首发 | 两次攻击被盗336枚BTC Cashaa交易所钱包被盗事件分析

Cashaa是一家总部位于伦敦的加密钱包和银行服务提供商。

去年，它宣布已在其平台上启用数字货币购买信用卡和借记卡支付功能。Cashaa称，它已与173家处于初始测试阶段的与虚拟货币相关的公司签署合作协议。

安全是数字货币钱包的第一生命线。Cashaa使用“无风险”的支付网关，按理可以保障资产安全，然而，安全威胁时刻来自于方方面面。

7月11日北京时间凌晨8点10分，CertiK天网系统 (Skynet) 检查到在比特币区块638606和638692处Cashaa交易所发生交易异常，安全研究员迅速介入调查，详细研究了攻击者针对Cashaa交易所拥有的比特币钱包发动两次攻击过程。

首发 | 百度财报体现区块链 BaaS平台成为新战略重点:金色财经报道，2020年2月28日，百度（股票代码BAIDU）公布财报，其中将区块链BaaS平台相关的进展进行了单独叙述，依托于百度智能云的区块链平台有望成为技术创新方向的新增长引擎。在AI服务上，百度与上海浦东发展银行达成合作，共建区块链联盟，在百度区块链服务（BaaS）平台上实现跨行信息验证。[2020/2/28]

第一次攻击发生于7月10日北京时间晚6点57分，受害者Cashaa的比特币钱包之一1Jt9mebBwqCk8ijrVDoT5aySu2q9zpeKde被盗用并向攻击者账户

14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek转移了1.05977049个BTC（约合9800美元）。根据Cashaa报告中描述，攻击者通过某种方式入侵受害者电脑，受害者在Blockchain.info上的比特币钱包被盗，并向攻击者账户转移了BTC。

首发 | 嘉楠耘智宣布与Northern Data在AI、区块链等高性能计算领域达成战略合作:据官方消息，2020年2月17日，嘉楠耘智宣布与区块链解决方案及数据中心服务提供商Northern Data AG达成战略合作。本次合作的内容涵盖AI、区块链及数据中心运维等高性能计算领域。

嘉楠耘智拥有丰富的高性能计算专用ASIC芯片研发经验。Northern Data AG则专注于区块链和数据中心等高性能计算基础设施的建设。通过本次战略合作，双方将在AI、区块链等新兴领域进一步释放增长潜能。[2020/2/19]

第二次攻击发生于7月11日北京时间凌晨8点10分，受害者Cashaa的总计8个比特币钱包，共计335.91312085个比特币（约310万美金）被攻击者通过同样的手段转移到同一个

14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek地址中。

首发 | 此前18000枚BTC转账是交易所Bithumb内部整理:北京链安链上监测系统发现，北京时间10月24日，17:07分发生了一笔18000枚BTC的转账，经分析，这实际上是交易所Bithumb的内部整理工作，将大量100到200枚BTC为单位的UTXO打包成了18笔1000枚BTC的UTXO后转入其内部地址。通常，对各种“面值”的UTXO进行整数级别的整理，属于交易所的规律性操作。[2019/10/24]

以下是Cashaa第二次被攻击钱包地址：

14TBB9Th7qCFAbatr1owmo9WqvB3ZLM5Aq        

IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道：近日ETH出现多个ERC20智能合约的处理溢出错误，BM在推特上发表评论：新的ETH契约Bug可能会破坏整个Token的供应，让持有者留下无价值Token.这就算为什么代码不能成为法律，随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护？BM回应：有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]

1ESvwYDmdAvhHpJs8M3tRbPqXghJDNu7oV        

1LNp8hKZTvP8Ru8SAi4xPkJ8L2TwaNsDEu        

1Et9GAsZq8P3u7tL5F5qbLi6Re1HCZAgNn        

1KY5sNjDA7QMXf844wKZ3wcQUxoZeEcRF9        

1D6cTYKf5f9HtUjsVBGczyoPN5jgZktkMa        

1Ln2A65sjxLTuvPE3M1zQ1oybrXQXnJaDL        

1KJPr37UHmBAfRL1znGLXekTrNHoEABqfH

攻击中具体控制受害者电脑细节没有被公布，CertiK安全研究员认为可能存在内部操作失误或者受害者电脑被植入后门等两种情况。CertiK安全研究员通过分析，认为对于防范数字货币攻击、保护数字货币安全需要注重一下几点：

1. 数字货币攻击是多技术维度的综合攻击，需要考虑到在数字货币管理流通过程中所有涉及到的应用安全，包括电脑硬件、区块链软件，钱包等区块链服务软件，智能合约等。

2. 攻击者对于将要采取的攻击方式经常会进行测试后再进行大规模采用进行攻击。因此需要重视对于潜在攻击方式的检测和监视，不要多次受到同一方式的攻击。

3. 加强数字货币账户安全保护方法，使用物理加密的离线冷存储（cold storage）来保存重要数字货币。

交易环境复杂复杂的操作系统、浏览器、网络环境都将使交易存在很大的安全隐患。目前国内大部分基于手机平台（MTK）的钱包，都可以被攻击。通过导出钱包固件，不仅可以看到多个币种的缓存信息，还可以找到生成助记词的各种库。

很多开发团队在以业务优先的原则下，对自身钱包产品的安全性并未同等重视，一旦出现安全性问题会导致大量用户出现账户货币被盗，而由于实现的特殊性，资产一旦被盗，无法挂失，很难被追回。

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

币乎：bihu.com/people/109310

标签：BSPNBS区块链CERBSPAYnbs币最新消息区块链是什么概念Balancer

FTT热门资讯