8月10日,去中心化年金协议?PunkProtocol遭到攻击,损失890万美元,后来团队又找回了495万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,攻击原因在于投资策略中找到了一个关键漏洞:CompoundModel代码中缺少初始化函数的修饰符的问题,可以被重复初始化。希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
黑客1的两笔攻击交易:
0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281
GDO官方回应网传GDO客户恶意操纵禁止提币的不实传闻:据官方消息,今日针对网传GDO客户恶意操纵禁止提币的不实传闻,GDO官方回应称:“GDO是一家以‘高性能引擎、优秀流动性和丰富的衍生品交易产品’为核心的SaaS服务商,现与全球20多个国家的客户进行合作,为客户提供高性能的撮合引擎、优秀流动性、先进的衍生品产品、网站搭建、域名采买、app前端定制、运维支持等技术服务。
GDO秉承公平公正的原则,对合规高度重视。如有发现GDO客户有恶性运营等不良行为者,请及时向GDO举报。一经证实,GDO将立即与客户沟通业务整改、或提前终止技术合作。
截止目前为止,GDO客户均正常运营,未出现禁止提币等情况。
GDO希望持续推动区块链行业健康化发展与成熟化运作,对于恶意造谣和传播虚假消息等一切有损GDO品牌形象的行为,GDO将保留追究其法律责任的权利。[2020/7/20]
0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa
欧洲多台超级计算机遭加密挖矿恶意软件攻击以挖掘门罗币:5月16日消息,英国、德国和瑞士等欧洲各地的多台超级计算机本周已被加密货币挖掘恶意软件感染,并已关闭以调查入侵事件。据报道,攻击者似乎通过破坏SSH凭证获得了访问超级计算机集群的权限,一旦攻击者获得访问权限,就会利用CVE-2019-15666漏洞继而部署挖掘门罗币(XMR)的应用程序。(ZDNet)[2020/5/17]
黑客2的两笔攻击交易
0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b
0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1
分析 | 预计2019年由区块链技术催生的恶意攻击活动将更加活跃:据财新网博客,4月26日,中国人民大学中国普惠金融研究院顾雷、李学军发布文章《我国现阶段网络安全难点及技术解决方案》。文章总结了当前互联网网络安全难点,其中难点二是区块链技术尚未成熟,不能排除恶意攻击网络安全的行为。 目前,区块链虽然凭借其天然的技术特点而具有用户认证、数据保护、防DDoS攻击等安全优势成为网络新宠,但现阶段区块链技术还不成熟,早期生成的区块算法已过时或者密钥长度不够,部分交易数据有可能被篡改。而且区块链配套软件也存在隐患,攻击者可以通过系统中存在的漏洞恶意篡改或者盗取数据。例如2017年多起勒索病攻击事件就是由于数字加密出现问题引发的。我们预测,2019年由区块链技术催生的恶意攻击活动将更加活跃,变相数字加密货币可能成为黑客攻击的主要罪源,区块链安全形势不容乐观。[2019/4/27]
黑客2的攻击合约地址:
0x00000000b2ff98680adaf8a3e382176bbfc34c8f
黑客2的地址:
动态 | 慢雾科技:区块链作恶主要包括盗币、恶意挖矿、勒索等八大方面:慢雾科技今日在其官博上发表“区块链作恶总结图”:区块链作恶可分为盗币、恶意挖矿、勒索、暗网、C2中转、、资金盘、。其中这八个方面又细分出很多作恶手段,比如盗币有钓鱼攻击、木马攻击、算力攻击、智能合约攻击、基础设施攻击等作恶手段。此外,慢雾科技还提醒,竞技类DApp已经成为带有“智能合约”的公链不可忽略的某种落地场景,或将可能作为新型作恶手段。[2019/1/10]
0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a
0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c
黑客2退回的两笔交易地址:
0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198
0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce
动态 | 黑客利用Xbash恶意软件进行挖矿:降维安全实验室关注到一款新的恶意软件Xbash,能够入侵Linux和Windows服务器,并挖掘加密货币,Xbash通过弱口令和未修补的漏洞来入侵Windows系统并在企业和家庭内网进行快速传播。此外,Xbash还可以删除基于Linux的数据库,并以恢复数据之名,勒索比特币赎金。
Xbash具有代码编译,代码压缩转换以及代码加密等反检测功能,以对抗反恶意软件查杀。降维安全实验室发现Xbash勒索软件挖掘的加密货币金额约6000美元。如果你想了解更多相关资讯,请联系降维安全实验室。[2018/9/18]
下面以黑客1正式攻击交易为例
黑客的攻击执行了delegateCall,将攻击者的合约地址写入到compoundModel中initialize函的forge_参数。setForge(address)函数在初始化函数中执行。这是一个修改Forge地址的功能。
然后,它执行withdrawToForge函数并将所有资金发送到攻击者的合约。
随后在调用initialize函数发现forge_参数已经被替换成攻击者合约的地址。
链接到forge_的所有CompoundModel都使用相同的代码,因此所有资产都转移到攻击者的合约中。目前,导致黑客入侵的代码已被项目方修补。添加了两个Modifiers,这样只有ContractCreator可以调用Initialize函数并控制它只被调用一次。
二、安全建议
本次攻击的根本原因在于CompoundModel合约中缺少对初始化函数的安全控制,可以被重复初始化。初始化函数应只能调用一次,而且需要进行调用者权限鉴别;如果合约是使用初始化函数,而不是在构造函数中进行初始化,则应使用安全合约库中的初始化器来进行初始化。避免合约被恶意操纵,造成合约关键参数和逻辑的错误。
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。