLend团队从Base盗取了约290万美元的加密货币,从Linea盗取了价值170万美元的加密货币。BAYC推出的链上许可申请平台Made by Apes的SaaSy Labs APl存在一个问题,允许访问MBA申请的个人详细信息。

8月18日,DeFi借贷协议Exactly Protocol遭受攻击,损失超7,160枚ETH(约1204万美元)。

8月19日,Cosmos生态跨链稳定币协议Harbor Protocol被利用,损失42,261枚LUNA、1,533枚CMDX、1,571枚stOSMO和18,600万亿枚WMATIC。

8月20日,衍生品市场Thales发布公告称,一名核心贡献者的个人电脑/Metamask遭到黑客攻击,一些充当临时部署者(2.5万美元)或管理员机器人(1万美元)的热钱包已被攻破。[2023/8/21 18:13:42]

发生日期:2019-01-14事件描述:1月14日,新西兰加密货币交易所Cryptopia遭受黑客攻击,黑客共偷走了价值1600万美元的以太坊和ERC20代币,随后暂停了其平台服务,早在推文发出之前的13个小时,该公司曾对外表示“平台正在进行计划外的维护”,暗示交易所已经受到黑客攻击。随后参与了对黑客攻击事件的调查,而Cryptopia交易所无力继续运营。今年5月,Cryptopia交易所宣布关闭并申请破产保护,该交易所欠债权人超过270万美元。慢雾观点Cryptopia被黑事件成为交易所2019新年第一“盗”,地下黑客将攻击的重点目标转向了加密货币交易所,加密货币交易所侧的攻防战场开始火热起来。跟随加密货币大生态的发展,地下黑客职业军团相继踏入区块链攻防世界。No.3众多EOSDApp遭遇交易排挤攻击

慢雾:利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道,SlowMist发布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻击,利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日,利用者发起了20提案,并在提案中说明20提案是对16提案的补充,具有相同的执行逻辑。但实际上,提案合约多了一个自毁逻辑,其创建者是通过create2创建的,具有自毁功能,所以在与提案合约自毁后,利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是,社区没有看到拟议合约中的犯规行为,许多用户投票支持该提案。

在5月18日,利用者通过创建具有多个交易的新地址,反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性,利用者在5月20日7:18(UTC)销毁了提案执行合约,并在同一地址部署了一个恶意合约,其逻辑是修改用户在治理中锁定的代币数量。

攻击者修改完提案合约后,于5月20日7:25(UTC)执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的,因此,该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后,攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽,同时利用者控制了治理。[2023/5/21 15:17:00]

发生日期:2019年1月开始事件描述:2019年1月11日凌晨,EOS.WIN遭遇黑客攻击。EOS.WIN的攻击者采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击bocai.game的攻击手法为同一种攻击手法。攻击者首先是发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的defer交易,将项目方的开奖交易“挤”到下一个区块中。该类攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。慢雾观点区块链上没有完美的随机数方案,只要是采用链上的变量作为随机数因子,都存在被黑客攻破的可能。建议开发者采用EOS官方推荐的随机数安全实践“RandomizationinContracts”,或者引入预言机。同时在合约设计时加上风控机制,比如奖池大额转出超过某个阈值自动暂停。No.4DragonEx遭入侵损失超600万美元加密货币

慢雾:跨链互操作协议Poly Network遭受攻击并非由于网传的keeper私钥泄漏:对于跨链互操作协议Poly Network遭受攻击事件,慢雾安全团队分析指出:本次攻击主要在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了EthCrossChainData合约的keeper为攻击者指定的地址,并非网传的是由于keeper私钥泄漏导致这一事件的发生。[2021/8/11 1:47:48]

发生日期:2019-03-24事件描述:加密货币交易所DragonEx发布公告称平台钱包遭受黑客入侵,导致用户和平台的数字资产被盗,涉及BTC、ETH、EOS、XRP、TRX等20余种主流数字资产,总损失超600万美元。慢雾观点在攻击事件发生后,国内外多家安全公司证实该事件是黑客组织Lazarus所为。该组织通过运营和模拟正常的量化软件,以高利润和高收益通过交易所对外的客服诱惑交易所高层使用。量化软件中隐藏有后门,一旦软件被传递到关键人电脑上运行就会进行一序列渗透和黑客动作。随着加密货币的发展,黑客组织Lazarus对加密货币的兴趣已经越来越浓厚,黑客攻击也越来越多,呈现出APT(高级持续性威胁)性质,只有交易所自身做好防护措施,才能让黑客不再有机可乘。No.5Bithumb被盗3百万EOS和2千万XRP

慢雾:Furucombo被盗资金发生异动,多次使用1inch进行兑换:据慢雾MistTrack,2月28日攻击Furucombo的黑客地址(0xb624E2...76B212)于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH,并将147ETH从Compound转入到自己的地址,截至目前该黑客地址余额约170万美元,另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]

发生日期:2019-03-29事件描述:3月29日,韩国加密货币交易所Bithumb承认遭到黑客攻击。一名管理人员表示,当地时间3月29日晚10点15分左右,检测到热钱包出现异常取款。黑客盗走约300万枚EOS,价值约1340万美元,以及2000万枚XRP,价值600万美元。早在2018年6月,该交易所就因黑客攻击损失了价值达3100万美元的加密货币,不到1年的时间里Bithumb接连出现2次被黑事件。慢雾观点加密货币交易所遭受二次攻击,不排除内鬼作案。确实在金钱魔力面前,人性经不住考验,而许多交易所的内部安全风控建设工作又过于缺失,这促使了内鬼有足够动机作案,导致交易所被盗币。No.6币安被盗7074枚比特币

发生日期:2019-05-08事件描述:5月8日,加密货币交易所币安发布安全公告称,5月7日17:15:24,黑客在区块高度575012处从币安热钱包中盗取7074枚比特币,黑客此前已发现系统存在的安全漏洞,但一直很耐心,直到系统出现大额交易才出手。慢雾观点随着地下黑客职业军团相继进场,职业的地下黑客通过高级钓鱼及木马植入,层层渗透最终拿到交易所的私钥权限,导致加密货币交易所被盗币。面对地下黑客职业军团的攻势,交易所侧安全防御表现极其无力。交易所可以与可信且职业的安全团队进行深入合作,部署因地制宜的安全建议,做到默认一切不可信的心态去接触这个世界。No.7TokenStore被爆跑路,卷走用户数十亿资产

动态 | 慢雾:巨鲸被盗2.6亿元资产,或因Blockchain.info安全体系存在缺陷:针对加密巨鲸账户(zhoujianfu)被盗价值2.6亿元的BTC和BCH,慢雾安全团队目前得到的推测如下:该大户私钥自己可以控制,他在Reddit上发了BTC签名,已验证是对的,且猜测是使用了一款很知名的去中心化钱包服务,而且这种去中心化钱包居然还需要SIM卡认证,也就是说有用户系统,可以开启基于SIM卡的短信双因素认证,猜测可能是Blockchain.info,因为它吻合这些特征,且历史上慢雾安全团队就收到几起Blockchain.info用户被盗币的威胁情报,Blockchain.info的安全体系做得并不足够好。目前慢雾正在积极跟进更多细节,包括与该大户直接联系以及尽力提供可能需求的帮助。[2020/2/22]

发生日期:2019-06-10事件描述:5月31日,TokenStore发布公告称由于受到黑客攻击,系统将全面升级维护10天,并强调不管发生什么,平台会坚持运行。6月10日,社区多位用户反映,TokenStore在升级公告发布10天之后疑似跑路,投资人数十亿资金被一卷而空。慢雾观点资金盘跑路还不忘把锅甩给黑客攻击,真是花样百出……类似项目经常使用“高收益”、“最新区块链科技”等名词进行包装,实则是庞氏局,投资者们要仔细分辨,切莫参与。No.8PlusToken跑路卷走约20亿美元加密货币

发生日期:2019-06-27事件描述:6月27日晚上,有投资者发现,自己的PlusToken钱包无法提现了,遇到同样问题的人不在少数。有人发现,以往少则10分钟、最多3小时的提现时间,已经连续好几日没有任何反应,并且App无法登陆,客服也不在线。后被证实PlusToken跑路,局共吸纳了价值超过20亿美元的加密货币,包括180,000BTC、6,400,000ETH、111,000USDT等。慢雾观点PlusToken是同类资金盘项目里涉案金额最大、受害用户最多的一个,给区块链生态带来严重的负面影响。慢雾AML系统对PlusToken钱包的链上交易进行了持续地追踪与溯源,从统计数据发现,绝大部分加密货币已经被利用Mixer、免KYC的币币兑换平台进行清洗,进而转化为法币离场。No.9Bitrue被盗930万枚XRP

发生日期:2019-06-27事件描述:6月27日凌晨1点,总部位于新加坡的加密资产交易所Bitrue遭遇重大黑客攻击,其热钱包损失了930万枚XRP和250万枚ADA,被盗的XRP和ADA价值分别超过450万美元和23.75万美元。慢雾观点Bitrue官方表示,黑客利用风控系统的漏洞来访问用户的个人资金和Bitrue热钱包,进而实施盗币。由于交易所内部人员的安全意识缺失,本不该暴露的系统缺陷暴露了,给了地下黑客可乘之机,导致被盗币。在区块链世界攻防差距明显,以现在大多数交易所的防御能力不足以抵挡职业地下黑客的入侵。安全体系化建设工作很复杂,防御工作需要面面俱到,而入侵工作却可以单点突破。No.10BitPoint被盗价值约3200万美元的加密货币

发生日期:2019-07-11事件描述:Bitpoint在7月11日发生黑客攻击事件。黑客攻击了该交易所的热钱包和冷钱包,窃取了价值约3200万美元的比特币、比特币现金、莱特币、瑞波币和以太坊,其中约2300万美元的数字货币属于该交易所的用户。BitPoint表示,受害用户数量接近该交易所用户总数的一半,高达5万人。该交易所表示将承担用户的所有损失。慢雾观点三分之二的被盗资金属于客户,金融厅面子全毁。手法虽然未公开,但是不排除APT类攻击行为。地下黑客攻击愈加激烈,加密货币交易所侧安全防御面临新挑战。No.11第三方问题导致平台遭受攻击

发生日期:2019年7月事件描述:7月5日,NPM官方博客发布文章称,NPM安全团队与Komodo合作发现并阻止了针对名为Agama的加密货币钱包所有用户的恶意投威胁。攻击者将恶意程序包放入Agama的构建链中,用这种手法来窃取钱包应用程序中使用的钱包私钥和其他登录密码。慢雾观点在当下的技术架构中脱离不了第三方JavaScript库,所有项目方技术团队都应该强制至少一名核心技术完整review一遍所有第三方模块,看看是否存在可疑代码,也可以抓包看看是否存在可疑请求。No.12BitMEX、币安用户身份信息遭泄露

发生日期:2019年8月、11月事件描述:2019年11月1日,BitMEX在发送平台邮件通知时,由于没有采用密送设置,导致该邮件所有接收人的邮箱地址被泄露。事后有研究人员在推特上发布消息称,已收集到的邮箱地址超过2.3万个。币安用户KYC资料泄露事件发生于2019年8月,有人通过Telegram群「FINDYOURBINANCEKYC」公开发布币安用户KYC资料,之后币安发布消息称:Telegram群传播的KYC资料和币安系统信息不符,图片没有币安特定的电子水印,尚不能证明来自币安。慢雾观点用户身份信息应得到高强度的加密和保护,平台在早期架构设计时应贯彻落实这个策略,规避此类敏感信息泄露事件的发生。No.13Upbit被盗34.2万枚ETH

发生日期:2019-11-27事件描述:韩国交易所Upbit公告称,有34.2万个以太坊被盗,已转移至一个未知的以太坊地址,总价值约5000万美元。此前据WhaleAlert监测的链上数据显示,Upbit频繁转出大额加密货币,包括SNT、EOS、OMG、XLM、TRX、ETH等,总价值超过1亿美元。随后官方发布公告澄清,只有ETH是被黑客盗走的,其余资产均是交易所为了安全自行转移到冷钱包。慢雾观点目前怀疑和之前一直在活动的APT(高级持续性威胁)攻击有关,这种攻击的特点是长期潜伏,直到碰到可操作的大资金,一次性大笔盗走。当然也不能排除内鬼可能性。被盗的是Upbit的ETH热钱包,冷钱包应该无风险。附:交易所安全攻防总结

2019年交易所领域发生了大量的安全事件,且每个都造成了巨额的损失。慢雾科技在交易所安全攻防方面有深厚的沉淀,我们总结发现主要有如下几个攻击手法:1.内鬼作案。确实在金钱魔力面前,人性经不住考验,而许多交易所的内部安全风控建设工作又过于缺失,这促使了内鬼有足够动机作案,导致被盗币;2.假充值漏洞攻击。一些交易所在对接的各种公链或代币上的安全经验不足,导致充值环节中出现假资金情况,但交易所系统却认为是真的,导致被盗币;3.APT攻击。职业的地下黑客通过高级钓鱼及木马植入,层层渗透最终拿到交易所的私钥权限,导致被盗币;4.供应链攻击。交易所使用的第三方组件被黑植入了恶意代码,从而间接影响了交易所的安全防线,导致被盗币;5.粗心大意。由于交易所内部人员的安全意识缺失,本不该暴露的系统缺陷暴露了,给了地下黑客可乘之机,导致被盗币。从这些主要的攻击手法来看,可以总结出两个主要特点:1.内部人员人性之恶及安全意识、安全经验缺失;2.攻防差距明显,以现在大多数交易所的防御能力不足以抵挡职业地下黑客的入侵。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-2:831ms