2019年区块链行业发展迅猛,中心化交易所/去中心化交易所、DApp、Staking、CeFi/DeFi、Web3.0等概念逐渐变得耳熟能详,大量资金的涌入,不断吸引地下黑客的视线往区块链行业转移。据慢雾区块链被黑档案库(hacked.slowmist.io)数据统计,2019年全年区块链行业发生安全事件超130起,累计损失资金超50亿美金,交易所、钱包、DApp成黑客攻击重灾区。慢雾科技将通过这篇文章梳理2019年区块链安全与隐私生态发生的影响重大的事件,为读者回顾事件详情,同时对每个事件附上慢雾观点。虽然本文列举的仅是冰山一角,但具有很大的代表性。No.1ETC遭受51%攻击
发生日期:2019-01-05事件描述:1月5日下午,ETC高度为7245623的区块发生异动,1月7日慢雾安全团队披露称,ETC疑似发生了51%攻击,有不少区块发生回滚,在短短两天之间,ETC网络共遭受了至少11次疑似双花攻击,损失约值46万美元的ETC,1月8日,Gate.io研究院发布公告称,已确认ETC网络遭受51%攻击并定位到攻击者的ETC地址。
慢雾:Platypus再次遭遇攻击,套利者获取约5万美元收益:7月12日消息,SlowMist发推称,稳定币项目Platypus似乎再次收到攻击。由于在通过CoverageRatio进行代币交换时没有考虑两个池之间的价格差异,导致用户可以通过存入USDC然后提取更多USDT来套利,套利者通过这种方式套利了大约50,000美元USDC。[2023/7/12 10:50:27]
慢雾观点没经过真实攻击洗礼且保持进化的公链都不是安全的公链。当双花攻击变得常见时,公链需要将防控双花攻击作为风控机制的一部分。作为加密货币生态的参与者,防范双花攻击可能并不仅仅是公链的责任,交易所、钱包、投资人都有必要提高警惕。No.2Cryptopia遭攻击后破产
发生日期:2019-01-14事件描述:1月14日,新西兰加密货币交易所Cryptopia遭受黑客攻击,黑客共偷走了价值1600万美元的以太坊和ERC20代币,随后暂停了其平台服务,早在推文发出之前的13个小时,该公司曾对外表示“平台正在进行计划外的维护”,暗示交易所已经受到黑客攻击。随后参与了对黑客攻击事件的调查,而Cryptopia交易所无力继续运营。今年5月,Cryptopia交易所宣布关闭并申请破产保护,该交易所欠债权人超过270万美元。慢雾观点Cryptopia被黑事件成为交易所2019新年第一“盗”,地下黑客将攻击的重点目标转向了加密货币交易所,加密货币交易所侧的攻防战场开始火热起来。跟随加密货币大生态的发展,地下黑客职业军团相继踏入区块链攻防世界。No.3众多EOSDApp遭遇交易排挤攻击
慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官@IM_23pds在社交媒体上发文表示,近期已出现新的加密货币盗窃软件Mystic Stealer,该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包,是目前最流行的恶意软件,请用户注意风险。[2023/6/20 21:49:05]
发生日期:2019年1月开始事件描述:2019年1月11日凌晨,EOS.WIN遭遇黑客攻击。EOS.WIN的攻击者采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击bocai.game的攻击手法为同一种攻击手法。攻击者首先是发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的defer交易,将项目方的开奖交易“挤”到下一个区块中。该类攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。慢雾观点区块链上没有完美的随机数方案,只要是采用链上的变量作为随机数因子,都存在被黑客攻破的可能。建议开发者采用EOS官方推荐的随机数安全实践“RandomizationinContracts”,或者引入预言机。同时在合约设计时加上风控机制,比如奖池大额转出超过某个阈值自动暂停。No.4DragonEx遭入侵损失超600万美元加密货币
慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。
慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]
发生日期:2019-03-24事件描述:加密货币交易所DragonEx发布公告称平台钱包遭受黑客入侵,导致用户和平台的数字资产被盗,涉及BTC、ETH、EOS、XRP、TRX等20余种主流数字资产,总损失超600万美元。慢雾观点在攻击事件发生后,国内外多家安全公司证实该事件是黑客组织Lazarus所为。该组织通过运营和模拟正常的量化软件,以高利润和高收益通过交易所对外的客服诱惑交易所高层使用。量化软件中隐藏有后门,一旦软件被传递到关键人电脑上运行就会进行一序列渗透和黑客动作。随着加密货币的发展,黑客组织Lazarus对加密货币的兴趣已经越来越浓厚,黑客攻击也越来越多,呈现出APT(高级持续性威胁)性质,只有交易所自身做好防护措施,才能让黑客不再有机可乘。No.5Bithumb被盗3百万EOS和2千万XRP
发生日期:2019-03-29事件描述:3月29日,韩国加密货币交易所Bithumb承认遭到黑客攻击。一名管理人员表示,当地时间3月29日晚10点15分左右,检测到热钱包出现异常取款。黑客盗走约300万枚EOS,价值约1340万美元,以及2000万枚XRP,价值600万美元。早在2018年6月,该交易所就因黑客攻击损失了价值达3100万美元的加密货币,不到1年的时间里Bithumb接连出现2次被黑事件。慢雾观点加密货币交易所遭受二次攻击,不排除内鬼作案。确实在金钱魔力面前,人性经不住考验,而许多交易所的内部安全风控建设工作又过于缺失,这促使了内鬼有足够动机作案,导致交易所被盗币。No.6币安被盗7074枚比特币
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
发生日期:2019-05-08事件描述:5月8日,加密货币交易所币安发布安全公告称,5月7日17:15:24,黑客在区块高度575012处从币安热钱包中盗取7074枚比特币,黑客此前已发现系统存在的安全漏洞,但一直很耐心,直到系统出现大额交易才出手。慢雾观点随着地下黑客职业军团相继进场,职业的地下黑客通过高级钓鱼及木马植入,层层渗透最终拿到交易所的私钥权限,导致加密货币交易所被盗币。面对地下黑客职业军团的攻势,交易所侧安全防御表现极其无力。交易所可以与可信且职业的安全团队进行深入合作,部署因地制宜的安全建议,做到默认一切不可信的心态去接触这个世界。No.7TokenStore被爆跑路,卷走用户数十亿资产
慢雾:PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击,慢雾安全团队解析:这是一次典型的利用闪电贷操作价格的攻击,其关键点在于WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议,在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]
发生日期:2019-06-10事件描述:5月31日,TokenStore发布公告称由于受到黑客攻击,系统将全面升级维护10天,并强调不管发生什么,平台会坚持运行。6月10日,社区多位用户反映,TokenStore在升级公告发布10天之后疑似跑路,投资人数十亿资金被一卷而空。慢雾观点资金盘跑路还不忘把锅甩给黑客攻击,真是花样百出……类似项目经常使用“高收益”、“最新区块链科技”等名词进行包装,实则是庞氏局,投资者们要仔细分辨,切莫参与。No.8PlusToken跑路卷走约20亿美元加密货币
发生日期:2019-06-27事件描述:6月27日晚上,有投资者发现,自己的PlusToken钱包无法提现了,遇到同样问题的人不在少数。有人发现,以往少则10分钟、最多3小时的提现时间,已经连续好几日没有任何反应,并且App无法登陆,客服也不在线。后被证实PlusToken跑路,局共吸纳了价值超过20亿美元的加密货币,包括180,000BTC、6,400,000ETH、111,000USDT等。慢雾观点PlusToken是同类资金盘项目里涉案金额最大、受害用户最多的一个,给区块链生态带来严重的负面影响。慢雾AML系统对PlusToken钱包的链上交易进行了持续地追踪与溯源,从统计数据发现,绝大部分加密货币已经被利用Mixer、免KYC的币币兑换平台进行清洗,进而转化为法币离场。No.9Bitrue被盗930万枚XRP
发生日期:2019-06-27事件描述:6月27日凌晨1点,总部位于新加坡的加密资产交易所Bitrue遭遇重大黑客攻击,其热钱包损失了930万枚XRP和250万枚ADA,被盗的XRP和ADA价值分别超过450万美元和23.75万美元。慢雾观点Bitrue官方表示,黑客利用风控系统的漏洞来访问用户的个人资金和Bitrue热钱包,进而实施盗币。由于交易所内部人员的安全意识缺失,本不该暴露的系统缺陷暴露了,给了地下黑客可乘之机,导致被盗币。在区块链世界攻防差距明显,以现在大多数交易所的防御能力不足以抵挡职业地下黑客的入侵。安全体系化建设工作很复杂,防御工作需要面面俱到,而入侵工作却可以单点突破。No.10BitPoint被盗价值约3200万美元的加密货币
发生日期:2019-07-11事件描述:Bitpoint在7月11日发生黑客攻击事件。黑客攻击了该交易所的热钱包和冷钱包,窃取了价值约3200万美元的比特币、比特币现金、莱特币、瑞波币和以太坊,其中约2300万美元的数字货币属于该交易所的用户。BitPoint表示,受害用户数量接近该交易所用户总数的一半,高达5万人。该交易所表示将承担用户的所有损失。慢雾观点三分之二的被盗资金属于客户,金融厅面子全毁。手法虽然未公开,但是不排除APT类攻击行为。地下黑客攻击愈加激烈,加密货币交易所侧安全防御面临新挑战。No.11第三方问题导致平台遭受攻击
发生日期:2019年7月事件描述:7月5日,NPM官方博客发布文章称,NPM安全团队与Komodo合作发现并阻止了针对名为Agama的加密货币钱包所有用户的恶意投威胁。攻击者将恶意程序包放入Agama的构建链中,用这种手法来窃取钱包应用程序中使用的钱包私钥和其他登录密码。慢雾观点在当下的技术架构中脱离不了第三方JavaScript库,所有项目方技术团队都应该强制至少一名核心技术完整review一遍所有第三方模块,看看是否存在可疑代码,也可以抓包看看是否存在可疑请求。No.12BitMEX、币安用户身份信息遭泄露
发生日期:2019年8月、11月事件描述:2019年11月1日,BitMEX在发送平台邮件通知时,由于没有采用密送设置,导致该邮件所有接收人的邮箱地址被泄露。事后有研究人员在推特上发布消息称,已收集到的邮箱地址超过2.3万个。币安用户KYC资料泄露事件发生于2019年8月,有人通过Telegram群「FINDYOURBINANCEKYC」公开发布币安用户KYC资料,之后币安发布消息称:Telegram群传播的KYC资料和币安系统信息不符,图片没有币安特定的电子水印,尚不能证明来自币安。慢雾观点用户身份信息应得到高强度的加密和保护,平台在早期架构设计时应贯彻落实这个策略,规避此类敏感信息泄露事件的发生。No.13Upbit被盗34.2万枚ETH
发生日期:2019-11-27事件描述:韩国交易所Upbit公告称,有34.2万个以太坊被盗,已转移至一个未知的以太坊地址,总价值约5000万美元。此前据WhaleAlert监测的链上数据显示,Upbit频繁转出大额加密货币,包括SNT、EOS、OMG、XLM、TRX、ETH等,总价值超过1亿美元。随后官方发布公告澄清,只有ETH是被黑客盗走的,其余资产均是交易所为了安全自行转移到冷钱包。慢雾观点目前怀疑和之前一直在活动的APT(高级持续性威胁)攻击有关,这种攻击的特点是长期潜伏,直到碰到可操作的大资金,一次性大笔盗走。当然也不能排除内鬼可能性。被盗的是Upbit的ETH热钱包,冷钱包应该无风险。附:交易所安全攻防总结
2019年交易所领域发生了大量的安全事件,且每个都造成了巨额的损失。慢雾科技在交易所安全攻防方面有深厚的沉淀,我们总结发现主要有如下几个攻击手法:1.内鬼作案。确实在金钱魔力面前,人性经不住考验,而许多交易所的内部安全风控建设工作又过于缺失,这促使了内鬼有足够动机作案,导致被盗币;2.假充值漏洞攻击。一些交易所在对接的各种公链或代币上的安全经验不足,导致充值环节中出现假资金情况,但交易所系统却认为是真的,导致被盗币;3.APT攻击。职业的地下黑客通过高级钓鱼及木马植入,层层渗透最终拿到交易所的私钥权限,导致被盗币;4.供应链攻击。交易所使用的第三方组件被黑植入了恶意代码,从而间接影响了交易所的安全防线,导致被盗币;5.粗心大意。由于交易所内部人员的安全意识缺失,本不该暴露的系统缺陷暴露了,给了地下黑客可乘之机,导致被盗币。从这些主要的攻击手法来看,可以总结出两个主要特点:1.内部人员人性之恶及安全意识、安全经验缺失;2.攻防差距明显,以现在大多数交易所的防御能力不足以抵挡职业地下黑客的入侵。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。