宇宙链 宇宙链
Ctrl+D收藏宇宙链

黑客年底扎堆「冲业绩」?区块链行业显现「白帽」不足

作者:

时间:1900/1/1 0:00:00

原文标题:《嚣张的黑客,和正在消失的防护网...……》

失序的区块链行业里,时刻隐藏着风险,黑客就是其一。就像武侠里的江洋大盗,他们随时出没在存储着大量数字货币的区块链钱包、交易所、DApp里,伺机挖掘漏洞,窃取资产。

据粗略统计,近一个月内,区块链领域涉百万以上黑客攻击事件近5起。

另一面,多数项目拿这些黑客并没有办法。尤其是币圈进入熊市大半年以来,不少公司都闹钱荒。区块链安全防护系统因资金匮乏,防护能力正在变弱。

安全团队BYSECCOO刘泽坤告诉记者,其平台上注册有5000多名网络安全工程师,但在「生存第一」的熊市下,安全防护下降为弱需求。目前愿意付费做安防的仅有10余家。

代码安全无法守护,共识安全也岌岌可危。

熊市中,一部分矿工由于入不敷出关机蛰伏,直接导致了PoW网络算力下跌,闲置算力成为「散兵游勇」,威胁着公链的安全。

矿工是共识安全的守护者,他们的缺位给了攻击者可趁之机,本月初ETC遭遇51%攻击即是一例。

这张本该严密的安全防护网,随着熊市的持续,一个个牵引的防护点正在消失。

NFT 借贷协议 XCarnival 遭到攻击,黑客获利约 380 万美元:6月26日消息,PeckShield 发推称,NFT 借贷协议 XCarnival 遭到攻击,黑客获利 3087 枚以太坊(约 380 万美元),而协议损失可能更高。黑客地址为 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a,PeckShield 表示本次攻击或由于已解除抵押的 NFT 仍被作为抵押品所致。[2022/6/27 1:33:01]

频繁的攻击

去年12月27日发生的钱包钓鱼事件可能是近来最大的黑客攻击事件。

据Cointelegraph消息,当日有用户在社交媒体上爆料,有团体正在对加密货币钱包Electrum进行恶意攻击,并窃取了近250个BTC。

消息随后获得Electrum证实,据介绍,该攻击主要通过创建一个假版本的钱包,来取用户的密码信息。

2018年下半年,币圈进入了明显的熊市,不少项目开始减员收缩。但黑客永不眠,那些汇集资金的地方永远是黑客的目标。

区块链安全平台DVP联合创始人邓焕也告诉记者,今年12月以来,越来越多的攻击者将目光投向了EOSDApp。

Charles Hoskinson:认证软件可以大幅降低智能合约遭受黑客攻击的概率:IOHK首席执行官Charles Hoskinson在最近的AMA中表示,智能合约并非不受潜在黑客攻击的影响,因为任何编写和构建的东西都可能被破坏。他进一步阐述了“认证软件”的概念,该概念使此类黑天鹅事件发生的几率指数级降低。“如果你有一个规范和一个特定的开发方法和工具,你或外部审计员可以做的就是证明其实现遵循该规范,并且该规范可以得到很好的测试和理解,如果你这样做,你遭受黑客攻击的机会将呈指数级下降。”Hoskinson进一步解释说,Cardano和其区块链智能合约平台Plutus旨在实现高保障。(U.Today)[2021/8/14 1:55:34]

根据区块链安全网bcsec统计,12月份其搜索到区块链领域发生的攻击事件共有20余起,对行业造成损失约190万美元,其中90%受攻击的对象是EOS上的DApp。

1月16日凌晨03:47-03:55之间,DAppShield监测到,有黑客向EOS竞猜类游戏「影骰」发起连续攻击,获利超1万个EOS。黑客采用的交易阻塞攻击手段。一个月来,黑客已经凭借该手段发动了4次攻击。

12月18日晚间至19日凌晨,多个EOS头部DAPP则遭遇回滚交易攻击。

动态 | 为逃离ECAF追踪,黑客创建2,190个子账号销赃:据PeckShield态势感知平台12月19日数据显示:今晨,PeckShield披露了四款EOS竞猜类游戏接连遭黑客攻击的安全事件,共涉及数字资产288,329.85个EOS。PeckShield安全人员进一步追踪链上数据发现,黑客从账号(hnihpyadbunv)起开始大批量创建子账号,先后创建了eykkxszdrnnc、kfexzmckuhat……等多达2,190个子账号实施资金转移,有157,367.81个EOS发稿前在账号udmkqiqlpxvb上停留。PeckShield安全人员初步分析认为,由于ECAF的黑名单追踪冻结有一定范围,黑客欲通过大批量创建子账号来逃离追踪进行销赃()。目前,该笔资金尚未最终转移至交易所,黑客还在持续进行资金转移操作,PeckShield已经和ECAF官方建立合作追踪最终资金流向,进而帮助各大游戏开发者挽回部分损失。[2018/12/19]

遭受攻击的几款游戏基本为EOS头部较活跃的竞猜类游戏:EOSMax、ToBet、BigGame和BetDice。据PeckShield的数据,其中,BetDice一周日均活跃用户数超5000人,交易额也在5000万EOS以上。

动态 | 黑客在推特冒充特朗普发布加密货币局:据Fortune报道,本周三,黑客入侵了推特账户JoyJoyce2,并将其名称改为看起来与美国总统特朗普推特帐户非常类似的名称,并发布了一个加密货币局推文,其攻击的目标群体为关注总统特朗普总统的推特用户。人们在阅读特朗普的推文时,被黑帐户会回应称特朗普正提供5000个以太币和500个比特币作为赠品。实际上这些推文都是假的,账号由机器人运行。但是这个局在推特上出奇的普遍,过去曾被用于其他著名账户。[2018/8/3]

与此同时,黑客利用重放攻击漏洞攻破另一款竞猜类游戏TRUSTBET。

这些集中攻击,让几款游戏共损失303404.18EOS。以EOS当时的单价18元来测算,黑客盗走的金额达546万元。

对于这次攻击,蒋旭宪曾表示,这次攻击背后是同一个团伙或个人。另外,ECAF追回盗取的EOS预计难度较大,目前已经牵涉到1808个账户,数量还在增长中。

邓焕分析指出,从早期针对以太坊的TheDAO,到最近的BCE、SMT代币等事件,以太坊生态已经经过了一场来自黑客的「血的洗礼」,生态环境逐渐趋于安全。而DApp生态的第二翘楚EOS目前正处于蛮荒生长阶段,于是黑客开始将魔爪伸向这里。

分析师:黑客攻击币安是故意“打草惊蛇”:数字货币行业分析师肖磊认为,针对中心化交易所的安全问题,以及未来一系列的攻击事件,实际上才刚刚开始。肖磊称,黑客选择币安并不是因为API验证漏洞,而是因为币安在一个月之前还是全球最大的数字货币交易所。“黑客根本不关心自己在这次事件里挣了多少钱。黑客关心的是,币安会在这件事情之后,如何升级安全模块,其他交易所会做出什么样的安全性的提升和反馈。而后,解决安全问题的路径和方式,基本都暴露在了黑客的监测之下。黑客的目的在于‘打草惊蛇’,想看看你的底牌而已”。[2018/3/12]

嚣张的攻击者

对于黑客而言,攻击这种从别人口袋里掏钱的生意,只有钱难不难掏,没有钱多钱少的分别。

我们知道,交易所是币圈最大的聚宝盆,亦是黑客攻击的高发地。即使在交易量大幅萎缩的境况下,交易所亦逃不过黑客的「摸排」。

贺凯是X交易所的市场负责人。「尽管在各个行情网站上排不上名,但被黑客‘打’却是家常便饭。」

据他介绍,全球有约1.5万家交易所,在业内稍微能说的出名字的,基本上三天两头就要来一次攻防战。身处这个「聚宝盆」中,他已经见怪不怪。

但去年11月份的那次黑客寻衅事件,让贺凯哭笑不得。

那天中午,X交易所的客服像往常一样在微信群里和用户聊天。

突然有人加她,没有注明名字和事由,她通过了。

不料对方一上来就像查户口似的问:「哎,你是X交易所的吗?」

「你们其他联系方式能给我一个吗?」

对方看客服没反应补充了句,「我要「打」你们了,怕到时联系不上你们。这个是你们的啰?」

客服当时明白了,跟她聊天的这个人可能是个黑客。常规的黑客攻击是先攻击再勒索,而且最好能攻其不备以降低成本。待攻下后再联系被攻击方商谈「赎金」事宜。

但这个黑客似乎胜券在握,就等着攻击结束后的谈判了。

「真是活久见」,客服心想。无奈,客服只得回复他:「你先打吧,打完再说。」

作为区块链「白帽子」平台的调度人,邓焕没少见这类令人咋舌的攻击。

去年12月5日,币安发布了一个去中心化交易所DEX。消息出来的第二天,DVP即观察到,社交软件中有个冒充DEX敛财钓鱼网站。

下图是该钓鱼网站的主页。从UI上看简直可以以假乱真。

该网站放着币安此前发布的DEX的宣传视频。并配文虚构了一个活动,称为庆祝DEX的推出,特向全球粉丝赠送5000BTC作为回馈。参与活动的用户需要先验证地址,验证时需发送0.1-10个BTC到指定地址,而后将获得贡献BTC数的10倍BTC。

在转账页面,还伴有实时更新的奖池数量、该地址的转账交易记录以及参与用户的即时评价等,十分逼真。DVP当即发现有人转账,那些币随即被提走。

DVP向币安报告了该情报。但该钓鱼网站作为外部网站,币安也拿他没办法。

DVP还发现,这个第二天就能上线高仿网站的攻击者,之前还用同样的手段模仿过OKEX,可谓在失序的世界中无法无天。即使熊市如此之凉,它也能抓住热点稳赚一笔。

脆弱的「防护网」

在这些安全事件背后,是黑客不分牛熊的攻击和熊市中防护网缺失的矛盾。

有数据显示,目前全球有10000的区块链项目,区块链安全服务公司却只有不到50家。从红蓝对抗的角度讲,红队就要比蓝队弱得多。再遇熊市,恐会让这一状况更加恶劣。

当前,各个项目方、服务商在寒冬中缩小成本,其在安全上的需求也继续弱化。这形成了一个恶性循环,在安全上投入越低便越容易遭到攻击,造成的损失又将给项目方带来致命的灾难。

安全团队BYSEC的COO刘泽坤和记者讲了上个月发生的一个案例。一个以太坊上的菠菜类DApp遭遇黑客攻击,数万个ETH被盗,尽管其已做过基本的审计,但离相对安全仍然很远。

按理说,每个项目都应投入10%的钱来保障100%的资金的安全,但很多团队在缩减开支中跳过了这一步。

BYSEC团队是个「白帽子」平台,其上注册了5000余名「白帽子」,大多是传统安全业人员,在上面兼职挖漏洞领取赏金。

到了熊市,平台上仍在支付赏金的项目方仅有10余家,BYSEC团队只能提示平台上的「白帽子」尽量只在这些付费厂家中挖洞,不然可能要变成「杨白劳」。

其他的厂家,要么没有付费意愿,要么没有付费能力。

在BYSEC发现一些交易所的重大漏洞后,刘泽坤带着这些漏洞去联系交易所,希望安全服务能得到适当回报。

但对方给出的答复却经常是,「你们的这个服务的确很好,我们也很需要,但老实说我们的收入都没这么多,实在是付不起。」「活都活不下去了,还讲什么安全。就好像我都吃泡面了,你还跟我说泡面不健康。」

转型谋生存

进入安全行业的钱变少了。一面没了新的客户、新的投入,一面是存量客户已被瓜分殆尽。

安全团队处境维艰。

慢雾安全团队在此前的采访时表示,蓬勃发展后,会进入类似红海的阶段,需要大家进行差异化竞争。比如现在经常有客户问我们:你们和别人有什么不一样?

大家需要进行差异化竞争才能活下来,BYSEC也认同这个观点,并且正在考虑转型。刘泽坤透露,团队打算利用在安全行业的积累做一款数字货币的支付网关SAAS,面向数字货币的商家和C端用户。

从服务对象和应用场景看,这似乎已和安全行业脱钩了。但行业没有生意,像BYSEC这样的平台并没有什么好的办法。

唯一值得欣慰的或许是,以技术见长的白帽子,如果要回到互联网或是在其他领域做安全,转换的成本不算太高。

本文来源于非小号媒体平台:

Odaily星球日报

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627120.html

区块链

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

下一篇:

BHB到底是什么「暗黑」项目?又为何让30000人趋之若鹜?

标签:EOS区块链SHISHIELDeos币柚子已经确定跑路区块链最新局曝光Shiba Litedatashieldcoinbank

Gate交易所热门资讯
「火星公开课」第248期 | TokenGazer范宏达:技术共识 机构共识 应用扩展是近期行情的孕育力量

要点速览: 1.资金在2018年下半年风险偏好降低,资金趋向于回流美国,比特币作为风险资产同样受到资金回流的极大影响.

1900/1/1 0:00:00
极客盛会 | 知道创宇 KCon 2018 黑客大会在京盛大召开

2018年8月25日,KCon2018黑客大会在北京市751D·PARK东区故事D·live生活馆召开,这场由国内一线安全公司知道创宇主办的黑客大会在经过首日两场闭门培训过后,终于迎来万众期待的演讲日分享环节.

1900/1/1 0:00:00
牛市来袭 PIEXGO或将成为最大黑马

比特币领涨突破8000美元后,加密货币行业已出现出牛市迹象,对于用户乃至业内人士而言,牛市中该如何抓住机会?重在投资选择,即选择项目和选择平台.

1900/1/1 0:00:00
全球最大的浏览器挖矿软件 Coinhive 竟然因为分叉关门了?

原文标题:《黑客盗用电脑挖矿挣不到钱,黑产代码商Coinhive被迫关门》你以为EOS黑客每天攻击DAPP合约就可以赚不少钱,但实际上并不是所有的区块链地下黑客都有好日子过。数据显示,黑客盗用别人电脑挖矿都不挣钱了.

1900/1/1 0:00:00
上线 3 小时即被盗走 1.7 亿 BTT:TronBank 未审计代码致假币攻击

据DappReview监测,波场DAppTronBank于4月11日凌晨1点遭到假币攻击,1小时内被盗走约1.7亿枚BTT.

1900/1/1 0:00:00
360「史诗级营销」背后的区块链布局

2018年3月30日,360创始人周鸿祎在朋友圈发布了一句话:「我的人生竟然如此失败,没有任何意义.

1900/1/1 0:00:00