過去一個月,整個區塊鏈生態共發生 11 起較為突出的安全事件,危害程度評級為「中級」,受損金額 4,823 萬美元,涉及 DeFi 4 起、交易所 4 起,DApp 1 起,個人被盜 1 起, 錢包 1 起等。
DeFi安全
2月份共發生 4 起 DeFi 安全事件,具體如下:
1)02月15日,DeFi 項目 bZx 團隊在官方電報群上發出公告,稱有黑客對 bZx 協議進行了漏洞攻擊。PeckShield 安全人員主動跟進 bZx 攻擊事件,發現這起事件是針對 DeFi 項目間共享可組合流動性的設計進行攻擊,特別在有槓桿交易及借貸功能的 DeFi 項目里,該問題更容易被利用。
2)02月18日,bZx 再次遭遇了類似的攻擊,這一次的攻擊從技術原理與上一次不同,黑客通過操縱 Oracle 價格對 bZx 合約進行了「矇騙」,而根本原因還是由於平台間共享流動性過小以及價格機制設計缺陷導致的。
3)02月23日,預言機 Chainlink 因一次功能升級時的人為錯誤,把黃金(XAU)的價格錯誤地標記成了白銀(XAG)的價格,造成了約四萬美元損失。
4)02月29日,去中心化穩定幣交易平台 Curve 出現一筆異常交易,該筆交易使用價值8.9萬美元的 USDC 兌換了價值46.5萬美元的 BUSD。攻擊者對 Curve 的 busd.curve.fi 以及 y.curve.fi 兩種資金池進行一次鉗形攻擊。
小編提示:隨著 DeFi 項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑒於其與用戶資產的緊密聯繫,可見 DeFi 項目的安全問題非常嚴峻。由於各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平台交互的過程中出現安全問題,進而腹背受敵。PeckShield 在此建議,DeFi 項目方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
交易所安全
2月份共發生 4 起交易所安全事件,其中包含兩起黑客入侵:
1)02月10日,Altsbit 交易所存放熱錢包私鑰的伺服器被入侵,熱錢包私鑰被盜導致用戶資產丟失。
2)02月17日,VBITEX 交易平台發布公告稱被黑客入侵,導致平台數據被惡意篡改、虛擬資產被盜。
3)02月17日,FCoin 交易所聲稱由於資金困難導致資金儲備無法兌付用戶提現,且預計無法兌付的資金規模介於7,000-13,000 BTC之間。
4)02月28日,OKEx、Bitfinex 等交易所頻繁遭受 DDoS 攻擊,相關服務受到影響。
其中針對 FCoin 交易所出現的資金困難問題,PeckShield 安全團隊旗下可視化數字資產追蹤系統 CoinHolmes 對涉及的相關地址展開了定向追蹤和剖析。CoinHolmes 鏈上追蹤系統囊括了數十個交易所,超6,000萬地址標籤,涉及 BTC、ETH、USDT 等多種主流數字資產。
利用 CoinHolmes 一圖概覽 FCoin 資產流向,如下圖:
結合數據分析和可視化圖形展示,PeckShield 安全人員猜測 FCoin 的資金鍊可能在 2018年07月 就出現了問題。(詳情參閱 PeckShield:圖文拆解FCoin資產流向,其鼎盛時期便已顯頹勢?)
小編提示:透過 FCoin 此次事件,大家開始認識到中心化交易所因資產缺乏透明性而潛在的危機。這是一次災難,但同時希望也會是一次拐點,希望更多中心化交易所能夠認識到資金透明性以及準備金賠付機制的重要性。而對於交易所私鑰被盜,伺服器遭受入侵等問題,PeckShield 建議交易所使用更加安全的防範系統,保管好自己的私鑰,及時修補作業系統或第三方軟體漏洞。
DApp生態
2月份共發生 1 起 DApp 安全事件,存在於 TRON 網絡。具體而言,02月03日,TKnzni 地址開頭的黑客通過創建攻擊合約的方式對TGsyJF 開頭的 LuckLambo104 合約地址持續發起交易回滾攻擊,並獲利 6,588 個 TRX。
小編提示:DApp 生態安全事件大多都是由合約玩家導致的,DApp 在接收玩家代幣或者返利之前應檢查目標帳戶是否為智能合約。同時開發者在合約上線前應做好安全測試,防禦已知的攻擊方式,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防禦部署。
SIM卡攻擊
2月份發生了一起 BTC 巨鯨帳號被盜大案,02月22日,一名自稱「zhoujianfu」的用戶在 Reddit 發帖稱遭受黑客攻擊,損失了 1,547 個 BTC 和 60,000 個 BCH,價值約 2.6 億 人民幣,這是近幾年最大的個人被盜事件。
根據受害者提供的地址,PeckShield 安全團隊旗下可視化數字資產追蹤系統 CoinHolmes 很快鎖定了黑客的相關地址,並展開了定向追蹤和剖析,最終繪製了一個可視化路徑轉移全景圖:
如圖所示,此次黑客轉移鏈上資金的手法非常專業、複雜,以致於用可視化工具做出來之後已經沒了明晰的分層和脈絡。通過跟進分析巨鯨帳戶被盜的 BTC 資產,PeckShield 安全人員發現黑客在盜取 1,547 個 BTC 後,迅速把資金切割分散,進行小額拆分,並進一步試圖通過更複雜的混淆系統,讓資產追蹤變得極其困難。
自02月22日 事件發生以來,短短几天時間,黑客就用了上百個地址來轉移資金,最深的層級達到了20層,在資金拆分轉移的過程中,已有 11.19 個 BTC 通過多次交易流入到了 Bittrex 交易所地址。截至目前,大部分被盜資金還駐留在黑客地址中,PeckShield 也正鎖定監控目標資金轉移進一步的動向。(詳情參閱 PeckShield:圖文拆解巨鯨帳號被盜大案,一個專業嫻熟的黑客團伙所為)
小編提示:有理由相信,此次攻擊的黑客是一支專業和技術過硬的團伙。該團伙從選定目標,到鏈上+鏈下長時間的追蹤和突破,下了不少功夫。這似乎給一些早期獲得加密資產且獲利頗豐的大佬們提醒,需警惕 SIM 卡攻擊,網絡釣魚等常見的盜幣手段,謹慎保護好自己的加密資產。
其他
除上述之外,2月份還有一些安全事件同樣值得警惕:
1)黑客利用 IOTA 官方錢包應用 Trinity 的漏洞竊取資金,官方之後宣布關閉整個網絡。
2)警惕名為 「浣熊(Raccoon)」 的惡意軟體利用網絡釣魚和工具包通過瀏覽器來竊取用戶的數據和加密貨幣。
小編提示:因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。