据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生10起较为突出的安全事件,危害程度评级为「中级」,受损金额数千万元,涉及数字钱包3起、DApp2起、智能合约1起以及资金盘跑路、钓鱼等等。
数字钱包
10月份共发生3起钱包安全事件,其中包含2起钱包私钥被盗。
1)上海某投资机构冷钱包私钥被盗,造成的损失达数千万元;
2)去中心化托管平台Payfair官方发布声明称,由于黑客攻击,平台冷钱包的私钥被破解;
3)网页版加密货币钱包Safuwallet遭到黑客攻击,黑客通过注入恶意代码窃取了大量资金。
PeckShield点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。
安全团队:PolkaDex项目Discord服务器遭入侵:金色财经消息,据CertiK官方推特发布消息称,PolkaDex项目Discord服务器遭入侵,有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/7/2 22:13:13]
DApp?生态
10月份共发生2起DApp安全事件,都发生在EOS生态内。
EOS游戏BitDice遭受假EOS攻击,损失4千EOS;SKReos游戏遭受交易memo攻击,损失6千EOS。其中SKReos之前已被多次报道遭受交易阻塞和随机数攻击。
具体来说,假EOS攻击是被攻击合约在接收到玩家投入的EOS时,没有验证是官方eosio.token合约签发的,玩家可以自己创建同名为EOS的代币,进而触发被攻击合约的transfer函数,获得真正的EOS回报。而交易memo攻击是指黑客通过精心构造投注交易的memo,导致游戏方服务器解析异常,从而持续中奖或异常大额退款。
安全团队:针对Wintermute损失1.6亿美元黑客事件,建议项目方移除相关地址管理权限:金色财经报道,2022年9月20日,据Beosin EagleEye监测显示,Wintermute在DeFi黑客攻击中损失1.6亿美元,Beosin 安全团队发现,攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址(攻击者合约)转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。结合地址特征(0x0000000),疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中,已有安全研究者确认其随机性存在安全缺陷(有暴力破解私钥的风险),导致私钥可能泄漏。
Beosin 安全团队建议:1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限,并使用安全的钱包地址替换。2.其他使用Profanity工具生成钱包地址的项目方或者用户,请尽快转移资产。Beosin Trace正在对被盗资金进行分析追踪。[2022/9/20 7:08:40]
PeckShield点评:以上两款EOS游戏遭受的攻击都是比较常见的,DApp开发者应在合约上线前做好安全测试,防御已知的攻击方式,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。
Crust Network 道长:用户的资产在Rollup解决方案中是安全的:金色财经现场报道,7月9日,金色沙龙第66期Layer2-扩容“空间站”,探索更高维度的破局之道在杭州举办,Crust Network 道长在圆桌对话环节中表示,V神曾提到, 二层解决方案有两大问题:一个是资产安全性问题,还有一个是系统安全性问题。Rollup已经将资产安全性问题基本解决,也就是用户的资产在Rollup解决方案中是安全的。但Rollup的系统安全性问题仍有待解决。
他山之石,可以攻玉。Crust网络提供了高安全性和高可用的数据存储网络,有能力为Layer2方案提供更高的系统安全性。
一些实际的例子已经证明了Crust的存储优势。Uniswap已经将它的网站去中心化的部署在了Crust之上,除此之外,还有更多DApp和NFT项目将他们的数据存储在Crust网络。[2021/7/9 0:40:09]
智能合约
V神:以太坊提案EIP1559可提高以太坊的网络安全性:Bitfly日前在推特上表示:“以太坊此前使用EIP1559的计划是在每次交易中销毁ETH,你认为以这种方式危害网络的安全性是一个好主意吗?从理论上来看,ETH的价值应该增加,但是如果没有呢?”V神今日就此回复称:“为什么会危害网络安全?有人认为,它可以提高以太坊的网络安全性(通过减少激励分叉链来争夺高昂费用的交易的动机)。”[2020/4/24]
10月份共发生1起智能合约安全事件,相关漏洞导致其成为第一个进行硬分叉的区块链游戏。
10月14日,CheezeWizards在以太坊主网上线。不到24小时内,玩家/img/20230516001340594516/0.jpg "/>
作为一款格斗游戏,CheezeWizards允许玩家发起一个“单边揭示“的交易,当一位玩家已经揭示了招式,另一位玩家一直不揭示招式直到时间截止(90分钟)时,正常玩家可以调用resolveTimedOutDuel()方法,以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。
玩家正常调用和恶意调用的例子如下。
正常调用:resolveTimedOutDuel(WIZARD-A,WIZARD-B)
恶意调用:resolveTimedOutDuel(WIZARD-A,WIZARD-A)
由于合约开发者默认为传入的两个wizardid不同,所以没有进行相关效验,而该方法是公开的,任何玩家都可以设置wizardid,一个怀有恶意的玩家,通过传入相同的wizardid以此来冻结诚实玩家的能量。
修复此漏洞的方法很简单,只需要在方法体内加上如下判断。
PeckShield点评:智能合约开发者在实现相关方法时,要特别注意公开接口的相关参数,应考虑各种异常情况,做好防御限制。
跑路事件
10月份,经媒体报道多起资金盘项目涉及和,例如被立案调查的趣步,暂停维护的ICC等。
PeckShield旗下的CoinHolmes推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。
其中CoinHolmes监测到Cryptopia部分被盗资产流入了Uniswap去中心化交易所和知名DeFi项目Compound。资产流向示意图如下:
鉴于资金盘跑路事件频发,CoinHolmes为广大用户提供了爆料入口,用户可以通过提交关联链上地址,实时查询数字资产流向情况。
PeckShield点评:除了传统中心化交易所,黑客也在不断寻求新的方式,例如此次黑客转移资金至Compound,主要目的是利用DeFi借贷平台进行混淆资金,同时不排除“理财生息”的可能。除DEX之外,当前有着较好流通性的DeFi借贷平台也成了黑客的新选择。
钓鱼攻击等其他类安全事件
除上述之外,10月份还有一些安全事件同样值得警惕:
1)Telegram搬砖套利局八天内金额高达750枚ETH;
2)MEET.ONE提醒EOS用户警惕DApp钓鱼。
PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、搬砖套利等各类事件就是典型。在此提醒,参与数字资产投资的用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。