事件
黑客勒索攻击
传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是7月至今发生的黑客勒索攻击事件中的主要攻击方式。
此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击,其攻击者是三名青少年,其中最大年龄仅有22岁,这起事件在7月以来的安全事件中较典型的一例,产生的影响范围极广。
①
7月2日,MongoDB遭受到攻击,约22900个数据库被清空,攻击者要求以BTC作为赎金赎回被清空数据库的备份。
FIS CBDC战略负责人:隐私是数字英镑的关键优先事项:7月4日消息,全球金融服务公司 FIS 的 CBDC 战略负责人 Julia Demidova 表示,对于英国央行数字货币而言,隐私仍然是一个关键优先事项。有了 CBDC,央行和监管机构可以实现更大的透明度并提高交易的可见性,同时保护个人隐私。如果英格兰银行继续推行数字英镑,就需要采取适当的保障措施来尊重最终用户的隐私。[2023/7/4 22:17:35]
②
7月11日,Cashaa交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移约合9800美元的BTC。
数字藏品周指数上涨3.8至55.3:金色财经报道,据同伴客数据显示,上周(2023年3月21日-3月27日)数字藏品国际周指数下跌4.4点至14.2点,国内周指数上涨16.3点至116.9点,数字藏品综合价值周指数上涨3.8至55.3点。
备注:
· 数字藏品综合价值指数由同伴客数据与链境Labs联合研发,是对国际及国内当月市场热度最高的数字艺术品项目市场总销售规模的综合反映,以2021年11月份销售额的30分之7为基数,指数基值为100。
·国内周指数成分之一的幻核于8月16日发布平台终止运营公告,但销量已于7月10日后归零。为遵循去掉某一成分后指数计算结果无变化的原则,该指数使用幻核7/4-7/10的销售数据进行销售基数调整,并将新的销售基数作为8/14后的指数计算基数。[2023/3/27 13:29:06]
③
美国CFTC主席:已准备好监管加密货币的可能性:金色财经报道,美国商品期货交易委员会 (?CFTC?)主席Rostin Benham评论了CFTC未来采取加密货币监管的可能性,并表示已为此做好充分准备,
Benham提到美国参议院委员会计划提出一项法案,将比特币和以太坊等数字资产置于商品监管机构的管辖范围内,旨在提高交易透明度并保护市场参与者。
Benham称,这是一件必要的事情,但对机构来说也是一个改变。针对CFTC可能不是监管加密货币的合适机构的担忧,Benham解释说:
我们需要专注于我们所做的事情和我们拥有的专业知识,这就是商品市场,让我们使用我们拥有的工具并做出一些改变。生活在变化,技术在发展,我们已做好准备。看看会发生什么会很有趣。[2022/8/11 12:19:24]
7月15日,twitter遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。
IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]
④
7月22日,约克大学信息被盗取,攻击者要求约合114万美金的BTC作为赎金。
⑤
7月23日,英国足球联盟信息被盗取,攻击者要求BTC作为赎金。
⑥
7月25日,西班牙铁路基础建设管理局约800gb信息被盗,攻击者要求BTC作为赎金。
⑦
7月30日,佳能遭受到黑客攻击,约10tb照片和其他类型数据被盗,用户要求以数字货币作为赎金。
⑧
7月31日,数字货币交易所2gether遭受到黑客攻击,约139万美金的BTC被盗。
代码漏洞攻击
对于代码漏洞攻击相关事件,攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。
⑨
8月4日,DeFi项目Opyn被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约37万美金的损失。
攻击类型及危险
攻击事件类型及危险程序:
勒索攻击——攻击的方法和媒介如下:
代码漏洞攻击:——攻击的方法和媒介如下:
因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析8月两起代码漏洞攻击事件。
代码漏洞攻击事件分析
⑨
第9号事件
此次事件发生于DeFi项目Opyn中,攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。
攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。
也就是说,攻击者可以用一笔ETH进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的ETH。
CertiK安全研究团队认为,Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。
总结
在此,CertiK安全团队建议如下:
做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。
做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。
做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。
我们绝不仅仅是寻找漏洞,而是要消除哪怕只有0.00000001%被攻击的可能性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。