首发 | 区块链领域攻击频发细数7月以来发生的区块链相关攻击事件

以太坊最新价格 来源: (阅读:0)

事件

黑客勒索及其他攻击

传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是7月至今发生的黑客勒索攻击事件中的主要攻击方式。

此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击(利用了社会工程的方法),其攻击者是三名青少年,其中最大年龄仅有22岁,这起事件在7月以来的安全事件中较典型的一例,产生的影响范围极广。

7月2日,MongoDB遭受到攻击,约22900个数据库被清空,攻击者要求以BTC作为赎金赎回被清空数据库的备份。

7月11日, Cashaa交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移约合9800美元的BTC。

THORChain:当前负债低于准备金的2%,无常损失保护的工作方式与Bancor不同:6月20日消息,去中心化跨链交易协议THORChain在社交媒体回应是否也会停止ILP时表示,当前负债低于准备金的2%,且无常损失保护(Impermanent Loss Protection)的工作方式与Bancor不同,因为它保护双边存款,并且这50%以其自有资产计价。

早些时候,Bancor宣布暂停无常损失保护。[2022/6/20 4:40:36]

7月15日, twitter遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。

7月22日,约克大学信息被盗取,攻击者要求约合114万美金的BTC作为赎金。

现货黄金较日低反弹近20美元:现货黄金走高,日内涨1%,较日低反弹近20美元,现报1811.56美元/盎司。[2021/2/6 19:01:34]

7月23日,英国足球联盟信息被盗取,攻击者要求BTC作为赎金。

7月25日,西班牙铁路基础建设管理局约800gb信息被盗,攻击者要求BTC作为赎金。

7月30日,佳能遭受到黑客攻击,约10tb照片和其他类型数据被盗,用户要求以数字货币作为赎金。

7月31日,数字货币交易所2gether遭受到黑客攻击,约139万美金的BTC被盗。

代码漏洞攻击

对于代码漏洞攻击相关事件,攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件(租用庞大的算力)来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。

链上ChainUP Joy:把握风口 链上已布局全产业链Filecoin产品:10月22日,链上ChainUP深圳负责人Joy在萌眼财经Filecoin专题AMA中提到,“链上ChainUP成立三年以来,一直坚持为行业提供优质的产品和服务,布局完善的区块链生态产业链。随着IPFS成为今年最火的一个浪潮,在今年年初链上ChainUP设立了2000万美金的IPFS专项基金,主要投资对象包括媒体平台、云算力、矿机等。

同时,ChainUP集团旗下链上云平台于10月15日Filecoin主网上线之后第一时间开启了FIL交易,链上Filecoin产品全家桶也和大家正式见面。

链上Filecoin全家桶包含了链上云、WaaS联盟、链上流动性、金色算力云、开源矿池,提供全产业链的Filecoin产品。”[2020/10/23]

8月4日,DeFi项目Opyn被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约37万美金的损失。

攻击类型及危险

攻击事件类型及危险程序:

勒索及其他攻击——攻击的方法和媒介如下:

代码漏洞攻击:——攻击的方法和媒介如下:

因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析第9号代码漏洞攻击事件。

代码漏洞攻击事件分析

第9号事件

此次事件发生于DeFi项目Opyn中,攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。

攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。

也就是说,攻击者可以用一笔ETH进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的ETH。

CertiK安全研究团队认为,Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。

总结

在此,CertiK安全团队建议如下:

做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。

做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。

做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。

我们绝不仅仅是寻找漏洞,而是要消除哪怕只有0.00000001%被攻击的可能性

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

标签:

币安app官网下载灰度申报以太坊信托 投资向数字化转型

最大的数字货币资产管理商灰度投资宣布旗下以太坊信托(ETHE)向美国证券交易委员会(SEC)公开提交了Form 10(证券注册通用表格)注册申请,拟申请注册为获得申报公司地位的数字货币投资工具。 以太坊信托经过审查承认有效之后,将成为第二个获得申报公司地位的数字货币投资工具。

UNI中行原副行长:央行数字货币应尽可能替代所有货币

文:王永利  中国银行原副行长,中国人民大学重阳金融研究院高级研究员 现有信用货币体系下,社会负债与货币总量的增长越来越超越社会财富的增长,越来越多的国家实际利率为负,货币币值呈现长期大幅贬值态势,积累着越来越严重的货币金融风险乃至危机隐患,亟需推动货币运行机制的深刻变革。

币安app官方下载最新版如何竞拍波卡平行链?

Polkadot 的平行链插槽将根据无需许可的蜡烛拍卖进行出售,我们在这个蜡烛拍卖的基础上做了一些改进,以确保区块链的安全。 蜡烛拍卖机制 蜡烛拍卖是公开拍卖的一种变体,在公开拍卖中,竞买人提交的出价越来越高,拍卖结束时,出价最高的人被认为是赢家。 蜡烛拍卖最初是在 16 世纪用于出售船只,并从决定拍卖开放期的 “一寸蜡烛” 中得名。

MATIC八月深圳更添彩 OKEX × 哼哈互动聚力之夜成功举办

8月6日,由OKEX×哼哈互动联合举办的“聚力之夜 VIP私酒局”在深圳海上世界广场成功举办,此次活动共定向邀请了400余位行业资深从业者参与,交流行业发展,聚集行业力量。 本次聚力之夜 VIP私酒局在19:30拉开帷幕,活动共分为主持人开场、主办方致辞&抽奖、分享环节、抽奖环节、自由交流等部分,本次活动由OKEX首席战略官徐坤主持。

[0:15ms0-0:500ms