比特大陆-比特币价格行情交易交流平台!

慢雾:2019 年度区块链安全与隐私生态大事记

更新时间:2021-07-17 22:44点击:

2019 年区块链行业进步迅猛,中心化交易平台/去中心化交易平台、DApp、Staking、CeFi/去中心化的金融、Web3.0 等定义渐渐变得耳熟能详,很多资金的涌入,不断吸引地下黑客的视线往区块链行业转移。据慢雾区块链被黑档案库数据统计,2019 年全年区块链行业发生安全事件超 130 起,累计损失资金超 50 亿美金,交易平台、钱包、DApp 成黑客攻击重灾区。

慢雾科技将通过这篇文章梳理 2019 年区块链安全与隐私生态发生的影响重大的事件,为读者回顾事件详细情况,同时对每一个事件附上慢雾看法。虽然本文列举的只是冰山一角,但具备非常大的代表性。

No.1 ETC遭受51%攻击

发过生日期:2019-01-05
事件描述:

1 月 5 日下午,ETC 高度为 7245623 的区块发生异动,1 月 7 日慢雾安全团队披露称,ETC 疑似发生了 51% 攻击,有不少区块发生回滚,在短短两天之间,ETC 互联网共遭受了至少 11 次疑似双花攻击,损失约值 46 万USD的 ETC,1 月 8 日,Gate.io 研究院发布通知称,已确认 ETC 互联网遭受 51% 攻击并定位到攻击者的 ETC 地址。

慢雾看法

没经过真实攻击洗礼且维持进化的公链都不是安全的公链。当双花攻击变得容易见到时,公链需要将防控双花攻击作为风控机制的一部分。作为数字货币生态的参与者,防范双花攻击可能并不止是公链的责任,交易平台、钱包、资金投入人都有必要提升警惕。

No.2 CrypTOPia遭攻击后破产

发过生日期:2019-01-14
事件描述:

1 月 14 日,新西兰数字货币交易平台 CrypTOPia 遭受黑客攻击,黑客共偷走了价值 1600 万USD的ETH和 ERC20 代币,随后中止了其平台服务,早在推文发出之前的 13 个小时,该公司曾对外表示“平台正在进行计划外的维护”,暗示交易平台已经遭到黑客攻击。随后警方参与了对黑客攻击事件的调查,而 CrypTOPia 交易平台无力继续运营。今年 5 月,CrypTOPia 交易平台宣布关闭并申请破产保护,该交易平台欠债权人超越 270 万USD。

慢雾看法

CrypTOPia 被黑事件成为交易平台 2019 新年第一“盗”,地下黑客将攻击的重点目的转向了数字货币交易平台,数字货币交易平台侧的攻防战场开始火热起来。跟随数字货币大生态的进步,地下黑客职业军团相继踏入区块链攻防世界。

No.3 海量柚子币 DApp遭遇买卖排挤攻击

发过生日期:2019 年 1 月开始
事件描述:

2019 年 1 月 11 日凌晨,柚子币.WIN 遭遇黑客攻击。柚子币.WIN 的攻击者使用的是新型攻击手法,为“买卖排挤攻击”,这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。攻击者第一是发起正常的转账买卖,然后用另一个合约帐号测试中奖行为。假如不中奖,则发起很多的 defer 买卖,将项目方的开奖买卖“挤”到下一个区块中。该类攻击来自于项目方的随机数算法用了时间种子,使攻击者提高了中奖几率,致使攻击成功。

慢雾看法

区块链上没完美的随机数策略,只须是使用链上的变量作为随机数因子,都存在被黑客攻破的可能。建议开发者使用 柚子币 官方推荐的随机数安全实践“Randomization in Contracts”,或者引入预言机。同时在合约设计时加上风控机制,譬如奖池大额转出超越某个阈值自动中止。

No.4 DragonEx遭入侵损失超600万USD数字货币

发过生日期:2019-03-24
事件描述:

数字货币交易平台 DragonEx 发布通知称平台钱包遭受黑客入侵,致使用户和平台的数字资产失窃,涉及 比特币、以太币、柚子币、瑞波币、TRX 等 20 余种主流数字资产,总损失超 600 万USD。

慢雾看法

在攻击事件发生后,国内外多家安全公司证实该事件是黑客组织 Lazarus 所为。该组织通过运营和模拟正常的量化软件,以高收益和高收益通过交易平台对外的客服魅惑交易平台高层用。量化软件中隐藏有后门,一旦软件被传递到重要人电脑上运行就会进行一序列渗透和黑客动作。

伴随数字货币的进步,黑客组织 Lazarus 对数字货币的兴趣已经愈加浓厚,黑客攻击也愈加多,呈现出 APT性质,只有交易平台自己做好防护手段,才能让黑客不再有机可乘。

No.5 Bithumb失窃3百万柚子币和2千万瑞波币

发过生日期:2019-03-29
事件描述:

3 月 29 日,韩国数字货币交易平台 Bithumb 承认遭到黑客攻击。一名管理职员表示,当地时间 3 月 29 日晚 10 点 15 分左右,测试到热钱包出现异常取款。黑客盗走约 300 万枚 柚子币,价值约 1340 万USD,与 2000 万枚 瑞波币,价值 600 万USD。早在 2018 年 6 月,该交易平台就因黑客攻击损失了价值达 3100 万USD的数字货币,不到 1 年的时间里 Bithumb 接连出现 2 次被黑事件。

慢雾看法

数字货币交易平台遭受二次攻击,不排除内鬼作案。确实在资金魔力面前,人性经不住考验,而很多交易平台的内部安全风控建设工作又过于缺失,这促进了内鬼有足够动机作案,致使交易平台失窃币。

No.6 Binance失窃7074枚BTC

发过生日期:2019-05-08
事件描述:

5 月 8 日,数字货币交易平台Binance发布安全通知称,5 月 7 日 17:15:24,黑客在区块高度 575012 处从Binance热钱包中盗取 7074 枚BTC(价值约 4000 万USD),黑客此前已发现系统存在的安全漏洞,但一直非常耐心,直到系统出现大额买卖才出手。

慢雾看法

伴随地下黑客职业军团相继进场,职业的地下黑客通过高级钓鱼及木马植入,层层渗透最后拿到交易平台的私钥权限,致使数字货币交易平台失窃币。面对地下黑客职业军团的攻势,交易平台侧安全防御表现极其无力。交易平台可以与可信且职业的安全团队进行深入合作,部署因地制宜的安全建议,做到默认所有不可信的心态去接触这个世界。

No.7 TokenStore被爆跑路,卷走用户数十亿资产

发过生日期:2019-06-10
事件描述:

5 月 31 日,TokenStore 发布通知称因为遭到黑客攻击,系统将全方位升级维护 10 天,并强调不管发生什么,平台会坚持运行。6 月 10 日,社区多位用户反映,TokenStore 在升级通知发布 10 天之后疑似跑路,资金投入人数十亿资金被一卷而空。

慢雾看法

资金盘跑路还不忘把锅甩给黑客攻击,真是花样百出……类似项目常常用“高收益”、“最新区块链科技”等名词进行包装,实则是庞氏骗局,资金投入者们要仔细分辨,切莫参与。

No.8 PlusToken跑路卷走约20亿USD数字货币

发过生日期:2019-06-27

事件描述:

6 月 27 日晚上,有资金投入者发现,我们的 PlusToken 钱包没办法提现了,遇见同样问题的人不在少数。有人发现,以往少则 10 分钟、最多 3 小时的提现时间,已经连续好几日没任何反应,并且 App 没办法登陆,客服也不在线。后被证实 PlusToken 跑路,骗局共吸纳了价值超越 20 亿USD的数字货币,包括 180,000 比特币、6,400,000 以太币、111,000 泰达币 等。

慢雾看法

PlusToken 是相同种类资金盘项目里涉案金额最大、受害用户最多的一个,给区块链生态带来紧急的负面影响。慢雾 AML 系统对 PlusToken 钱包的链上买卖进行了持续地追踪与溯源,从统计数据发现,绝大多数数字货币已经被借助 Mixer(混币器)、免 KYC 的币币兑换平台进行清洗,进而转化为法币离场。

No.9 Bitrue失窃930万枚瑞波币

发过生日期:2019-06-27
事件描述:

6 月 27 日凌晨 1 点,总部坐落于新加坡的加密货币交易平台 Bitrue 遭遇重大黑客攻击,其热钱包损失了 930 万枚 瑞波币 和 250 万枚 ADA,失窃的 瑞波币 和 ADA 价值分别超越 450 万USD和 23.75 万USD。

慢雾看法

Bitrue 官方表示,黑客借助风控系统的漏洞来访问用户的个人资金和 Bitrue 热钱包,进而推行盗币。因为交易平台内部职员的安全意识缺失,本不该暴露的系统缺点暴露了,给了地下黑客可乘之机,致使失窃币。

在区块链世界攻防差距明显,以目前大部分交易平台的防御能力不足以抵挡职业地下黑客的入侵。安全体系化建设工作非常复杂,防御工作需要面面俱到,而入侵工作却可以单点突破。

No.10 BitPoint失窃价值约3200万USD的数字货币

发过生日期:2019-07-11

事件描述:

Bitpoint 在 7 月 11 日发生黑客攻击事件。黑客攻击了该交易平台的热钱包和冷钱包,窃取了价值约 3200 万USD的BTC、BTC现金、LTC、Ripple/XRP和ETH,其中约 2300 万USD的数字虚拟货币是该交易平台的用户。BitPoint 表示,受害用户数目接近该交易平台用户总数的一半,高达 5 万人。该交易平台表示将承担用户的所有损失。

慢雾看法

三分之二的失窃资金是顾客,金融厅面子全毁。手法虽然未公开,但不排除 APT 类攻击行为。地下黑客攻击更加激烈,数字货币交易平台侧安全防御面临新挑战。

No.11 第三方问题致使平台遭受攻击

发过生日期:2019 年 7 月
事件描述:

7 月 5 日,NPM 官方博客发布文章称,NPM 安全团队与 Komodo 合作发现并阻止了针对名为 Agama 的数字货币钱包所有用户的恶意投毒威胁。攻击者将恶意程序包放入 Agama 的构建链中,用这种手法来窃取钱包应用程序中用的钱包私钥和其他登录密码。

慢雾看法

在当下的技术构造中脱离不了第三方 JavaScript 库,所有项目方技术团队都要强制至少一名核心技术完整 review 一遍所有第三方模块,看看是不是存在可疑代码,也可以抓包看看是不是存在可疑请求。

No.12 BitMEX、Binance用户身份信息遭泄露

发过生日期:2019 年 8 月、11 月
事件描述:

2019 年 11 月 1 日,BitMEX 在发送平台邮件公告时,因为没使用密送设置,致使该邮件所有接收人的邮箱地址被泄露。事后有研究职员在twitter上发布消息称,已采集到的邮箱地址超越 2.3 万个。

Binance用户 KYC 资料泄露事件发生于 2019 年 8 月,有人通过 Telegram 群「FIND YOUR BINANCE KYC」公开发布Binance用户 KYC 资料,之后Binance发布消息称:Telegram 群传播的 KYC 资料和Binance系统信息不符,图片没Binance特定的电子水印,尚不可以证明来自Binance。

慢雾看法

用户身份信息应得到高强度的加密和保护,平台在早期构造设计时应贯彻落实这个方案,避免此类敏锐信息泄露事件的发生。

No.13 upbit失窃34.2万枚以太币

发过生日期:2019-11-27
事件描述:

韩国交易平台 Upbit 通知称,有 34.2 万个ETH失窃,已转移至一个未知的ETH地址(0xa098...029),总价值约 5000 万USD。此前据 WhaleAlert 监测的链上数据显示,Upbit 频繁转出大额数字货币,包括 SNT、柚子币、OMG、XLM、TRX、以太币 等,总价值超越 1 亿USD。随后官方发布通知澄清,只有 以太币 是被黑客盗走的,其余资产均是交易平台为了安全自行转移到冷钱包。

慢雾看法

现在怀疑和之前一直在活动的 APT攻击有关,这种攻击的特征是长期潜伏,直到碰到可操作的大资金,一次性大笔盗走。当然也不可以排除内鬼可能性。失窃的是 Upbit 的 以太币 热钱包,冷钱包应该无风险。

附:交易平台安全攻防概要

2019 年交易平台范围发生了很多的安全事件,且每一个都导致了巨额的损失。慢雾科技在交易平台安全攻防方面有深厚的沉淀,大家概要发现主要有如下几个攻击手法:

1. 内鬼作案。确实在资金魔力面前,人性经不住考验,而很多交易平台的内部安全风控建设工作又过于缺失,这促进了内鬼有足够动机作案,致使失窃币;
2. 假充值漏洞攻击。一些交易平台在对接的各种公链或代币上的安全经验不足,致使充值环节中出现假资金状况,但交易平台系统却觉得是真的,致使失窃币;
3. APT 攻击。职业的地下黑客通过高级钓鱼及木马植入,层层渗透最后拿到交易平台的私钥权限,致使失窃币;
4. 提供链攻击。交易平台用的第三方组件被黑植入了恶意代码,从而间接影响了交易平台的安全防线,致使失窃币;
5. 粗枝大叶。因为交易平台内部职员的安全意识缺失,本不该暴露的系统缺点暴露了,给了地下黑客可乘之机,致使失窃币。

从这部分主要的攻击手法来看,可以概要出两个特点:

1. 内部职员人性之恶及安全意识、安全经验缺失;

出处:慢雾科技

相关阅读

官方微信公众号