登录

成都链安:8 月区块链安全事件超 39 起,其中 DeFi 领域出现 5 起

安全
0 14

8 月区块链领域安全事件是 2020 年度目前单月内数量最多的,与 7 月相比,8 月各版块所发生的安全事件均呈上涨趋势。

原文标题:《盘点 | 成都链安:8 月发生较典型安全事件超「39」起。本月安全事件频发,整体风险评级为「高」,需敲响警钟》
撰文:成都链安

据成都链安「安全态势感知系统」(Beosin-Eagle Eye)数据监测显示:在过去的 8 月中,整个区块链生态所面临的安全形势十分严峻,不完全统计,总共发生了超 39 起较典型的安全事件,属 2020 年度内目前单月数量最高。

本月安全事件的整体风险评级为「高」,需区块链生态各项目方引起重视,防微杜渐。与 7 月相比,8 月各版块所发生的安全事件均呈上涨趋势。经成都链安安全人员统计,8 月发生较典型安全事件细项如下:

交易所方面共发生 「4」起较典型的安全事件

去中心化金融基础设施 Sperax 表示,部分交易所近日发出公告引导用户进入其平台抢购 SPA 代币。Sperax 目前未与任何交易所有任何官方合作,且 Sperax 在美国东海岸时间 8 月 14 日表示在官网公募前不会分发 SPA 代币

加密货币交易所 KuCoin 警告称,有欺诈网站使用其品牌试图窃取加密货币。该网站提供虚假奖励,诱使用户存入数字资产。

日本加密货币交易所 TAOTAO 官方表示,东京时间 8 月 22 日 12 点 46 分-12 点 56 分,该交易所因系统故障导致交易对报价无法更新,该问题现已修复。故障影响仍在调查中。

有网络犯罪分子一直在假冒 BTC ERA 交易平台,意在以恶意软件感染潜在用户。这家网络安全公司发现,作恶者一直在发送据称是来自 BTC ERA 的电子邮件,以诱使用户投资付费。

DeFi 方面共发生 「5」 起较典型的安全事件

Opyn 官方发文,就平台漏洞导致 ETH 被盗事件作出更新,将全额赔偿受漏洞影响的 ETH 看跌期权卖家。对于 ETH 看跌期权买家,按高于市场价 20% 的价格赎回看跌期权。

DeFi 流动性耕种匿名项目 BASED 官方宣布,将重新部署质押池。官方发布推特称,有黑客试图将「Pool1」永久冻结,但尝试失败。

Yam Finance 仓促开发的合约中,一个 rebase 函数漏洞导致了治理合约被「永久破坏」,价值 75 万美元的 Curve 代币被锁定而无法使用。

波场官方支持的 DZI 爆出漏洞,工程师在正式上线直接调用合约获取 DZI,损失惨重。

推特有网友爆料称,DeFi 流动性挖矿项目 Degen.Money 利用双重授权漏洞(Double Approval Exploit)来获取用户资金。YFI 创始人 Andre Cronje 也在推特表示,该项目确实存在风险,需手动取消授权。

盘点 | 成都链安:8 月发生较典型安全事件超「39」起。本月安全事件频发,整体风险评级为「高」,需敲响警钟

Beosin 评论:DeFi 项目仍是当下阶段的热门趋势,有许多项目上线后,就被曝出严重的安全漏洞。成都链安建议:各大项目方在项目上线之前,一定要做好安全审计工作,根除安全隐患,从而减少不必要的损失。

诈骗跑路 / 加密骗局方面共发生 「8」 起较典型的安全事件

加拿大安大略省彼得伯勒县警察支队正在调查两起欺诈事件,涉案总金额达 78000 美元。嫌疑人假冒警察诱骗受害人将资金存入其要求的比特币账户中,否则将被逮捕。

Jon Prosser8 月 5 日发布的一条推文,其拥有 26.2 万名订阅用户的 YouTube 频道遭到黑客攻击,频道名称被改为「NASA [news]」,并开始直播关于 SpaceX CEO 埃隆·马斯克赠送比特币的虚假消息。约两个小时内,非法获利 4000 美元

今年以来,与推特同样类型的加密骗局在 Instagram 上猖獗。有超过 130 万的 Instagram 帖子使用#Coinbase 标签,但其中绝大多数都是虚假信息;也存在假冒名人账号发布虚假加密信息的诈骗行为。

8 月 7 日,Uniswap 已出现 SRM 假币,已有用户被骗。Serum 发布推特提醒用户提高警惕,在除 FTX 和 BitMax 平台以外的其他交易平台(如 Uniswap 等)出现的 SRM,均为假冒。

ScamAlert 网站正在追踪一些涉嫌加密骗局的地址,已确认和可疑的数字货币地址数量已超过 5 万

英国国家网络安全中心(NCSC)删除了超过 30 万个与名人有关的虚假代言投资机会的 url,其中超过一半的网站属于欺骗性加密货币投资计划。

苏州园区警方侦破苏州首起针对虚拟货币的黑客犯罪案件,抓获了多名专门利用黑客手段盗取账户密码来窃取虚拟货币,并通过暗网联系职业洗钱销赃团伙变现的犯罪嫌疑人。

CFTC 要求对加密骗局 Control-Finance 负责人处以 4.29 亿美元民事罚款。

盘点 | 成都链安:8 月发生较典型安全事件超「39」起。本月安全事件频发,整体风险评级为「高」,需敲响警钟

勒索软件 / 挖矿木马方面共发生 「8」 起较典型的安全事件

美国第五大旅游公司 CWT 同意向劫持其计算机系统的黑客支付价值 450 万美元的比特币。

据外媒报道,FBI 发布了针对美国和外国政府组织的 Netwalker 勒索软件攻击的新安全警报。随后,联邦政府建议受害者不要支付赎金,并向当地的联邦调查局外地办事处报告了此次事件。

微步情报局监测到一起尝试攻击 Docker 主机并植入挖矿木马的攻击活动,该挖矿木马存放在一台位于德国的服务器(85.214.149.236)中。

跨国公司佳能(Canon)的电子邮件、存储服务和其美国网站遭到了 Maze 团伙的勒索软件攻击。Maze 要求佳能支付加密货币赎金,否则将泄露其照片和数据。

Garmin 遭勒索攻击的风波未平,此后佳能又遭受了勒索软件攻击。攻击除了让佳能的一些网站宕机以外,据说还导致佳能服务器中高达 10TB 的数据被盗。

勒索软件犯罪团伙 REvil 声称已成功袭击了美国葡萄酒和烈酒巨头 Brown-Forman Corp。该公司拒绝支付 REvil 要求的门罗币赎金。作为回应,黑客在其暗网官方博客以大约 150 万美元的价格出售被盗数据。

以色列网络安全公司 Mitiga 建议运行某些程序的亚马逊网络服务(Amazon Web Services)的所有客户,检查自己是否受到了门罗币挖矿软件的恶意感染。Migita 称任何运行基于 Community AMIs (Amazon Machine Images)的 EC2 实例的用户都容易受到该加密挖矿软件的攻击。

一犯罪团伙对全球一些最大的金融服务提供商(包括 MoneyGram、YesBank Indiak、PayPal、Braintree 和 Venmo)发起了 DDoS 攻击,并索要比特币赎金。

盘点 | 成都链安:8 月发生较典型安全事件超「39」起。本月安全事件频发,整体风险评级为「高」,需敲响警钟

暗网方面共发生 「2」 起较典型的安全事件

114 万俄罗斯人的护照数据正在暗网的地下商店出售。据悉,此前在宪法改革公投中,这些俄罗斯公民通过区块链平台投票,但他们的数据在互联网上遭到了泄露。

著名暗网市场 Empire Market 已关闭运营,退出时该网站共骗取了 130 万用户的约 2638 枚比特币,价值近 3000 万美元

其他方面共发生 「12」起较典型的安全事件

加密货币钱包 Ledger 撰文回应安全研究人员 Monokh 披露的安全漏洞。Ledger 表示,已发布比特币应用程序 v 1.4.6 版本,该版本旨在改善 Monokh 所披露的安全漏洞。另外,Ledger 也针对莱特币、狗狗币等应用程序进行了更新。

ETC 最近遭受的 51% 攻击据信导致了大约 560 万美元的加密货币被「双花」

社交新闻网站 Reddit 遭遇大规模黑客攻击,攻击者破坏了 Reddit 包括美国国家橄榄球联盟、电视节目、海盗湾、迪士尼乐园、复仇者联盟等数十个频道,这些频道加起来拥有数千万的用户,以显示支持唐纳德·特朗普连任。

腾讯安全威胁情报中心检测到大量源自境外 IP 及部分国内 IP 针对国内云服务器租户的攻击。国内多家知名企业的云服务器均受到该僵尸网络攻击,已有上千台服务器沦陷受害。

法官判处澳大利亚黑客 Kathryn Nguyen 刑期 2 年零 3 个月,原因是她在 2018 年 1 月 XRP 接近其历史最高点 3.29 美元的时候,盗窃了 10 万枚以上 XRP 代币(目前价值约 30 万美元)。

今年黑客对隐私浏览器 Tor 产生了重大影响,他们正在利用这种影响劫持比特币。通过 Tor 出口中继,黑客将加密交易中的比特币资金转到自己手中。

保加利亚 Kyustendil 小镇上两名男子因盗窃电力开采比特币而被拘留,被盗电力价值 150 万美元

美国政府正在起诉美国国家安全局(NSA)泄密者 Edward Snowden。根据最近的一份法庭文件,斯诺登在虚拟会议上的演讲费高达 120 万美元,其中至少有 3.5 万美元来自比特币和加密公司。

8 月 21 日,Uber 前首席安全官 Joseph Sullivan 试图掩盖 2016 年的黑客攻击。两名黑客入侵了数百万用户和驱动程序的数据,并要求他支付六位数的报酬。在 2016 年 12 月,Sullivan 向黑客支付了 10 万美元的比特币。

8 月 24 日,黑客从 CryptoTrader.Tax 中窃取了 1000 多个用户的数据。CryptoTrader.Tax 是一款用来计算和归档加密货币交易税的在线服务。

朝鲜黑客组织 Lazarus 再次将目光瞄准加密货币,最新的攻击事件是通过 LinkedIn 的一个招聘广告发送钓鱼文档,该文档与一家区块链技术公司有关。

一项研究显示,以太坊区块链上价值超过 10 亿美元的代币缺少 2017 年发布的一项软件标准,使得它们可以被劫持并从交易交易所中抽走。

盘点 | 成都链安:8 月发生较典型安全事件超「39」起。本月安全事件频发,整体风险评级为「高」,需敲响警钟

鉴于当前区块链安全领域的新形势,「成都链安」在此总结:

从总体上看,8 月区块链整个生态所发生的安全事件颇多,较之 7 月呈明显上涨的趋势。值得一提的是,8 月所发生的安全事件是 2020 年度目前单月内数量最多的,整体风险评级为「高」。其中,发生在 DeFi 方面的安全事件尤其值得我们注意。因 DeFi 热度持续走高,后续该板块下所暗藏的安全风险可能是极大的,不能放松警惕

同时,本月 DeFi 方面相关项目也出现了几起较为严重的安全漏洞,因此成都链安也要提醒广大项目方在项目筹备阶段一定要做好相关的安全工作。对即将上线的合约,切记要寻找专业的安全公司来进行代码审计,以避免上线后造成不可挽回的损失。

另外,还需要注意的是,在诈骗跑路 / 加密骗局方面,本月所发生的相关骗局事件也是时有发生;与此同时,也能看到有关部门正在对此版块加强关注,被破获的骗局事件也有所增加。在此,成都链安需要提醒广大用户,切勿轻信「天上掉馅饼」的事情;谨慎分辨网络上的有关消息,切莫掉进圈套

来源链接:mp.weixin.qq.com

发表评论

0 个回复