PeckShield:八月共发生安全事件28起,DeFi市场成重灾区

2020-09-01 17:51 栏目:经验之谈 来源:网络整理 查看()

根据PeckShield态势感知平台的数据,在过去的一个月中,整个区块链生态发生了28起重大安全事件,危害等级为“中级”,其中包括8起DEFI案件、2起钱包安全案件、6起公共链安全案件、1起交易所相关案件、4起敲诈勒索相关案件和7起欺诈经营案件。

PeckShield:八月共发生安全事件28起,DeFi市场成重灾区

DeFi是安全的

8月份发生了8起与DeFi相关的安全事件,具体如下:

1)DeFi项目Yam Finance(YAM)发布了一条推文,称在重订合同期间发现了一个漏洞。初始复位后的复位将产生比预期更多的YAM。

2)DeFi项目YFValue (YFV)昨天宣布,团队在YVV质押池中发现了一个漏洞,恶意参与者利用这个漏洞分别重置了质押中的YVV计时器。

3)8月5日,Opyn ETH PUT的智能合同(DeFi期权平台)遭到黑客攻击,造成约37万美元的损失。攻击者发现Opyn智能合同执行界面在ETH接收到的交易中存在一些处理缺陷,其合同没有检查交易者的实时交易金额,因此攻击者在为自己发起真实交易后,可以插入虚假交易来欺骗卖方抵押的数字资产,从而实现了空手套白狼。

4)YFII是YFII的一个硬分叉项目,在8月1日凌晨完全变成了一个“退出骗局”。从一开始,这个项目似乎已经下定决心为自己的运行做准备。

5)一名网民在推特上披露了DeFi流动性挖掘项目Degen的消息。金钱通过两种授权获得用户资金。第一次授予质押合同,第二次授予转让权,将导致用户的资金被攻击者取走。

6)一个新兴的自动做市商平台SushiSwap已经暴露在智能合同的多个安全漏洞中。智能合同所有者可能会利用此漏洞,允许所有者执行任何操作,包括未经授权清空智能合同帐户中的令牌。同时,本项目的智能合同中存在严重的重入攻击,这将导致潜在攻击者的恶意代码被多次执行。

7)DeFi的匿名移动农业项目BASED正式宣布将重新部署认捐池。根据官方推特,一些黑客试图永久冻结“池1”,但尝试失败了。“池1”将按计划继续。

8)在推出Uniswap后不久,两个小的象征性项目,——NUGS和NEXE——,被怀疑“运行欺诈”。NUGS项目将此举归因于“聪明的合同漏洞”。在其官方电报频道上,NUGS称其聪明的合同现在是“不可挽回的”。另一个项目,NEXE,似乎已经跑了,它的社交媒体账户已经被删除。

PeckShield评论:随着DeFi项目功能的日益多样化,隐藏的安全问题逐渐暴露出来。鉴于其与用户资产的密切关系,DeFi项目的安全问题非常严重。因为每个项目都是由不同的团队开发的,并且对他们自己产品的设计和实现的理解是有限的,所以集成的产品在与第三方平台交互的过程中很可能会有安全问题,然后双方都会受到影响。PeckShield在此建议DeFi项目方应尽最大努力寻找一个对DeFi产品设计的各个方面都有深入研究的团队,在上线前进行一次完整的安全审核,以避免潜在的安全隐患。

数字钱包安全性

8月份发生了两起钱包安全事件:

1)一位GitHub用户称他的比特币被黑客窃取。据报道,该用户正在使用比特币钱包Electrum软件,最后一次访问是在2017年。从那以后,Electrum发布了一个安全更新,但是这个用户没有安装它,所以他被提示在传输比特币之前更新和修复潜在的问题。但当他按照提示行动时,软件利用漏洞连接黑客的服务器,1400 BTC(价值1600万美元)立即被从他的钱包中取出并存储在黑客的钱包中。

2)据8月30日报道,加密钱包提供商莱杰最近出现了数据库泄露和钱包漏洞,这让用户的比特币面临风险。Ledger首席技术官Charles Guillemet表示,就数据库泄漏而言,攻击者通过第三方在我们网站上配置的错误API密钥访问了我们电子商务和营销数据库的一部分,从而允许未经授权访问我们客户的联系信息和订单数据。莱杰在同一天修复了这个问题,并禁用了应用编程接口键。

PeckShield评论:作为管理私钥的工具,数字钱包是最接近加密资产的地方。尽管冷钱包是一个与网络断开的离线钱包,但它也有被物理攻击和被盗的风险。对于像网络钱包这样的热门钱包,用户也应该防范网络钓鱼和恶意代码注入。

公共链安全

8月,发生了6起与公共链相关的安全事件:

1)8月4日上午,固执资本(American Capital)创始人图尔德梅斯特(Tuur Demeester)在推特上称,今天所有比特币节点都可能遭受连接槽耗尽攻击。据Blockstream副总裁沃伦托加米(Warren Togami)发布、Tuur Demeester转发的消息称,Tuur Demeester监控的几个比特币的所有入局连接槽都已满。沃伦托加米(Warren Togami)说,当公共传入连接插槽耗尽时,来自本地主机的传入连接将停止。

2)根据北京大学、北京邮电大学、浙江大学和昆士兰大学的研究人员的一项新研究,区块链以太网中价值超过10亿美元的令牌缺乏2017年发布的软件标准,这使得这些令牌很容易在交换中被劫持和丢失。该软件漏洞被称为假存款漏洞,已在7772 ERC-20代币发行商中发现。这项研究表明,通过在交易验证方法不充分的情况下操纵ERC-20代币智能合同中的代码,黑客几乎可以不花钱就能骗到很多钱。伪造存款攻击可能随后导致交易所崩溃,导致ERC-20代币和其他加密货币的持有者损失资金。

3)开放以太网中的更新使得运行在新版本上的节点基本上无用。这个bug似乎是在OpenEthereum 2 . 7 . 2版本中引入的。OpenEthereum决定简单地放弃2.7版本,因为这个版本及其缺陷很难修复。最新的2.5.13稳定迭代计划在九月中旬柏林的硬叉之前发布。然而,在此之前,下载新版本的运营商将面临一个极具破坏性的降级任务。基础设施开发商BlockNative的开发商利亚姆阿哈隆(Liam Aharon)在推特上强调,降级需要完全重新同步区块链。对于某些节点配置,这将需要几个月的时间该漏洞影响约50%的奇偶校验节点,根据以太网节点数据,奇偶校验节点占整个网络的12%。OpenEthereum团队正在研究一个转换过程,该过程将帮助节点避免昂贵的重新同步。

4) Bitfly(母公司4)Bitfly(以太矿)表示,今天,ETC区块链公司已经进行了3693个区块的连锁重组,区块高度为10904146。这将导致所有状态构建节点停止同步。这可能是由51%的攻击造成的,然后当局要求所有交易所立即停止存款和取款,并调查所有最近的交易。

5)8月30日,Bitlify(母公司Bitlify(Ethermine Mine Mine Pool))正式宣布,ETC今天又发生了一次51%的大规模攻击,导致7000多个区块重组,相当于约2天的开采时间。所有丢失的块将从未到期余额中移除,这将检查所有支出以找到丢失的交易。

6)8月25日,菲力卡空间竞赛开始,CDSI联盟节点‘t02398’遭受了大量恶意和非法攻击。攻击者通过过滤后的白名单发送大量消息来封锁节点,消耗了Lotus节点的大量操作,使得节点无法正常完成任务,最终导致计算能力的损失。

PeckShield评论:一旦发现,公共链中的漏洞对整个链生态有很大的影响,所以在正式版本上线之前,公共链必须做好安全测试和漏洞调查工作,并寻求第三方安全公司的审计,以避免影响公共链生态的漏洞威胁。

与交易所相关

8月份发生了一起与交易所相关的安全事件:

1)韩国第三大数字现金交易所“硬币”被韩国警方查封并调查,其董事长和经营者涉嫌在交易所内交易和操纵市场价格。据报道,科宁比特是韩国第三大交易所,仅次于比特亨伯和普比特。警方称,该公司涉嫌使用非法手段赚取至少1000亿韩元(约8500万美元),同时该公司还涉嫌伪造超过99%的交易量。

PeckShield评论道:不管这个过程有多小心和复杂,黑客们通常会把交易作为套现渠道的一部分。这无疑对主要数字资产交易所的KYC和KYT业务提出了要求,交易所应加强反洗钱和资本合规审查。细节可以在www.coinholmes.com找到。

勒索相关

8月份发生了4起与勒索有关的安全事件:

1)过去几周,一个犯罪团伙对一些全球最大的金融服务提供商发起了DDoS攻击,并索要比特币赎金。据报道,该组织使用了——的名字,如Armada Collective和Fancy Bear,借用著名的黑客组织——向该公司发送电子邮件,威胁要攻击DDoS并索要比特币赎金。

2)一个名为REvil(又名Sodinokibi)的勒索软件犯罪团伙声称已经成功攻击了美国葡萄酒和烈酒巨头Brown-福尔曼公司,黑客们在其黑网官方博客上以大约150万美元的价格出售了窃取的数据。然而,布朗福尔曼公司在一份声明中表示,他们已经成功阻止了网络犯罪团伙对文件进行加密。

3)奥地利警方正在调查炸弹威胁和勒索的激增,此前数家公司在周二早上收到勒索比特币的电子邮件。根据这封邮件,如果他们在接下来的80小时内不支付价值2万美元的比特币,他们将引爆炸药。奥地利媒体称,该电子邮件还包含如何购买比特币的说明。

4)特斯拉通过与联邦调查局合作,成功破解了一次有计划的勒索软件攻击。据报道,袭击的目标是特斯拉在内华达州的工厂,袭击者要求特斯拉支付价值数百万美元的比特币。

PeckShield评论:勒索安全事件一直是影响整个互联网生态的重大隐患,不仅限于区块链生态。此外,在区块链领域的加密货币逐渐普及之后,犯罪分子经常利用比特币等加密货币的更好匿名性进行勒索和欺诈。

其他欺诈和其他事件

除上述情况外,8月份还发生了许多欺诈性跑步事件,值得警惕,如:

1)兰州市公安局安宁分局近日成功破获一起利用虚假金融平台进行电信网络诈骗的犯罪团伙,抓获犯罪嫌疑人41人,冻结涉案赃款27万余元,查获2辆宝马轿车和100多台(部)手机、电脑等作案工具。

2)8月20日,从江苏省苏州市公安局获悉,在“网网2020”专项行动中,该市破获了一起针对虚拟货币的黑客犯罪案件,抓获了数名犯罪嫌疑人。犯罪嫌疑人利用黑客窃取账户密码和虚拟货币,并通过黑网联系专业洗钱和赃物团伙实现现金交易,涉案金额超过3000万元。

3)以色列网络安全公司Mitiga建议运行某些程序的亚马逊网络服务的所有客户检查他们是否被门罗硬币挖掘软件恶意感染。在今天的报告中,米吉塔说,任何运行基于社区Amis(亚马逊机器映像)的EC2实例的用户都容易受到这种加密挖掘软件的攻击。据报道,米吉塔正在检查一台金融机器

4)腾讯安全威胁情报中心检测到大量来自海外和部分国内知识产权针对国内云服务器租户的攻击。攻击者通过SSH(22端口)攻击登陆服务器,然后执行恶意命令下载Muhstik僵尸网络木马。这个僵尸网络将控制丢失的服务器执行SSH横向移动,下载门罗硬币挖掘特洛伊木马,并接受远程指令来发起DDoS攻击。

5)西班牙加密货币支付应用程序和信用卡发行商Get承认,上周五(7月31日)黑客窃取了140万美元,公司无法立即偿还受攻击影响的用户,并提出了一个折衷方案。Get一直在努力寻找资金,但与一家投资集团的谈判失败了,未能找到资金来偿还所有用户被盗的资金。

6)8月15日,中国香港警方逮捕了三名涉嫌从比特币自动取款机上诈骗近23万港元(合3万美元)的男子。这是香港首次出现这种情况。在两家密码货币交易所提交报告后,警方在过去两天采取了行动。这些交易所怀疑犯罪分子利用自动取款机的“漏洞”在没有官方授权的情况下提取现金。

7)近日,广州白云区警方在深入开展“2020”飓风专项行动中,发现并捣毁了一个利用“跑点”平台进行数字现金交易的团伙,抓获了9名涉案嫌疑人,缴获了一批涉案物品,如手机、银行卡等。

PeckShield点评:用户安全意识和操作规范缺失导致的各种安全隐患层出不穷,网络钓鱼攻击和欺诈等各种事件就是典型例子。我们提醒您,用户应小心保存各种私人信息,任何轻微的疏忽都可能造成不可挽回的损失。

微信二维码
售前客服二维码

文章均源于网络收集编辑侵删

提示:币友交流QQ/WX群请联系客服加入!

郑重申明:资讯文章为网络收集整理,官方公告以外的资讯内容与本站无关!
虚拟币开发,虚拟币交易平台开发,山寨币交易平台开发 Keywords: 虚拟币开发 虚拟币交易平台开发 山寨币交易平台开发