编者按:本文来自白话区块链,作者:猎豹区块链安全,星球日报经授权发布。在区块链行业,安全是最根本的问题。或许你听过“一行代码损失几十亿”、“干了一年被黑客一夜搞走”等言论。因为区块链发展还处于早期,加上代码一旦上链就不可篡改等特性,让它成为了黑客攻击的重灾区。今天,我们对今年9、10两个月区块链行业发生的安全事件进行盘点,旨在帮助大家认识区块链的安全问题。01利用漏洞赢头奖
DEOSGames是一个运行在EOS区块链之上的去中心"菠菜“类游戏。9月9日,一位名为“RunningSnail”的DEOSGames用户进行了一次看起来相当成功的操作:累积下注价值1000美元的EOS,每次存入10个EOS,然后在30秒后赢得头奖,反复操作了多次。1、损失规模:价值约24000美元的EOS。2、攻击媒介:智能合约漏洞。3、事件经过及安全分析DEOSGames在刚刚创建不到一小时的时间里,就向EOS帐户进行了24笔转账,而且,这些账户都是该合约在不到一天时间之内创建的。根据EOS的交易记录,每次恶意账户存入10个EOS,就能收到价值20倍的合约金额。换句话说,黑客利用了该游戏的某个漏洞,每次都能够赢得头奖,此次攻击的整体收益约为成本的20倍。DEOSGames官方在推文中发表看法,“这是一个很好的压力测试,我们的项目在合约层面得到了显著改善。”目前,尚不清楚黑客利用了DEOSGames合约中的哪个漏洞,或者EOS内核中是否存在其他漏洞。4、小结发生该攻击事件之后,DEOSGames团队的反应令人费解。他们没有对社区声明自己是如何监控黑客攻击的,因为按照常识,一个简单的监控脚本就可以检测到这种异常现象。我们假设DEOSGames游戏有这样的检测工具,那么,此次攻击的深层次原因就值得深究了,不排除团队坐庄收割“小白投资者”的嫌疑。目前,此类“菠菜”游戏风险太高,建议广大用户理性投资,谨慎选择。02EOS刷假币事件
郑玉山:要大力宣传区块链赋能实体经济的成功案例:针对当前区块链技术赋能实体产业面临的众多难题,国家技术转移东部中心上海数字经济创造实践基地董事、投资部总经理郑玉山建议,一是需要政府层面更多的鼓励政策,鼓励实体企业尝试将新技术应用于传统业务中;二是加强人才培养,地方高校应增设区块链基础课程,培养各行业从业者的区块链思维;三是要正面引导,一方面向社会普及区块链基础知识,另一方面要大力宣传区块链技术赋能实体经济的成功案例。(经济参考报)[2020/10/15]
Newdex是基于EOS区块链的去中心化交易平台,8月8日上线,号称交易速度媲美中心化交易所,且不接触用户私钥,导入钱包即交易,以此保障资产安全。但在上线一个多月后,就遭遇“EOS刷假币事件”。通过这起事件,外界开始质疑Newdex是否是真正的去中心化交易所。1、损失规模:约58000美元。2、事件经过及安全分析EOS账户“oo1122334455”于2018年9月14日14:01:45,发行10亿个假的EOS,并全额分配给“dapphub12345”账户。随即由“dapphub12345”转入“iambillgates”账户,“iambillgates”账户于14:21:37尝试性地多次用1个假EOS挂单委托买入IPOS和ADD等代币,并取得了成功。成功买入其他代币后,“iambillgates”账户立刻将非法获得的Token转入“xx1234512345”与“x12345x12345”账户,最终由“xx1234512345”在Newdex中挂市价单卖出部分非法获得的Token,共计卖得4028个真正的EOS。然后,发送到Bitfinex与其他加密货币进行交易。此次假EOS刷币事件一共给Newdex用户造成了11803个EOS的损失,Newdex团队为此事件道歉,本着负责任的态度决定承担此次全部损失,并且在第一时间修复相关问题并恢复正常运营。对Newdex基础设施的进一步调查显示,Newdex没有使用智能合约来验证用户发送的Token。3、小结这起事件中,黑客用EOS原生货币来交易假的代币,导致Newdex系统中EOS严重贬值。之所以黑客能够得手,是因为Newdex没有通过其智能合约验证Token的真实性。他们在中央服务器上进行交易匹配,在处理交易时系统甚至没有检查存入的Token真实性。去中心化交易平台具最基本的特点,是用户自己掌握私钥。既然是用户自己掌握,也就只有用户自己能动用钱包里的币,不会因为交易平台的漏洞而导致自己丢币。所以,在这里建议大家在选择交易平台前,需要进行详细的调查。03日本交易平台被盗
动态 | 北京将在不动产交易等领域推进区块链技术应用:1月13日消息,记者从北京市十五届人大三次会议首场新闻发布会上获悉,今年北京市将大力推进以区块链为基础的信息共享制度改革,在不动产登记、一证办电、办理建筑许可、电子民生卡、房屋租赁、公证、积分落户等20余个领域,推进区块链技术的应用。(中新社)[2020/1/13]
2018年9月19日,总部位于大阪的TechBureauCorp旗下的Zaif交易所发生了比特币、萌奈币(MonaCoin)和比特币现金被盗事件,被盗价值6000万美元的数字货币。1、损失规模:6000万美元。2、被盗取的数字货币:比特币、萌奈币(MonaCoin)和比特币现金。3、事件经过及安全分析2018年9月14日之后,Zaif交易平台关闭了用户的存取款服务。根据Zaif的说法,关闭该服务的原因是在9月14日17:00至19:00之间,发现有人非法入侵了其热钱包。经核实,该黑客的非法行为导致了价值5900美元的BTC、比特币现金和萌奈币被盗。Zaif在公告上没有公布被攻击的细节,它寻求了日本当局帮助调查此次被盗案。事实证明,在此攻击行为发生前,日本金融厅分别于3月8日和6月22日,向Zaif发出过关于其内部管理系统和安全措施的预警。被盗事件发生后第一时间,日本金融厅向Zaif母公司TechBureau发出了今年的第三份业务改善令。但是Zaif交易所没有对FSA的建议做出任何行动。根据扎伊夫对当局的透露,事件的起因居然是交易所一名员工的电脑被黑。11月22日,Zaif交易平台把虚拟货币的相关业务转移至FISCO集团,FISCO集团将接管Zaif并赔付用户此次被盗的资金。需要强调的一点是,这起事件是加密货币历史上损失最大的安全事件之一。4、小结根据种种迹象表面,该事件的起因很可能是Zaif员工的计算机被黑客成功利用钓鱼网站的方式攻击了。对于数字货币交易所来说,犯这种低级错误是非常不应该的。我们认为,该事件对广大数字货币交易所敲响了警钟,安全意识是数字货币交易所的根基,每家交易所都应在新员工入职工作之前,进行必要的网络安全培训。5、其他相似的攻击事件2017年7月,在Bithumb上,黑客也使用了相同的方法,盗取了价值数百万美元的加密货币,并且导致客户数据被泄露。04黑客良心发现,返还被盗代币
声音 | 徐明星:区块链技术是一种数据库科学 兼有工具性和颠覆性两种应用体质:欧科集团创始人、董事长兼CEO,中国区块链应用研究中心创始理事长徐明星今日在活动活动中发表演讲表示,区块链技术并非神奇秘术,相反它是一种”分布式不可逆“的数据库科学。其次, 区块链兼有两种应用体质,一种是工具性,一种是颠覆性。与互联网时代相似,区块链的工具性应用已经很多,未来可能还会更多。他还表示,在区块链之上也有很多颠覆性应用正在出现,只不过作为一种新的技术,它的颠覆性应用我们还无法认知它。今天的区块链在世界上各行各业里已经有很多的应用。比如说,像数字货币、比特币、以太坊、基于区块链技术构建一种新的虚拟商品等等。最后,徐明星认为区块链亦不是洪水猛兽,政府对于区块链是可以有强有力的控制体系的。(星球日报)[2019/12/26]
SpankChain是基于以太坊公链的成人娱乐区块链项目。团队于10月9日在博客上表示,10月6日遭受到黑客攻击,损失了165.38ETH(当时价值约3.8万美元),另有价值4000美元的BOOTY币遭到冻结。1、损失规模:超过40000美元。2、攻击方式:通过智能合约的重入漏洞。3、事件经过及安全分析此次黑客攻击利用的是SpankChain智能合约中的重入漏洞,该漏洞类似于著名到TheDAO事件中的漏洞。技术团队发现合约被黑客入侵是在攻击发生后的24小时,SpankChain团队第一时间关闭了自己的官网。10月12日,黑客竟然主动联系了SpankChain的首席执行官,将165.38ETH退还给该团队,另外黑客还帮助SpankChain恢复了因攻击而被冻结的大约4000个BOOTY代币。作为回报,SpankChain团队给了该黑客一些奖励。4、小结SpankChain区块链社区对该事件的反应比较激烈,原因很可能是难以接受被黑客利用著名的重入漏洞进行攻击。重入其实就是递归,就是对于一个函数的循环调用和对自身的循环调用。针对重入漏洞,最根本的解决方案还是在转账之前就把所有应该变更的状态提前更新,而不是在转账之后再进行更新。其实在上链前,项目方只需投入很少的费用,对智能合约进行安全审计,就可以很好的避免这种事情。在区块链里,没有删除和修改的概念,一旦合约部署到公链,就无法篡改。全球数以万计的黑客可以慢慢地,一行一行地找上面的漏洞。对于区块链行业来说,安全审计是必不可少的流程。目前,还不清楚黑客为何会归还被盗资金,这对受害者来说可能是一种安慰,但这种事情不常有。希望这次事件过后,项目方、交易所都能够警醒,认识到安全审计的重要性。5、其他相似的攻击事件DAOHack:以太坊区块链历史上最臭名昭着的事件之一,引起以太坊区块链的硬分叉,分裂成以太坊和以太坊的经典的事件。05遭遇两次攻击的EOSBet
动态 | 百度与上海宝山区战略合作 发挥区块链等技术优势共建“超前智能城市”:今日,百度与上海市宝山区人民政府签署战略合作备忘录,双方将互为依托,整合资源,共同促进人工智能、大数据、云计算与实体经济融合发展,将宝山打造成为智能城市示范区和人工智能产业集聚高地。根据备忘录内容,百度将充分发挥在人工智能、大数据、云计算、物联网、区块链等领域的技术与应用优势,利用先进的人工智能技术和平台,积极推动包括智能交通、智能出行、智能家居等在宝山区的产业化试点,打造智能城市建设标杆。[2018/10/31]
EOSBet是EOS上的游戏平台,分别在9月14日和10月15日遭受了两次黑客的攻击,损失分别为44427.4302个EOS和138319.7995EOS。1、损失规模:200000美元+338000美元。2、攻击方式:利用智能合约中的漏洞。3、事件经过及安全分析9月14日,EOSBet遭到黑客攻击,EOSBet团队官方宣称:这个攻击并不简单,我们正在进行取证,并将所发生的事情拼凑在一起,来寻找蛛丝马迹。根据TheNextWeb的分析,“黑客的攻击方式是使用假哈希在外部调用’传输’功能”。攻击发生后,一个与EOSBet官方帐户名称非常相似的EOS帐户,向攻击者的地址发送了少量EOS,并且附带一个要求对方退回被盗资金的消息,声称如果不退回,他们将雇用一个律师团队追捕并起诉攻击者。9月16日,EOSBet重新上线,并且官方发布了关于黑客攻击的详细报告,承诺他们的合约已经修补了全部漏洞,目前是非常安全的。一个月后,黑客利用EOSBet合约在检验收款方时存在的漏洞,伪造转账通知,总计从“eosbetdice11”获利138319.7995EOS。其中72150个EOS流入了Bitfinex,65100个EOS流入了Poloniex。根据EOS当前的行情价格估算,EOSBet平台此次损失额超500万元。该公司报告称,他们正与这两家交易所谈收回资金的事情。4、小结EOS的智能合约发展相对ETH来说,还处于早期,频频发生的安全事件对这个新生儿来说是不可承受之痛。06结语
区块链现状报告:10.9%投资者认为数字加密货币有泡沫:CoinDesk近期发布“全球区块链现状报告”,深入研究了快速发展的数字货币行业及其底层技术,该报告覆盖了公共区块链、企业区块链、ICO、投资以及监管等话题,另外还对3000多名投资者的数字货币投资及情绪进行了调查。其中10.9%投资者认为数字货币有泡沫。[2018/4/3]
今年9、10两个月的安全大事件,主要集中在EOS的智能合约漏洞和交易平台的漏洞,损失的金额非常高。在这些事件中,有很多是完全可以避免的,之所以频频发生安全事件,很大程度上是因为安全意识还太过于薄弱。安全事件的频发,加上行业的暴跌,不断打击着区块链参与者的信心,但不妨换个视角,放眼整个行业的发展来看。如果行业的参与者能够从这些巨额损失的安全事件中获得警醒,汲取过往的教训,更加注重安全方面的建设,相信这对于茁壮发展的区块链行业来说,才是真正有益的。
编者按:本文来自:链塔智库,作者:链塔智库&31区,odaily星球日报经授权转载。“未来已来!”这是今年币圈为了洗白喊得最响的口号,可是随着币价下跌,喊着口号的币圈却凉的不能再凉。不过,今年进入寒冬的也不止是币圈.
1900/1/1 0:00:00本文来自:巴比特,作者:JamesonLopp,编译:洒脱喜,星球日报经授权转发。前言:比特币在2018年里的表现,在多数人的眼中是非常糟糕的,这是因为他们的关注点在于比特币的价格.
1900/1/1 0:00:00本文来自:区块链大本营,作者:CambrialCapital,编译:王国玺、波波,星球日报经授权转发。BCH大战后,比特币价格一路暴跌,业已逼近其200星期平均值的心理关口.
1900/1/1 0:00:00A+条例将小额发行豁免额度增至5000万美元,SEC以2000万美元为界限区分了两个层级的发行活动:Tier1是0—2000万美元,Tier2为2000—5000万美元.
1900/1/1 0:00:00BitcoinABC在软件版本ABC0.18.5中添加了一个新的滚动检查点系统,该系统于2018年11月21日发布。这个系统规定在收到10个确认后最终确定一个块,可以防止大块链接重组.
1900/1/1 0:00:00在矿工眼中,所有的比特币交易都是平等的,只要附加了足够的手费用,无论发送方或接收方是谁,或者交易了多少比特币,对他们来说都没有区别.
1900/1/1 0:00:00