区块链领域攻击频发 CertiK安全团队细数7月以来发生的区块链相关攻击事件
事件
传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是7月至今发生的黑客勒索攻击事件中的主要攻击方式。
此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击(利用了社会工程的方法),其攻击者是三名青少年,其中最大年龄仅有22岁,这起事件在7月以来的安全事件中较典型的一例,产生的影响范围极广。
①
7月2日,MongoDB遭受到攻击,约22900个数据库被清空,攻击者要求以BTC作为赎金赎回被清空数据库的备份。
②
7月11日, Cashaa交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移约合9800美元的BTC。
③
7月15日, twitter遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。
④
7月22日,约克大学信息被盗取,攻击者要求约合114万美金的BTC作为赎金。
⑤
7月23日,英国足球联盟信息被盗取,攻击者要求BTC作为赎金。
⑥
7月25日,西班牙铁路基础建设管理局约800gb信息被盗,攻击者要求BTC作为赎金。
⑦
7月30日,佳能遭受到黑客攻击,约10tb照片和其他类型数据被盗,用户要求以数字货币作为赎金。
⑧
7月31日,数字货币交易所2gether遭受到黑客攻击,约139万美金的BTC被盗。
代码漏洞攻击
对于代码漏洞攻击相关事件,攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件(租用庞大的算力)来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。
⑨
8月4日,DeFi项目Opyn被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约37万美金的损失。
攻击类型及危险
攻击事件类型及危险程序:
勒索攻击——攻击的方法和媒介如下:
代码漏洞攻击:——攻击的方法和媒介如下:
因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析8月两起(第9号及第10号事件)代码漏洞攻击事件。
代码漏洞攻击事件分析
⑨
第9号事件
此次事件发生于DeFi项目Opyn中,攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。
攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。
也就是说,攻击者可以用一笔ETH进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的ETH。
CertiK安全研究团队认为,Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。
总结
在此,CertiK安全团队建议如下:
-
做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。
-
做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。
-
做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。
我们绝不仅仅是寻找漏洞,而是要消除哪怕只有0.00000001%被攻击的可能性
来源:CertiK中文社区
比推快讯
更多 >>- 比特币完成第四次减半,挖矿奖励降至3.125 BTC
- 印度男子承认创建欺骗性 Coinbase 网站并窃取 950 万美元的加密货币
- 美联储金融稳定报告:持续通胀被视为最重要的金融稳定风险
- DAO组织Own the Doge购买与狗狗币原型Kabosu相关的图像版权
- 美国国税局公布1099报税草案,包括代币代码、钱包地址等内容
- 金融律师Scott Johnsson:年底前看不到现货以太坊ETF被批准的任何迹象
- Magic Eden:将于4月25日扩展至Base网络
- 距比特币第四次减半已不足8个小时,剩余49区块
- 半小时前Coinbase Institutional地址转出超150万枚UNI
- Coinbase:MNI-USD交易对已处于全面交易模式
- 今日9支现货比特币ETF减持472枚 BTC,价值约3044万美元
- Pyth Network推出MERL/USD价格源服务
- Coinbase Custody将于5月停止对Unifi Protocol DAO (UNFI) 和PlayDapp (PLA)的支持
- Polygon Staking地址转入4000万枚MATIC,价值超2700万美元
- UniSat:Runes上线7天内,etch和铸造可获得三倍积分奖励
- Telegram Wallet发布五项更新,支持用户直接向其 Telegram 联系人发送代币和 NFT
- 50 分钟前 Tether 向 Cumberland DRW 出售 9000 万枚 USDT
- MyShell推出基于EigenDA与Optimism的AI消费者L2网络,测试网将于下周上线
- BTC短线跌破64000美元
- 数字资产市场服务提供商Skynet Trading完成新一轮融资,Edessa Capital等参投
- 美股数字货币板块走高
- 路透社:美国债务负担恶化引发投资者关注比特币和黄金
- Lambda完成180万美元天使轮融资
- Runestone总成交额突破2500枚BTC
- HTX Ventures战略投资Merkle 3s Capital
- 贝莱德IBIT持仓超27.3万枚比特币
- 新加坡加密支付公司Triple-A新增PYUSD支持
- 美SEC:孙宇晨频繁赴美,美法院已具备相应管辖权
- 韩国监管机构推迟批准Crypto.com当地部门领导层变动
- 新加坡支付公司Triple-A 推出对PayPal稳定币的支持
- Base发布2024年第6轮Base建设者资助名单
- PADO与ArweaveAO合作发起可验证机密计算VCC
- 基于以太坊区块链的影视支付平台FilmChain完成280万欧元融资,Holt InterXion领投
- 企业忠诚度平台Superlogic完成760万美元战略轮融资,Amex Ventures等参投
比推专栏
更多 >>观点
项目
比推热门文章
- 比特币完成第四次减半,挖矿奖励降至3.125 BTC
- 【比推每日新闻精选】Michael Saylor今年通过出售MicroStrategy股票赚取3.7亿美元;金融律师Scott Johnsson:年底前看不到现货以太坊ETF被批准的任何迹象;美国国税局公布1099报税草案,包括代币代码、钱包地址等内容;美联储金融稳定报告:持续通胀被视为最重要的金融稳定风险
- 印度男子承认创建欺骗性 Coinbase 网站并窃取 950 万美元的加密货币
- 【比推每日市场动态】减半日来袭,大户再增持超12亿美元BTC
- 美联储金融稳定报告:持续通胀被视为最重要的金融稳定风险
- DAO组织Own the Doge购买与狗狗币原型Kabosu相关的图像版权
- 美国国税局公布1099报税草案,包括代币代码、钱包地址等内容
- 金融律师Scott Johnsson:年底前看不到现货以太坊ETF被批准的任何迹象
- Magic Eden:将于4月25日扩展至Base网络
- 距比特币第四次减半已不足8个小时,剩余49区块