区块链:安全月报 | 10月共发生安全事件10起,DeFi借贷平台成黑客新选择

据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生10起较为突出的安全事件,危害程度评级为「中级」,受损金额数千万元,涉及数字钱包3起、DApp2起、智能合约1起以及资金盘跑路、钓鱼等等。

数字钱包

10月份共发生3起钱包安全事件,其中包含2起钱包私钥被盗。

1)上海某投资机构冷钱包私钥被盗,造成的损失达数千万元;

2)去中心化托管平台Payfair官方发布声明称,由于黑客攻击,平台冷钱包的私钥被破解;

3)网页版加密货币钱包Safuwallet遭到黑客攻击,黑客通过注入恶意代码窃取了大量资金。

PeckShield点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。

慢雾安全提醒:Discord,Telegram频道公告权限设置提醒:据慢雾安全情报,近期存在项目因 Discord 管理账户权限设置问题而造成管理账户被接管,并通过公告频道发布钓鱼链接,导致社区用户遭受损失的事件。在此提醒各位注意添加频道权限设置,管理公告发布,预防仿冒官方人员名称发布公告及网络链接钓鱼问题。[2021/12/24 8:00:42]

DApp?生态

10月份共发生2起DApp安全事件,都发生在EOS生态内。

EOS游戏BitDice遭受假EOS攻击,损失4千EOS;SKReos游戏遭受交易memo攻击,损失6千EOS。其中SKReos之前已被多次报道遭受交易阻塞和随机数攻击。

具体来说,假EOS攻击是被攻击合约在接收到玩家投入的EOS时,没有验证是官方eosio.token合约签发的,玩家可以自己创建同名为EOS的代币,进而触发被攻击合约的transfer函数,获得真正的EOS回报。而交易memo攻击是指黑客通过精心构造投注交易的memo,导致游戏方服务器解析异常,从而持续中奖或异常大额退款。

灵踪安全已审计Kika项目部署在火币Heco链上的合约:据官方消息,灵踪安全近期审计了Kika项目部署在火币Heco链上的合约,所审计的合约包含该项目的通证发行,抵押借贷,流动性挖矿功能。经灵踪安全审计,报告已出,细节请查询官网。[2021/5/31 22:59:00]

PeckShield点评:以上两款EOS游戏遭受的攻击都是比较常见的,DApp开发者应在合约上线前做好安全测试,防御已知的攻击方式,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。

智能合约

10月份共发生1起智能合约安全事件,相关漏洞导致其成为第一个进行硬分叉的区块链游戏。

10月14日,CheezeWizards在以太坊主网上线。不到24小时内,玩家@samczsun向官方反映,游戏合约存在一个严重的漏洞,使用该漏洞可以让玩家处于不败之地。随后CheezeWizards决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约,同时弥补了用户遭受的损失。

动态 | 永辉超市采用区块链溯源系统控制食品安全:据中国网消息,近日,永辉超市上线了区块链食品安全溯源系统,利用区块链不可篡改的特性,为生鲜食品流转的各环节进行存证,多方面促进食品安全。据悉,永辉区块链溯源系统除了多宝鱼外,已在肉制品、果蔬等其他生鲜大品类试点推广。负责人表示,区块链技术改变了传统溯源分散、可更改的缺点,可以对产品信息进行即时分享,实现信息公开化,从这一点上来说,将促使每个环节上的从业者自律,这对食品安全控制来说是非常有利的。[2018/11/2]

如下图,这一漏洞主要发生在智能合约的resolveTimedOutDuel(uint256,uint256)方法中。

中关村互联网金融研究院院长刘勇:发展区块链意味着必须迎接其所带来的安全挑战:中关村互联网金融研究院院长、区块链安全研究中心秘书长、国培机构董事长刘勇表示,中国区块链公开专利的数量从2014年2件增加到2017年前7个月的428件,数量与增速均超美国,创世界第一。“今年以来全国各地密集出台20余份区块链支持政策,体现了我国对发展区块链技术与产业的坚定的态度与决心,但是区块链快速发展的同时,不可避免地引发了与之相关的安全担忧。”刘勇进一步指出,发展区块链意味着必须迎接其所带来的安全挑战,这些挑战包括但不限于物理安全、数据安全、信息安全、软件安全、舆情安全、系统安全等方面。结合上述安全挑战,刘勇介绍了区块链安全研究中心的七大职责,分别是:技术研究、应用推广、技术咨询、场景搭建、人才培养、学术交流和政策建议。[2018/5/9]

作为一款格斗游戏,CheezeWizards允许玩家发起一个“单边揭示“的交易,当一位玩家已经揭示了招式,另一位玩家一直不揭示招式直到时间截止(90分钟)时,正常玩家可以调用resolveTimedOutDuel()方法,以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。

玩家正常调用和恶意调用的例子如下。

正常调用:resolveTimedOutDuel(WIZARD-A,WIZARD-B)

恶意调用:resolveTimedOutDuel(WIZARD-A,WIZARD-A)

由于合约开发者默认为传入的两个wizardid不同,所以没有进行相关效验,而该方法是公开的,任何玩家都可以设置wizardid,一个怀有恶意的玩家,通过传入相同的wizardid以此来冻结诚实玩家的能量。

修复此漏洞的方法很简单,只需要在方法体内加上如下判断。

PeckShield点评:智能合约开发者在实现相关方法时,要特别注意公开接口的相关参数,应考虑各种异常情况,做好防御限制。

跑路事件

10月份,经媒体报道多起资金盘项目涉及和,例如被立案调查的趣步,暂停维护的ICC等。

PeckShield旗下的CoinHolmes推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。

其中CoinHolmes监测到Cryptopia部分被盗资产流入了Uniswap去中心化交易所和知名DeFi项目Compound。资产流向示意图如下:

鉴于资金盘跑路事件频发,CoinHolmes为广大用户提供了爆料入口,用户可以通过提交关联链上地址,实时查询数字资产流向情况。

PeckShield点评:除了传统中心化交易所,黑客也在不断寻求新的方式,例如此次黑客转移资金至Compound,主要目的是利用DeFi借贷平台进行混淆资金,同时不排除“理财生息”的可能。除DEX之外,当前有着较好流通性的DeFi借贷平台也成了黑客的新选择。

钓鱼攻击等其他类安全事件

除上述之外,10月份还有一些安全事件同样值得警惕:

1)Telegram搬砖套利局八天内金额高达750枚ETH;

2)MEET.ONE提醒EOS用户警惕DApp钓鱼。

PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、搬砖套利等各类事件就是典型。在此提醒,参与数字资产投资的用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-3:809ms