2018年区块链安全事件盘点:恶龙猖獗,但屠龙者仍在

2019-01-04 17:04 栏目:经验之谈 来源:网络整理 查看()
在2018年,它是区块链发展最快的。全球加密货币的总市值接近8000亿美元。但是无休止的漏洞使2018年成为黑客最令人尴尬的一年。

安全事件的频繁发生严重阻碍了区块链的健康发展,不仅给用户带来了很大的损失,而且直接导致了许多项目的“终结”。

2018年发生了哪些安全事故?

以下是猎豹区块链安全中心的清单。我希望大多数用户和从业者都能从中学习。

概述

在2018年,安全事件的数量和造成的损失都呈指数级增长:

2018年区块链安全事件盘点:恶龙猖獗,但屠龙者仍在

图1:安全事件造成的经济损失趋势(10,000美元),来源:bcsec

2018年区块链安全事件盘点:恶龙猖獗,但屠龙者仍在

图2:主要安全事件的统计信息,来源:bcsec

根据Besec统计,2018年,超过20亿美元被盗,大型活动的数量超过130个(平均为3天)。区块链用户和项目派对已成为全球30万黑客的“自动取款机”。

2018年区块链安全事件盘点:恶龙猖獗,但屠龙者仍在

图3:2018年安全事故造成的损失统计,来源:31QU

其中,交易所安保事件(56.67%)和损失金额(13.44亿美元)位居榜首;智能合约安全和安全事故罕见(6.67%),但经济损失的比例极高(12.4亿美元); DApp,个人钱包和公司服务器都可以幸免。

智能合约安全

目前,区块链整体仍处于低迷状态,但智能合约的发展非常稳定。根据猎豹区块链安全中心的数据,过去一个月以太坊的智能合约平均每天增加2000+。

虽然智能合约漏洞的数量很少,但造成的损害非常大,这与坚固语言的特征有关,并且还便于使用ERC20协议轻松分发令牌。

TOP10攻击类型的智能合约漏洞包括:重新进入攻击,权限控制,整数溢出,未检查的调用返回值,事务顺序依赖性,时间戳依赖性,条件争用,短地址攻击,可预测的随机处理等。

在最智能的合约活动中,最着名的是美国连锁活动。在18日4月22日下午,只签发了两个月的BEC美国蜂蜜合同。存在一个主要的溢出漏洞。黑客使用合同的批量转移方法生成无限令牌。 BEC从两个地址转移,导致抛售。浪潮。那天,BEC的价值几乎为零。损失金额超过10亿。

由于区块链的“代码就是一切”原则,目前没有有效的安全保护来完全避免智能合约安全问题。

对于智能合约的发展,小宝建议放弃“敏捷开发”的概念。在设计和编码时,使用缓慢而有组织的方法来开发智能合约是尽可能谨慎和周到的。

开发经理也不应对开发人员施加太大压力(例如设置严格的期限等)。一般来说,冲出来的东西或多或少都有问题。

此外,在上线之前,找到一个专业的区块链安全公司对智能合约进行安全审计是最基本和最必要的。

以下是2018年智能合约活动及相关活动的部分细节:

(1)2018年8月22日,GOD.GAME合同遭到黑客攻击,上帝智慧合约中的以太坊总数为零。
(2)2018年4月25日,SmartMesh遭遇重大安全漏洞,导致1.4亿美元的损失。
(3)4月22日下午,BEC美国蜂蜜合同签发约两个月。由于溢出漏洞,黑客不断从两个地址转移令牌,因此BEC价格几乎为零,并且损失的总金额超过了。十亿美元。

交换安全

根据网络安全公司CiferTrace发布的一份报告,10月份,2018年前九个月被黑客交易窃取的加密货币达到9.27亿美元,是2017年的2.5倍。

韩国科技部的调查报告指出:“大多数交易所存在安全漏洞。”

那么为什么加密货币交易所出现的安全问题呢?

一方面,数字货币的匿名性,不被修改和不受管制,导致资产转移的便利性和追溯源恢复的难度。另一方面,数字货币交易行业时间短,发展迅速,利润高。结果,原始技术积累不足,信息安全建设仍然被忽视。存在许多隐藏的安全漏洞,并且攻击相对容易。甚至有一些加密的数字交换机甚至根本没有安全系统。

数字货币交换面临的安全威胁包括:服务器软件漏洞,错误配置,DDoS攻击,服务器端Web应用程序漏洞(包括技术漏洞和业务逻辑漏洞),办公室计算机安全问题以及内部人员攻击。

对于大规模和大量用户的交换,还存在使用伪造网络钓鱼网站攻击者攻击用户以获取认证信息的问题。

为了应对这些安全威胁,Xiaobao建议在交易针对用户利用和修复系统中的安全漏洞之前,进行渗透测试和代码审计等安全服务。

此外,建议交易所为所有正式雇员进行必要的基本安全培训。

最后,建议针对数字加密货币的网民主动学习安全知识,并在计算机和手机上使用安全软件。不要对“裸奔”充满信心,以免陷入网络钓鱼陷阱和钱包盗窃。 。

以下是2018年加密货币交易所及相关事件被盗的详细信息。

(1)今年1月,日本最大的数字加密货币交易所Coincheck被$ EM盗取,价值5.34亿美元。 Coincheck是日本的第二大交易所。在后来的官方新闻发布会上,Coincheck表示,XEM被盗是因为XEM的热钱包的私钥被黑客窃取,但没有其他货币被盗。受此事件影响,XEM当天下跌9.8%。

(2)2月11日,意大利加密货币交易所BitGrail受到攻击,1.7亿美元的加密货币NANO被盗。

(3)3月7日,宾思被黑了。黑客购买了这些账户头寸的比特币并通过控制货币安全账户购买了VIA硬币,这导致威盛对市场上涨。 Coin Security已经推翻了异常交易,但这一事件仍引起市场恐慌,比特币在未来几天下跌超过15%。

(4)4月1日,Bit-Z遭到黑客攻击而没有造成经济损失。为此,Bit-Z已经设立了10,000个ETH安全基金来奖励安全漏洞提交者。该奖项当时价值400万美元。

(5)4月13日,印度三大比特币交易所之一的Coinsecure在官方网站上宣布,该交易所有438个BTC被盗,价值约330万美元。该交易所的首席安全官Amitabh Saxena被列为嫌疑人。这是印度最大的隐患盗窃案。

(6)6月5日,Bitfinex受到“拒绝服务”的攻击,Bitfinex立即暂停了交易所的所有交易。

(7)6月10日,韩国数字加密货币交易所Coinrail遭到黑客攻击,损失超过5000万美元。 Coinrail总加密货币的70%保存在冷钱包中,并且已经收回了总被盗金额的三分之二。

(8)6月20日,韩国加密货币交易所Bithumb遭到黑客攻击,3000万美元的加密货币被盗。这是Bithumb第三次遭到黑客攻击。

此前,该交易所还遭遇了两次“黑客攻击”。

第一次:2017年4月,Bithumb的一台计算机遭到黑客入侵,导致超过30,000名用户被盗,Bithumb被韩国监管机构罚款55,000美元。

第二次:2017年12月22日,韩国MBC电视台聘请了一家安保公司在包括Bithumb在内的五家韩国交易所进行安全测试。该安全公司成功“入侵”,包括Bithumb内的五个交易所,并获得了一些用户数据和资金。受雇的“黑客”声称只使用“基本的黑客技能”。

然而,安全问题没有引起交易所的足够关注,导致了2018年6月的黑客事件。

(9)9月20日,日本数字货币交易所Zaif宣布遭遇黑客入侵,损失5,967万美元。其中,1959万美元属于交易所自有资金,其余4007万美元属于客户资金。

Dapp Security

智能合约和交易是安全且受到重创的领域。 18岁高的DApp并没有逃脱黑客的利爪。虽然所有安全事故中的损失金额都很低,但频繁的安全事件严重影响了Dapp的生态。着陆和应用。

根据Dapp.review的最新数据,目前在以太坊,EOS,Wavefield和其他公共连锁店运营的DApps总数超过1900.

EOS与DApp生态建设的初始发展阶段有关,DApp相关的安全问题层出不穷。截至去年12月,由于DApp漏洞导致的损失已达到395,000 EOS和13,000 ETH。根据两者的最高市场价值,财富损失超过2700万美元。

在2018年下半年,DApp安全事件集中爆发,黑客攻击事件主要发生在EOS主网络上。攻击方法也充满了技巧:随机数攻击,种子漏洞,伪造货币攻击......

EOS是一个备受瞩目的企业级区块链操作系统。基于这个DApp,为什么会出现这么多黑客攻击事件?

今年5月,EOS创始人BM表示,为EOS主网络提供宝贵的漏洞将获得1万美元的赔偿。奖项颁发后,一位名叫“Jon Bottarini”的网友透露,有人在一天内发现了8个漏洞并获得了80,000美元的奖励。这也充分说明了EOS主网络本身存在很多安全问题。

实际上,对EOS上的DApp的攻击正变得越来越专业化和团队导向。

自11月以来,作为三大EOS测验DApps,EOSDice,FFgame和EOS.WIN都遭遇了“随机数漏洞”攻击。据知情人士透露,这些攻击是由一个人或同一个团队实施的。知情人士表示,他已成功锁定了黑客交易账户。

与EOS网络相比,以太坊的黑客攻击事件略少。

以下是自2018年以来DApp的黑客攻击事件,以及相关事件的详细信息:

(1)7月25日,狼人游戏(Fomo 3D的Emo版本)出现“溢出”漏洞,导致60,686次EOS损失。在EOS核心仲裁论坛(EACF)对黑客的行为进行仲裁之后,它发布了一个新的仲裁令以冻结黑客的EOS帐户:eosfomoplay1。

(2)8月22日,Fomo 3D(Last Winner)遭到黑客入侵,失去了10,469个ETH(价值约300万美元)。 SECBIT实验室首次宣布,Fomo3D大奖获得者采用了一些“特殊攻击技术”。攻击者使用高额费用吸引矿工优先打包,最后以较低的成本阻挡了这些块以加速游戏。提高获胜机会。

9月24日,在第二轮Fomo 3D开始后,黑客使用类似的攻击方法获得3,246.668以太坊奖励。

(3)8月27日,Luckyos拥有的石头剪布游戏被黑客攻击,损失不明。

(4)9月2日,EOS.win“随机数”遭到黑客入侵,导致2000ESO损失。

(5)9月10日,EOSBet遭到黑客攻击,共丢失了4,000个EOS。四天后,EOSBet再次遭到黑客攻击,丢失了145,321个EOS。损失已经恢复。

(6)9月12日,由于攻击者iloveloveeos(恶意合同),LuckyGo被迫下线。那天晚上,iloveloveeos迅速攻击了新的在线游戏LuckyGo。这两种攻击都归类为“随机数缺陷攻击”。

(7)9月12日,EOS Happy Slot遭到黑客攻击,失去了5000个EOS。一个拥有imeosmainnet帐号的黑客使用了“重播攻击”,导致项目方失去了5,000个EOS。

(8)9月14日,分散交易所Newdex遭到黑客入侵。黑客使用伪造货币在交易所交换真实货币,总计11,803 EOS。

攻击过程是这样的:攻击者创建了一个全新的令牌,发行量为10亿(EOS流通量为10亿),并将其命名为“EOS”。攻击者使用一种特殊方法在Newdex上用11,800个假EOS兑换大量等价的真实硬币。

(9)9月15日,EOS.Win遭遇了黑客伪造的货币攻击,失去了超过4,000个EOS。

11月11日,EOS.Win也在11月11日遭受了第二次攻击。在一分钟之内,攻击黑客对EOS.WIN游戏合同(eosluckydice)共发起了10次攻击,获利超过9180 EOS。

(10)10月16日,World Conquest遭到黑客“纳税规则”的攻击,拒绝参与其他玩家,然后获利4555 EOS;

(11)10月26日,EOS Royale遭遇了黑客“随机数”攻击并丢失了10,800个EOS。过程是这样的:黑客通过调用随机数生成器来计算前一个块的信息,然后获得游戏随机数,这打破了EosRoyale钱包并窃取价值60,000美元的EOS令牌。

(12)10月28日,EOS扑克遭遇黑客“种子漏洞”攻击,失去了1374个EOS。

(13)10月31日,EOSCast遭到黑客伪造货币袭击,造成72,912件EOS遭到黑客攻击。根据游戏规则,黑客攻击100,1000和10,000个假EOS令牌,每次攻击可以获得198,9800和19,600个EOS。在最后一次攻击中,游戏玩家注意到异常攻击并立即将剩余的8,000个EOS转移到奖金池中。

ECAF(EOS核心仲裁委员会对智能合同拥有仲裁权)立即对此事件作出回应,并发布仲裁令冻结相关账户。

(14)11月4日,EOSDice发出通知,称智能合同遭到攻击,但由于其自动检测功能,合同自动将剩余资金转移到攻击后的安全地址。此事件导致EOSDice损失2,545 EOS。

(15)11月8日,FFgame遭遇黑客攻击。黑客帐号jk2uslllkjfd对FFgame游戏合约(eoswallet415)发起了多达304次攻击,总利润为1331.2922 EOS。

(16)11月10日,黑客对MyEosVegas游戏合同(eosvegasjack)发起了700多次攻击,该合同已经使9,000多个EOS受益。

(17)11月26日,竞争对手DApp遇到了前所未有的新回击攻击。

(18)12月3日,Dice3D遭遇黑客攻击并丢失了10,569个EOS。黑客已经将被盗的EOS转移到了火币上。 Dice3D正式决定自费购买一些EOS以补偿玩家。

钱包安全

数字货币钱包有一个热钱包和一个冷钱包。冷钱包具有相对较高的安全性,因为私钥不会触及网络。然而,随着技术的快速迭代,热钱包和冷钱包都被黑了。

在2018年,由于钱包的安全性而损失的金额约为4,000万美元。其中大多数是通过各种手段获取用户私钥的黑客,导致资产被盗。钱包设计中也存在一部分缺陷。

由于区块链的分散化,黑客的目标是找到获取用户私钥的方法。如果用户的存储方法不正确,可能会受到网络钓鱼电子邮件,特洛伊木马等的攻击,从而导致资产被盗。

因此,建议大多数用户将私钥复制到纸上或物理上,进行复制,然后将其放在一个永远不会忘记的地方,不要将其存储在Internet上,确保私钥不会触摸网,还要确保不要将私钥和钱包放在一起。此外,尝试选择具有大量用户群和较少安全事件的钱包。最后,您必须在Web和移动电话上安装安全软件。你不能“赤身裸体”。

钱包设计中的缺陷也可能引发攻击,一旦爆发,影响和损失的程度将非常广泛。

例如,当外部钱包第一次运行时,用户默认创建新钱包并将未加密的钱包文件存储在系统中。攻击者可以读取存储的钱包文件并对钱包应用反向分析。恢复钱包的算法逻辑,从而直接恢复用户的助记符和敏感数据,如根密钥。

对于这部分安全问题,建议钱包项目找一个专业的安全团队,在面对用户之前进行安全审核。

以下是自2018年以来与钱包相关的黑客攻击事件:

(1)1月8日,Reddit Tippr用户遭到黑客攻击并抢劫了数千个生物安全信息交换所(比特币现金)。

(2)1月17日,XLM钱包遭到袭击,超过40万美元的XLM被盗。事件的起因是黑客劫持了BlackWallet.co的DNS服务器,据估计,该服务器导致近700,000个XLM被盗,价值超过40万美元。

(3)1月22日,黑客入侵了IOTA钱包并偷走了价值400万美元的IOTA。据CCN称,该网站用于生成IOTA钱包私钥的原因遭到黑客入侵。

(4)3月4日,Titanium区块链(TBIS)宣布它被黑客入侵,该公司的钱包被1870万BAR标记(约90万美元)偷走。

(5)4月17日,数字货币投资者和Youtube博客作者Ian Balina昨晚在他们对ICO项目进行现场评论时被黑了。黑客从他的Etherscan钱包中转移了超过200万美元的数字货币。

(6)4月25日,MyEtherWallet被抢劫并失去了大约500个ETH。

(7)6月6日,日本零售商Shopin的MEW钱包遭到黑客入侵,加密货币损失超过1000万美元。这些包括以太坊,升级,宝珠和Shopin。

(8)8月15日,陕西省西安市警方抓获三名高级黑客嫌疑人。三人共同努力窃取价值6亿元人民币的加密货币。

今年3月30日,在被盗后,受害人张姓姓男子,报称他的电脑被非法袭击,虚拟货币价值数亿美元遭到抢劫。警方随后展开搜查和逮捕。今年8月15日,三名黑客被警察逮捕。

(9)9月25日,EOS控股gm3dcnqgenes账户被盗,总损失209万EOS(约1,080万美元)。

(10)10月22日,瑞士区块链公司Trade.io表示其冷钱包中有5千万TIO被盗,价值750万美元,其中130万TIO被转移到两家交易所Kucoin和Bancor。 Kucoin已暂停TIO交易,而Bancor已永久删除TIO。

(11)10月25日,Reddit用户帐户被黑了。黑客从他的钱包中偷走了14个比特币(89,500美元),22个ETH(4,400美元)和大约1170万个COSS代币(770,000)。美元),这些加密货币价值总计864,000美元。

回顾整个2018年的安全事件,有些人悲观,并认为区块链是一个极其高风险的行业,应该避免。

但是,人们还认为,安全事件的频繁发生反映了业界前所未有的关注,因为黑客只花时间攻击有价值的东西。

在猎豹区块链安全小宝,虽然黑客在2018年猖獗,但世界各地的区块链安全公司已经悄然出现;由于价格痛苦,整个行业也将增加安全投资和建设;用户安全教育也逐渐受到关注。未来区块链产业的蓬勃发展非常有希望。

微信二维码
微信客服二维码

文章均源于网络收集编辑侵删

提示:不接受技术开发以外的任何咨询!

郑重申明:左链接科技以外的任何单位或个人,未经同意不得擅自转载该文章!
虚拟币开发,虚拟币交易平台开发,山寨币交易平台开发 Keywords: 虚拟币开发 虚拟币交易平台开发 山寨币交易平台开发