导语:在整理近两个月发生的安全事件时,笔者不禁想起互联网的早期,也曾走过安全事件频发的阶段。即使到现在,互联网行业的安全事故也没有完全杜绝。其实,任何新生的事物,都会存在安全隐患。区块链在经历18年的疯狂之后,慢慢回归理性,各种落地应用产品正在慢慢面世。对于新兴的行业来说,经历的安全事件是必不可少的。所以猎豹区块链安全将会坚持盘点每月的安全事件,在整理的同时,也和大家,以及整个区块链行业共同经历着成长。2019年1月16日——ETH君士坦丁堡升级推迟
事件背景
根据计划,以太坊社区原定会在7,080,000区块高度时进行君士坦丁堡分叉,这个时间大概是在中国的2019年1月16日。但是在升级前夜,ChainSecurity发布了君士坦丁堡升级相关的潜在问题。出于谨慎考虑,以太坊基金会决定推迟此次分叉。漏洞类型:可重入漏洞事件经过及安全分析
·为了更好的在未来过度到POS模式,以太坊基金决定推出过渡的升级方案——君士坦丁堡升级。因为在以太坊社区内部没有太多争议,所以不会导致硬分叉,而是以软分叉方式平稳过渡到下一阶段。·君士坦丁堡升级包括减少矿工回报等一系列的改进方案,其中的EIP1283将代替原来的1087,调整SSTORE操作码的净Gas计量。·虽然这看上去是对开发者很友好的方案,但是ChainSecurity却发现了其中的隐患:攻击者可以使用updateSplit设置当前split,以第一个地址(合约地址)接收所有的资金;并且调用splitFunds函数,;从回调函数,攻击者可以再次更新split,这次将所有资金分配到攻击者的第二个账户;splitFunds的执行继续,全部存款也转到第二个攻击者账户。·由于Gas费的下降。在升级之前,每个storage操作都需要至少5000gas。远远超过了使用transfer或send来调用合约时发送的2300gas费。·而在升级之后,攻击者合约可以使用2300gas费成功操纵漏洞合约的变量。·简单来说,攻击者可以在以太坊升级后执行TheDAO级别的重入攻击。·基于安全考虑,以太坊在深度讨论后,于太平洋时间上午12点宣布推迟君士坦丁堡升级计划安全小豹的看法
加密货币分析师Willy Woo:巨鲸自一月份以来稳定积累BTC显示宏观看涨趋势:加密货币分析师Willy Woo发推特称,glassnode数据显示,持有1000个以上 BTC的巨鲸数量不断增加。自从一月份以来,他们一直处于稳定的积累模式,没有受到新冠疫情造成的经济崩溃的影响。这是宏观看涨。[2020/5/6]
现实与理性总是会有一定距离,简单的几行代码就拖住了以太坊的升级步伐,在全面转向POS之前,又会经历哪些困境?分片,雷电网络这些优秀的技术何时才能面世?在成为“世界计算机”之前,以太坊还有很长的路要走。
2019年1月6日——ETC被51%攻击
事件背景
作为TheDao事件的硬分叉产物,是全球市值第二大的分叉链。分叉之后ETC一直使用POW算法,但全网算力一直处于比较低的水平,这导致了ETC主网在1月6日遭受了51%的双花攻击。损失规模:约110万美元漏洞类型:51%攻击事件经过及安全分析
·2019年1月6日,安全团队警告ETC团队,ETC存在被51%攻击的可能性。第二天,Coinbase官方确定ETC总共发生15次攻击,其中12次包含双花,损失共计219,500ETC(约110万美元。coinbase也暂时关闭了ETC的交易。·通过分析发现,此次事件的受害者主要是Biture和Gate.io两家交易所·紧接着,安全公司通过与Gate.io,Bitrue和Binance交易所的配合,尝试定位攻击者。·1月14日,Gate.io方面表示,目前已经有价值10万美元的ETC被归还。安全小豹的看法
腾讯御见:DDG僵尸网络一月升级9个版本攻击Linux系统挖矿:近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本攻击Linux系统挖矿。最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜、阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。据悉,DDG僵尸网络最早出现于2017年, 主要是通过对SSH服务和Redis服务进行扫描暴破入侵LINUX系统挖门罗币获利。(腾讯御见威胁情报中心)[2020/4/1]
本质上来说,51%攻击是没有任何办法进行提前的监测的,要想完全杜绝51%攻击,只能想办法提升全网算力,或者干脆修改共识算法。站在安全公司的角度看,可以通过计算购买算力需要的成本与攻击可能获得的代币,再参考当前币价,来综合判断某个时间点某条公链被51%的可能性。虽然无法完全杜绝,但是一旦发生51%攻击,我们可以提高每一笔交易的确认区块数量以及暂停这个币种的充提币,来把损失降到最小。2019年2月——EOSDAPP被大量攻击
事件背景
分析 | BTC新增流量再创近一月新低,短期或将延续探底:据TokenInsight数据显示,反映区块链行业整体表现的TI指数北京时间06月12日8时报696.27点,较昨日同期下跌5.12点,跌幅为0.73%。此外,在TokenInsight密切关注的28个细分行业中,24小时内涨幅最高的为娱乐与游戏平台行业,涨幅为7.11%;24小时内跌幅最高的为其它技术或协议行业,跌幅为3.83%。
据监测显示,BTC 24h交易量为$168亿,活跃地址数较前日上升0.77%,转账数下降1.98%。BCtrend分析师Jeffrey认为,BTC新增流量再创近一月新低,短期或将延续探底。
另据Bituniverse量化分析,今日行情震荡,可开启EOS/USDT网格交易,区间5.1526-7.6632 USDT,高抛低吸赚取收益。[2019/6/12]
19年1月,EOS公链上的一系列竞猜类游戏遭到了新型交易阻塞攻击事件。中招应用包括EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACKDICE等热门DAPP。损失规模:约20起,500万美元漏洞类型:阻塞攻击等事件经过及安全分析
动态 | 过去一月ETH哈希值下降20%:据trustnodes消息,过去一个月,ETH的哈希值从294 TH / s下降至246 TH / s,降低至2月的水平。这是过去的一年中ETH哈希值最大幅度的下降,下降幅度达20%。[2018/9/17]
·不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为,这是一种利用底层公链缺陷而发起的攻击行为。深入分析后发现,这是存在于主网层的致命拒绝服务漏洞,攻击者可发起大量垃圾延迟交易导致EOS全网超级节点无法打包其它正常交易,即通过阻断打包正常用户的交易进而瘫痪EOS网络。·由于该漏洞本质上属于底层主网问题,任何DApp游戏,只要依赖如账号余额或时间等相关链上因素产生随机数,都存在被攻击的可能。·这也是为什么在一月份出现大量EOS的DApp被攻击的原因。安全小豹的看法
EOS漏洞事件频出,很多都是由于开发人员不严谨导致的,据笔者了解,很多DApp背后只有1-2个程序员,连完整的测试人员都不存在。在这种情况下,漏洞出现的可能性就非常大,更可能被攻击。为目前EOS的开发人员并不多,成熟的开发者就更少了。但是对于EOS这样的公链来说,这是一个必须经历的阶段,相比于去年,EOS上的Dapp和用户都呈现激增的态势,加上安全公司的努力,未来前景还是非常光明的。2019年1月14日——Cryptopia交易所被盗
火币发布公告称购买VIP 买一月送一月:火币发布公告称,新加坡时间2018年5月28日10:00——2018年6月27日18:00,活动期间全站所有用户购买VIP,即可享受买一个月送一个月。[2018/5/28]
事件背景
Cryptopia是位于新西兰的一个小型交易所,被圈内称为C网,日均交易量大概在300万美元左右,交易的币种超过500种。损失规模:约1600万美元漏洞类型:私钥泄露
事件经过及安全分析
·当地时间2019年1月15日,Cryptopia交易所官方发布通知,交易所遭黑客攻击,Cryptopia交易所将关闭交易所服务,全力配合调查并尝试追回被盗资金。·从公开资料来看,被盗的数字货币主要是ETH以及以太坊区块链上的各种ERC-20代币,总计价值约1600万美元。·根据Elementus的分析,C网对此次安全漏洞的反应非常迟缓。黑客在1月13日到17日的5天时间,陆续将76000个ETH从钱包中转移。而交易所方面没有任何反应,并对用户声明:黑客拥有私钥,可以随意从任何Cryptopia钱包中提取资金。·种种迹象看来,很可能的原因是C网简单的把私钥存储在某个服务器上,而黑客通过黑掉该服务器,导致C网无法从服务器获取私钥。安全小豹的看法
可以看到,C网在管理私钥方面的混乱和随意,导致了悲剧的发生。这次事件再次提醒了广大交易所与用户,对私钥管理要存在敬畏之心,确保100%安全的保护私钥是区块链世界最基本的法则。另外,众所周知,C网在业内以币种多著称,原因之一是,在C网上架山寨币非常简单粗暴,只需给钱和投票两个步骤,这就导致C网上大部分币种交易量很低,主要成为搬砖党的乐园。笔者认为这种上币模式是非常糟糕的,在此建议大大小小的交易所,在上币前,一定要有对项目进行安全审计的流程,这是最基本的,对用户负责的体现。交易所其他安全事件:
·春节期间,加拿大最大的加密货币交易平台QuadrigaCX被爆出创始人Cotten意外死亡,·2月13日,Coinbase交易所发放了价值3万美元的漏洞悬赏,从金额上可以看出,该漏洞是系统性的关键漏洞。这种悬赏对行业来说非常有价值,建议每个交易所和公链都应该做类似的激励以促进安全领域的进步。2019年1月——Ryuk勒索病猖獗
事件背景
美国网络安全公司跟踪了臭名昭著的,名为Ryuk的勒索病,该病在互联网上传播,通过锁定计算机文件,向受害者索取比特币,并且建立激励机制鼓励参与者传播病。
损失规模:约370万美元漏洞类型:勒索病事件经过及安全分析
·在过去的5个月内,GRIMSPIDER的黑客组织通过勒索病收到超过705个,相当于370万美元的BTC。·勒索病的特点是,一旦电脑中了该病,所有的硬盘文件会被加密锁定,直到受害者联系黑客并支付比特币。·在新年期间,美国的一些主流媒体中招,导致服务暂停,受害者包括“洛杉矶时报”、“圣迪戈联合论坛报”、“华尔街日报”和“纽约时报”·此次攻击与去年发生的勒索攻击不同,黑客攻击对象主要瞄准了企业计算机,并且会根据目标组织的价值和规模计算赎金的金额·根据CrowdStrike的报告,此次勒索攻击最低赎金是1.7BTC,最高的是99BTC,目前已经有37个BTC地址收到了52笔交易,GRIMSPIDER黑客集团已经非法获利705.80BTC,价值约为370万美元。
总结
就目前来看,行业的安全事件还一直居高不下,这其中的原因很多,比如区块链行业的技术标准和规范不统一,每家都有自己的基础架构;开发者和用户的安全意识还不够,无论企业团队还是开发团队,都需要加强这方面的培养;最后,行业中安全机构与专业安全人才还太少,面对层出不穷的黑客攻击,亟需更多安全人才的加入。其实,基于区块链的技术特点,任何开发者都需要有很强的安全意识,第一条代码开始,就要有意识到基础可能会遇到的安全问题,让项目减少为认知所付出的成本。
1月28日,加密初创公司Arwen推出其同名协议的测试网版本,该公司首席执行官SharonGoldberg称其为“专门用于交易的第二层协议”。新协议旨在允许加密用户在中心化交易所进行交易时保持对其私钥的控制,以加强交易所安全.
1900/1/1 0:00:00本文作者:星云研究院资深研究院汤载阳博士。华中科技大学计算机博士,日本会津大学和法国南巴黎国立电信学院访问学者,研究方向包括分布式系统、无线网络和区块链共识,在TPDS、ICDCS等顶级期刊会议上发表过论文.
1900/1/1 0:00:00编者按:本文来自橙皮书,作者:安比实验室创始人郭宇,星球日报经授权发布。假如我们现在要做一笔交易,我想把自己的数据卖给你,怎样交易才是最安全的?显然这里会有两个问题:1、因为我卖的是数据,肯定不能直接给你,否则你得到数据后直接跑了怎么.
1900/1/1 0:00:00译者|Moni 最近,Investing.com对亚马逊用户进行了一项调查研究发现,只有13%的线上购物者愿意通过亚马逊购买比特币和其他加密货币,同样有大约13%的受访对象表示会从亚马逊购买处方药和医用大麻.
1900/1/1 0:00:00KeplerFinance:2019年数字证券市场研究访谈作者:KeplerFinance汇编:Ran&Kiki@八维研究院证券数字化直到现在,传统金融还没有经历大规模的颠覆性变革,而且行业参与者需要找到创新方法来扩张规模.
1900/1/1 0:00:00作者CindyChenIn-HouseLawyerE-Mail:cindy.chen@bncapital.one观点聚焦:美国数字证券的发行结合了私募、众筹、小型公募等多种形式,其通过合理的结构设计能够为项目方提供定制化的发行方案.
1900/1/1 0:00:00