據成都鏈安『安全態勢感知系統』(beosin-eagle eye)資料監測顯示:在過去的8月中,整個區塊鏈生態所面臨的安全形勢十分嚴峻,不完全統計,總共發生了超39起較典型的安全事件,屬2020年度內目前單月數量最高。本月安全事件的整體風險評級為『高』,需區塊鏈生態各專案方引起重視,防微杜漸。與7月相比,8月各版塊所發生的安全事件均呈上漲趨勢。經成都鏈安安全人員統計,8月發生較典型安全事件細項如下:
交易所方面,共發生『4』起較典型的安全事件
01
去中心化金融基礎設施sperax表示,部分交易所近日發出公告引導使用者進入其平臺搶購spa代幣。sperax目前未與任何交易所有任何官方合作,且sperax在美國東海岸時間8月14日表示在官網公募前不會分發spa代幣。
02
加密貨幣交易所kucoin警告稱,有欺詐網站使用其品牌試圖竊取加密貨幣。該網站提供虛假獎勵,誘使使用者存入數字資產。
03
日本加密貨幣交易所taotao官方表示,東京時間8月22日12點46分-12點56分,該交易所因系統故障導致交易對報價無法更新,該問題現已修復。故障影響仍在調查中。
04
有網路犯罪分子一直在假冒btc era交易平臺,意在以惡意軟體感染潛在使用者。這家網路安全公司發現,作惡者一直在傳送據稱是來自btc era的電子郵件,以誘使使用者投資付費。
defi方面,共發生『5』起較典型的安全事件
01
opyn官方發文,就平臺漏洞導致eth被盜事件作出更新,將全額賠償受漏洞影響的eth看跌期權賣家。對於eth看跌期權買家,按高於市場價20%的價格贖回看跌期權。
02
defi流動性耕種匿名專案based官方宣佈,將重新部署質押池。官方釋出推特稱,有駭客試圖將『pool1』永久凍結,但嘗試失敗。
03
在yam finance倉促開發的合約中,一個rebase函式漏洞導致了治理合約被『永久破壞』,價值75萬美元的curve代幣被鎖定而無法使用。
04
波場官方支援的dzi爆出漏洞,工程師在正式上線直接呼叫合約獲取dzi,損失慘重。
05
推特有網友爆料稱,defi流動性挖礦專案degen.money利用雙重授權漏洞(double approval exploit)來獲取使用者資金。yfi創始人andre cronje也在推特表示,該專案確實存在風險,需手動取消授權。
beosin評論:
defi專案仍是當下階段的熱門趨勢,有許多專案上線後,就被曝出嚴重的安全漏洞。成都鏈安建議各大專案方在專案上線之前,一定要做好安全審計工作,根除安全隱患,從而減少不必要的損失。
詐騙跑路/加密騙局方面,共發生『8』起較典型的安全事件
01
加拿大安大略省彼得伯勒縣警察支隊正在調查兩起欺詐事件,涉案總金額達78000美元。嫌疑人假冒警察誘騙受害人將資金存入其要求的比特幣賬戶中,否則將被逮捕。
02
據jon prosser8月5日釋出的一條推文,其擁有26.2萬名訂閱使用者的youtube頻道遭到駭客攻擊,頻道名稱被改為『nasa [news]』,並開始直播關於spacex ceo埃隆·馬斯克贈送比特幣的虛假訊息。約兩個小時內,非法獲利4000美元。
03
今年以來,與推特同樣型別的加密騙局在instagram上猖獗。有超過130萬的instagram帖子使用#coinbase標籤,但其中絕大多數都是虛假資訊;也存在假冒名人賬號釋出虛假加密資訊的詐騙行為。
04
8月7日,uniswap已出現srm假幣,已有使用者被騙。serum釋出推特提醒使用者提高警惕,在除ftx和bitmax平臺以外的其他交易平臺(如uniswap等)出現的srm,均為假冒。
05
scamalert網站正在追蹤一些涉嫌加密騙局的地址,已確認和可疑的數字貨幣地址數量已超過5萬。
06
英國國家網路安全中心(ncsc)刪除了超過30萬個與名人有關的虛假代言投資機會的url,其中超過一半的網站屬於欺騙性加密貨幣投資計劃。
07
蘇州園區警方偵破蘇州首起針對虛擬貨幣的駭客犯罪案件,抓獲了多名專門利用駭客手段盜取賬戶密碼來竊取虛擬貨幣,並透過暗網聯絡職業洗錢銷贓團伙變現的犯罪嫌疑人。
08
cftc要求對加密騙局control-finance負責人處以4.29億美元民事罰款。
勒索軟體/挖礦木馬方面,共發生『8』起較典型的安全事件
01
美國第五大旅遊公司cwt同意向劫持其計算機系統的駭客支付價值450萬美元的比特幣。
02
據外媒報道,fbi釋出了針對美國和外國政府組織的netwalker勒索軟體攻擊的新安全警報。隨後,聯邦政府建議受害者不要支付贖金,並向當地的聯邦調查局外地辦事處報告了此次事件。
03
微步情報局監測到一起嘗試攻擊docker主機並植入挖礦木馬的攻擊活動,該挖礦木馬存放在一臺位於德國的伺服器(85.214.149.236)中。
04
跨國公司佳能(canon)的電子郵件、儲存服務和其美國網站遭到了maze團伙的勒索軟體攻擊。maze要求佳能支付加密貨幣贖金,否則將洩露其照片和資料。
05
garmin遭勒索攻擊的風波未平,此後佳能又遭受了勒索軟體攻擊。攻擊除了讓佳能的一些網站宕機以外,據說還導致佳能伺服器中高達10tb的資料被盜。
06
勒索軟體犯罪團伙revil聲稱已成功襲擊了美國葡萄酒和烈酒巨頭brown-forman corp。該公司拒絕支付revil要求的門羅幣贖金。作為迴應,駭客在其暗網官方部落格以大約150萬美元的價格出售被盜資料。
07
以色列網路安全公司mitiga建議執行某些程式的亞馬遜網路服務(amazon web services)的所有客戶,檢查自己是否受到了門羅幣挖礦軟體的惡意感染。migita稱任何執行基於community amis(amazon machine images)的ec2例項的使用者都容易受到該加密挖礦軟體的攻擊。
08
一犯罪團伙對全球一些最大的金融服務提供商(包括moneygram、yesbank indiak、paypal、braintree和venmo)發起了ddos攻擊,並索要比特幣贖金。
暗網方面,共發生『2』起較典型的安全事件
01
114萬俄羅斯人的護照資料正在暗網的地下商店出售。據悉,此前在憲法改革公投中,這些俄羅斯公民透過區塊鏈平臺投票,但他們的資料在網際網路上遭到了洩露。
02
著名暗網市場empire market已關閉運營,退出時該網站共騙取了130萬使用者的約2638枚比特幣,價值近3000萬美元。
其他方面,共發生『12』起較典型的安全事件
01
加密貨幣錢包ledger撰文迴應安全研究人員monokh披露的安全漏洞。ledger表示,已釋出比特幣應用程式v 1.4.6版本,該版本旨在改善monokh所披露的安全漏洞。另外,ledger也針對萊特幣、狗狗幣等應用程式進行了更新。
02
etc最近遭受的51%攻擊據信導致了大約560萬美元的加密貨幣被『雙花』。
03
社交新聞網站reddit遭遇大規模駭客攻擊,攻擊者破壞了reddit包括美國國家橄欖球聯盟、電視節目、海盜灣、迪士尼樂園、復仇者聯盟等數十個頻道,這些頻道加起來擁有數千萬的使用者,以顯示支援唐納德·特朗普連任。
04
騰訊安全威脅情報中心檢測到大量源自境外ip及部分國內ip針對國內雲伺服器租戶的攻擊。國內多家知名企業的雲伺服器均受到該殭屍網路攻擊,已有上千臺伺服器淪陷受害。
05
法官判處澳大利亞駭客kathryn nguyen刑期2年零3個月,原因是她在2018年1月xrp接近其歷史最高點3.29美元的時候,盜竊了10萬枚以上xrp代幣(目前價值約30萬美元)。
06
今年駭客對隱私瀏覽器tor產生了重大影響,他們正在利用這種影響劫持比特幣。透過tor出口中繼,駭客將加密交易中的比特幣資金轉到自己手中。
07
保加利亞kyustendil小鎮上兩名男子因盜竊電力開採比特幣而被拘留,被盜電力價值150萬美元。
08
美國政府正在起訴美國國家安全域性(nsa)洩密者edward snowden。根據最近的一份法庭檔案,斯諾登在虛擬會議上的演講費高達120萬美元,其中至少有3.5萬美元來自比特幣和加密公司。
09
8月21日,uber前首席安全官joseph sullivan試圖掩蓋2016年的駭客攻擊。兩名駭客入侵了數百萬使用者和驅動程式的資料,並要求他支付六位數的報酬。在2016年12月,sullivan向駭客支付了10萬美元的比特幣。
10
8月24日,駭客從cryptotrader.tax中竊取了1000多個使用者的資料。cryptotrader.tax是一款用來計算和歸檔加密貨幣交易稅的線上服務。
11
朝鮮駭客組織lazarus再次將目光瞄準加密貨幣,最新的攻擊事件是透過linkedin的一個招聘廣告傳送釣魚文件,該文件與一家區塊鏈技術公司有關。
12
一項研究顯示,以太坊區塊鏈上價值超過10億美元的代幣缺少2017年釋出的一項軟體標準,使得它們可以被劫持並從交易交易所中抽走。
鑑於當前區塊鏈安全領域的新形勢,『成都鏈安』在此總結:
從總體上看,8月區塊鏈整個生態所發生的安全事件頗多,較之7月呈明顯上漲的趨勢。值得一提的是,8月所發生的安全事件是2020年度目前單月內數量最多的,整體風險評級為『高』。其中,發生在defi方面的安全事件尤其值得我們注意。因defi熱度持續走高,後續該板塊下所暗藏的安全風險可能是極大的,不能放鬆警惕。
同時,本月defi方面相關專案也出現了幾起較為嚴重的安全漏洞,因此成都鏈安也要提醒廣大專案方在專案籌備階段一定要做好相關的安全工作。對即將上線的合約,切記要尋找專業的安全公司來進行程式碼審計,以避免上線後造成不可挽回的損失。
另外,還需要注意的是,在詐騙跑路/加密騙局方面,本月所發生的相關騙局事件也是時有發生;與此同時,也能看到有關部門正在對此版塊加強關注,被破獲的騙局事件也有所增加。在此,成都鏈安需要提醒廣大使用者,切勿輕信『天上掉餡餅』的事情;謹慎分辨網路上的有關訊息,切莫掉進圈套。