首页 币圈新闻 PeckShield:八月共发生安全事件28起,DeFi市场成重灾区

PeckShield:八月共发生安全事件28起,DeFi市场成重灾区

原文来源:PeckShield

原文作者:PeckShield

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 28 起较为突出的安全事件,危害程度评级为「中级」,涉及 DeFi 8 起、钱包安全 2 起,公链安全 6 起,交易所相关 1 起,勒索相关 4 起,诈骗跑路 7 起等。

DeFi 安全

8 月份共发生 8 起 DeFi 相关安全事件,具体如下:1)DeFi 项目 Yam Finance(YAM)发布推文称,在 Rebase 合约时发现一个 bug。初始重新设置之后的 Rebase 将产生比预期更多的 YAM。具体参看 PeckShield 安全团队跟进分析的技术解读文章《回天乏术,一开始就注定失败的 YAM 投票拯救行动!》2)DeFi 项目 YFValue(YFV)发布公告称,团队于昨日在 YFV 质押池中发现一个漏洞,恶意参与者借此漏洞对质押中的 YFV 计时器单独重置。3)08 月 05 日,DeFi 期权平台 Opyn 的看跌期权(Opyn ETH Put)智能合约遭到黑客攻击,损失约 37 万美元。攻击者发现 Opyn 智能合约行权(exercise)接口对接收到的 ETH 存在某些处理缺陷,其合约并没有对交易者的实时交易额进行检验,使得攻击者可以在一笔对自己发起真实的交易之后,再插入一笔伪装交易骗得卖方所抵押的数字资产,进而实现空手套白狼。具体参看《PeckShield:DeFi 平台 Opyn 智能合约漏洞详解——攻击者空手套白狼!》4)YFII 的硬分叉项目 YYFI 已在 8 月 1 日凌晨彻底成为了「退出骗局」,从一开始这个项目似乎就打定了注意为自己的跑路做好了准备。5)推特上有网友爆料称 DeFi 流动性挖矿项目 Degen.Money 通过两次授权获取用户资金。第一次授权给了质押合约,第二次授权给了转账权,会导致用户资金被攻击者拿走。6)新兴的自动做市商平台 SushiSwap,被曝智能合约中存在多个安全漏洞。该漏洞可能会被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。7)DeFi 流动性耕种匿名项目 BASED 官方宣布将重新部署质押池,官方发布推特称,有黑客试图将「Pool1」永久冻结,但尝试失败。而「Pool1」将继续按计划进行。8)两个小型代币项目——NUGS 和 NEXE——在上线 Uniswap 不久后疑似已进行了「跑路诈骗」。NUGS 项目将这一举动归咎于「智能合约漏洞」,在其官方电报频道,NUGS 表示其智能合同现已「无法修复」。另一个项目 NEXE 疑似也已跑路,该项目的社交媒体账号已被删除。PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。数字钱包安全8 月份共发生 2 起钱包安全事件:1)一 GitHub 用户表示其比特币巨额款项被黑客盗取。据悉,该用户使用的是比特币钱包 Electrum 软件,上次访问是在 2017 年。此后 Electrum 已经发布了安全更新,但该用户一直没有安装,因此他这回转移比特币之前,被提示更新和修补潜在问题。但当他根据提示操作的时候,该软件利用一个漏洞连接了黑客的服务器,1400 枚 BTC(价值 1600 万美元)随即从他的钱包中被取出,存入了黑客的钱包中。2)8 月 30 日消息,加密钱包提供商 Ledger 最近出现了数据库泄露以及钱包漏洞,使用户的比特币面临风险。Ledger 首席技术官 Charles Guillemet 对此表示,就数据库泄露而言,攻击者通过第三方在我们网站上配置错误的 API 密钥访问了我们的电子商务和营销数据库的一部分,允许未经授权访问我们客户的联系方式和订单数据。Ledger 在同一天修复了这个问题,并禁用了 API 密钥。PeckShield 点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。公链安全8 月份共发生 6 起公链相关安全事件:1)8 月 4 日早间,Adamant Capital 创始人 Tuur Demeester 发推称,今日比特币全节点可能正在遭受连接槽耗尽攻击。而根据 Tuur Demeester 所转发的 Blockstream 副总裁 Warren Togami 发布的消息,其监测的几个比特币全节点,所有转入的连接插槽都满了。Warren Togami 表示,当公共传入连接槽耗尽时,来自本地主机的传入连接将停止。2)根据北京大学、北京邮电大学、浙江大学和昆士兰大学的研究人员的一项新研究,以太坊区块链上价值超过 10 亿美元的代币缺少 2017 年发布的一项软件标准,使这些代币容易被劫持并从交易所流失。该软件漏洞被称为假冒存款(fake deposit)漏洞,已在 7772 个 ERC-20 代币发行商处被发现。该研究表明,通过操纵使用了不足的交易验证方法的 ERC-20 代币智能合约中的代码,黑客几乎可以无成本骗取大量资金。假冒的存款攻击随后可能会使交易所崩溃,导致 ERC-20 代币和其他加密货币持有人损失其资金。3)OpenEthereum 中的一个更新使运行在新版本上的节点基本上无用,这个 bug 似乎是在 OpenEthereum 的 2.7.2 版本中引入的。OpenEthereum 决定简单地废弃 2.7 版本,因为此版本及其 bug 非常难修复。最新的 2.5.13 稳定版迭代定于 9 月中旬在 Berlin 硬分叉之前发布。但是,在此之前,下载新版本的运营商将面临极具破坏性的降级任务。基础架构开发商 BlockNative 的开发商 Liam Aharon 在 Twitter 上强调,降级需要完全重新同步区块链,「对于某些节点配置,这将需要数月的时间。」该漏洞影响了当前 Parity 大约 50%的节点,根据 Ethernodes 的数据,该节点总计占整个网络的 12%。OpenEthereum 团队正在研究一种转换过程,该过程将帮助节点避免昂贵的重新同步。4)Bitfly(Ethermine 矿池母公司)发推称,今天,ETC 区块链在区块高度 10904146 经历了一次 3693 个区块的链重组。这导致所有状态修建节点停止同步。这可能是 51% 攻击造成的,而后官方寻求所有交易所立即停止存取款,并调查所有最近发生的交易。5)8 月 30 日,Bitfly(Ethermine 矿池母公司)官方发推称,今日 ETC 又遭遇了一次大规模 51% 攻击,导致 7000 多个区块发生重组,相当于大约 2 天的开采时间。所有丢失的区块将从未到期的余额中移除,其将检查所有支出以查找丢失的交易。6)8 月 25 日, Filecoin 太空竞赛开启, CDSI 联盟节点\”t02398\”便遭受大量恶意非法攻击,攻击者通过已过滤白名单发送大量 message 堵塞节点,消耗 Lotus 节点大量运算使得节点不能正常完成任务最终导致丢掉算力。PeckShield 点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。交易所相关8 月份共发生 1 起交易所相关安全事件:1)韩国第三大数字货币交易所 Coinbit 被韩国警方查封调查,其董事长以及运营方涉嫌交易所内部交易和操纵市场价格。据悉,Coinbit 排在 Bithumb 和 Upbit 之后,为韩国第三大交易所。警方称该公司涉嫌利用非法手段赚取了至少 1000 亿韩元的非法利益(约 8500 万美元),Coinbit 同时涉嫌伪造了其超过 99%交易量。PeckShield 点评:黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。详情可访问 www.coinholmes.com 了解。勒索相关8 月份共发生 4 起勒索相关安全事件:1)过去几周,一个犯罪团伙对全球一些最大的金融服务提供商发起了 DDoS 攻击,并索要比特币赎金。据悉,该组织使用了像 Armada Collective 和 Fancy Bear 这样的名字——这两个名字都是借鉴了知名黑客组织——给公司发邮件,威胁将进行 DDoS 攻击并索要比特币赎金。2)勒索软件犯罪团伙 REvil(也被称为 Sodinokibi),声称已成功袭击了美国葡萄酒和烈酒巨头 Brown-Forman Corp,黑客在其暗网官方博客以大约 150 万美元的价格出售被盗数据。不过,Brown-Forman Corp 在一份声明中表示,他们已经成功地阻止了该网络犯罪团伙加密文件。3)奥地利警方正在调查炸弹威胁勒索激增的情况,此前有多家公司周二早上收到了勒索比特币的电子邮件。邮件内容显示,如果不在未来 80 小时内支付价值 2 万美元的比特币,他们将引爆炸药。奥地利媒体称,电子邮件中还包含有关如何购买比特币的说明。4)特斯拉通过与美国联邦调查局(FBI)展开合作,成功破获一起计划中的勒索软件攻击。据悉,该起攻击的目标是特斯拉位于内华达州的一处工厂,攻击者要求特斯拉支付价值数百万美元的比特币。PeckShield 点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗。其他诈骗跑路等事件除上述之外,8 月份还发生了多起诈骗跑路事件值得警惕,例如:1)兰州市公安局安宁分局近日成功打掉了一个利用虚假理财平台实施电信网络诈骗犯罪的犯罪团伙,共抓获犯罪嫌疑人 41 人,冻结涉案赃款 27 万余元、查扣宝马汽车 2 辆以及用于作案的手机、电脑等工具 100 余台(部)。2)8 月 20 日,从江苏省苏州市公安局获悉,在「净网 2020」专项行动中,该市破获一起针对虚拟货币的黑客犯罪案件,抓获多名犯罪嫌疑人。嫌疑人专门利用黑客手段盗取账户密码、窃取虚拟货币,并通过暗网联系职业洗钱销赃团伙变现,涉案金额达 3000 余万元。3)以色列网络安全公司 Mitiga 建议运行某些程序的亚马逊网络服务(Amazon Web Services)的所有客户检查自己是否受到了门罗币挖矿软件的恶意感染。在今天的一份报告中,Migita 称任何运行基于 Community AMIs(Amazon Machine Images)的 EC2 实例的用户都容易受到该加密挖矿软件的攻击。据悉,Migita 是在检查一家金融机4)腾讯安全威胁情报中心检测到大量源自境外 IP 及部分国内 IP 针对国内云服务器租户的攻击。攻击者通过 SSH(22 端口)爆破登陆服务器,然后执行恶意命令下载 Muhstik 僵尸网络木马。该僵尸网络会控制失陷服务器执行 SSH 横向移动、下载门罗币挖矿木马和接受远程指令发起 DDoS 攻击。5)西班牙加密货币支付应用和信用卡发行商 2gether 承认,上周五(7 月 31 日)黑客盗取 140 万美元,公司无法立即偿还受攻击影响的用户,并提出一个折衷方案。2gether 一直在努力寻找资金,但是与一家投资集团的谈判失败,未能找到资金向所有用户偿还被盗资金。6)8 月 15 日消息,中国香港警方逮捕了三名男子,他们涉嫌从比特币 ATM 机中骗取近 23 万港元 (合 3 万美元),这是香港首例此类案件。在两家加密货币交易所提交报告后,警方在过去两天采取了行动。这些交易所怀疑犯罪分子利用了自动取款机的「漏洞」,在没有得到官方授权的情况下提取现金。7)近期,广州白云警方在深入开展飓风 2020 专项行动过程中,发现并打掉了一个借助「跑分」平台进行数字货币交易,从而为电信诈骗「洗钱」的团伙,抓获涉案嫌疑人 9 人,缴获作案手机、银行卡等涉案物品一批。PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

关于作者: szhbsd

热门文章