12月盤點
據成都鏈安態勢感知平臺(Beosin-EagleEye)統計資料顯示,在過去一個月(12月)中,共發生『9』起較典型的安全事件。
其中包括:
DApp方面,本月內僅發生『1』起在波場上的安全事件:12月6日,Tron Lounge DApp遭到回滾交易攻擊,共計損失54653TRX。
公鏈方面,本月內共發生『4』起安全事件。
12月14日,唯鏈官方宣佈遭遇駭客攻擊,被盜走了11億枚VET, 640萬美元不翼而飛,超級權益節點已對黑名單中469個與竊賊相關的地址進行了攔截,從而凍結共計約7.27億VET。
12月20日,NULS公鏈官方賬戶被盜200萬NULS代幣,凌晨2點官方修復完漏洞,有548354.34696095NULS已流入到交易市場;硬分叉後,未流入到交易市場的1451645.65303905NULS將會以永久凍結的方式銷燬。
12月30日,公鏈IOTA主網出現共識分裂而無法更新的情況,TPS 一度接近 0,原因是在極端情況下,IRI(IOTA 主網客戶端名稱)沒有考慮兩個不同 bundle 之間共享的交易;一旦在一個 bundle 將某個交易標記為『已計數』,下一個 bundle 就會將其忽略,這一 bug 導致了賬本狀態的損壞,目前漏洞已修復。
12月1日,Vertcoin(VTC)遭受了51%攻擊,攻擊者成功利用自己的553個區塊替代了603個VTC主鏈區塊,此次攻擊攻擊者花費大概超過0.5BTC,然而收到的區塊獎勵總價值為13825VTC(0.44BTC)。值得一提的是,2018年12月VTC公鏈也曾遭到51%攻擊。
錢包方面,本月內發生『1』起惡意程式碼注入事件:以太坊錢包『Shitcoin Wallet』疑似被惡意JavaScript程式碼,企圖從瀏覽器視窗抓取資料併傳送至遠端伺服器erc20wallet.tk。
其他方面發生的安全事件有:
Poloniex加密貨幣交易所發郵件告知客戶或存在資料洩漏,洩露的電子郵件地址和密碼列表可能會被用於登入Poloniex帳戶;交易所強制在擁有該交易所帳戶的任何電子郵件地址上重設密碼。
駭客被發現利用著名流行歌手泰勒·斯威夫特(Taylor Swift)的JPEG照片來隱藏惡意加密挖礦軟體MyKingz。
58COIN官方公告,透過使用者反饋,近期有不明人士或團伙冒用58COIN官方名義,利用高仿網站、高仿社群、高仿客服等手法誤導投資者以達成釣魚目的。
總的來說,12月較11月所發生的安全事件有所減少,在錢包、交易所、DApp方面發生的安全事件較少,且並未造成惡劣影響。
值得關注的是,本月發生的兩起公鏈安全事件,唯鏈和NULS公鏈的接連『爆雷』,都在警示我們公鏈安全問題不容忽視,不能夠簡單認為透過審計程式碼便是萬無一失。
鑑於當前區塊鏈安全領域的新形勢,『成都鏈安』在此提醒:
公鏈方面應尤其需要重視安全風險的發生。公鏈運營方需要從程式碼安全、人員安全培訓、專案風險預案等多方面,建立起一套完善的安全體系來提高抵禦攻擊的能力和降低被攻擊的風險。
必要時可尋求安全公司合作,透過第三方技術支援,完成安全檢測、安全加固等基礎設施建設,排查安全漏洞,以避免造成不必要的損失。
• 出品:成都鏈安·安全實驗室
• 製圖/編輯/排版:Zachary