区块链安全事件盘点及分析(2018年8月)

导读:以太坊The Dao事件以来,数字货币安全事件频发,让众多持币者感到恐慌,区块链安全问题就此得到广泛关注。本篇文章对8月发生的区块链安全漏洞进行了盘点与分析,虽然没有造成经济损失,但还是希望大家能够关注并未雨绸缪。

*本文转至Hexa-lab的 medium文章,由猎豹区块链安全团队翻译与编辑*

 

1. 门罗币和 Altex.exchange(2018 年 7 月 30 日)

事件背景:

门罗币 (XMR) 是门罗区块链的原生货币,特点是保密和不可追踪性。

Altex. exchange 则是一家小型的加密货币运营商。

损害程度:未公开,但程度足以关闭交易所

攻击媒介:软件漏洞

事件始末:

黑客伪装的转账交易利用了门罗币钱包代码中的显示漏洞(即一个开源代码)。

这个漏洞使钱包显示的是双倍金额,而不是发送的实际金额(比如,有人以伪装的方式发送了 1 XMR,接收器看到的是他发送了 2 XMR)。

有一些门罗币的分叉币(如 ArQmA)也受到此漏洞的影响。

一位研究人员发现了这个漏洞,并在 6 月初通过 HackerOne 平台联系了门罗币的团队。 门罗币的团队在 7 月底发布了一个补丁。

其他门罗币的分叉币也被告知了此漏洞。

7 月初,Altex 宣布暂停所有基于 CrypoNote 的货币交易,原因是钱包的代码中存在着漏洞。

7 月底,Altex 发布推文说他们受到了重放漏洞的影响,于是暂停了平台上的所有交易。

发完推文之后,Altex 团队并未发布进一步的更新包,交易仍然无法进行,新注册也被禁止了。

观点:

从门罗币的事件可以看到,漏洞赏金计划模式的优越性,希望更多人白帽子能够参与进来。

尽管门罗币的其他分叉币被通知了该漏洞的情况,但对 Altex exchange 来说为时已晚。未来是否可以建立一种去中心化的机制,以便通知交易所这些会窃取钱包的漏洞。

 

2. 比特币现金(2018 年 8 月 10 日)

事件背景:

比特币现金是比特币区块链的硬分叉产物。它在CoinMarketCap的全球市值排名为第四。

事件始末:

BitcoinABC 是比特币现金全节点执行的开源代码,它于 5 月份发布了一份关于其代码中的严重漏洞的官方报告。

根据该报告,黑客可以通过这个漏洞构建一个恶意交易,该交易将被某一特定版本的 BitcoinABC 接收,但会被其他所有版本的比特币现金拒绝。

这样一个漏洞的结果可能是形成比特币现金的分叉,即使使用敏感版本的矿工接受了恶意交易,其他矿工也不会接受的。

BitcoinABC 表示他们已经直接向相关的矿业池运营商提供了补丁。

最后,BitcoinABC 感谢披露该漏洞的人,并想要当面给他(她)提供一些奖励。

8 月份的时候,麻省理工学院媒体实验室的一名研究员科里·菲尔兹 (Cory Fields) 披露自己是通知 BitcoinABC 有关该漏洞的人。

菲尔兹说,他参与了比特币核心项目比特币主要的软件部署。

由于比特币有很多与比特币现金有关的常用代码,菲尔兹偶尔会检查后面的代码,想要学习和推断可能与比特币核心相关的问题。

在对比特币现金代码的一次检查中,菲尔兹看到交易验证代码的一部分被重构了。 此次更改的审核过程共花费了一周时间,仅由两位审核人员完成。

注意:通常批准此类关键代码中的更改会涉及更多审阅者并且持续时间更长。

菲尔兹注意到了这些变化, 他说,在不到10分钟内发现了关键的漏洞。

他的想法是:以安全的方式 ,匿名 ,向 BitcoinABC 开发人员披露漏洞。 匿名是为了保护自己,此外也是保护比特币现金区块链和价值。

他还提到,希望如果有人发现了比特币核心代码存在漏洞,那个人可以尽可能谨慎而安全地报告。

后来,他试图匿名联系 BitcoinABC,但发现很难。BitcoinABC 没有错误披露政策,他们的 Github 问题跟踪器上还特别要求“请私下联系”。

最后,他使用开发人员 PGP 公钥将一份详细报告加密发送给了一位 BitcoinABC 开发人员。最终,BitcoinABC 解密了该报告并马上开始处理和修复。

观点:

我们认为,区块链社区应该特别注意几点:

区块链社区是一个开放共赢的社区:比特币和比特币现金对人群之间存在分歧,但是代表比特币社区的菲尔兹了解到这个漏洞对比特币现金的风险和影响后,尽其所能地保护了比特币生态系统整体的声誉以及比特币现金持有者的利益。

更新关键代码:漏洞总是会发生,但在重构这样一个关键代码时,应该花更多的时间和精力进行代码审查。

匿名披露漏洞:保护想要披露漏洞的人很重要。 对菲尔茨来说,因为就算这个漏洞一直被执行,他也不用承担任何后果。

适当的漏洞披露渠道和方案:从这次事实中看出,要引起 BitcoinABC 开发人员的注意并不容易,菲尔兹经过多次请求才得到他们的回应。 区块链项目应该有清晰和安全的沟通渠道来报告漏洞和其他安全问题。

相关的其他攻击:

这个事件让我想起了去年 11 月发生的奇偶校验多签名钱包漏洞。 事件期间,有人在其中一个多重签名库中触发了“自杀”功能,并导致数十万个以太币卡在这些钱包中。 官方的事后报道称他们可能已经阻止了数亿美元的损失。 而这一次, BitcoinABC 和比特币现金的持有者更幸运。


 

3. Bitfi 硬件钱包(2018 年 8 月 1 日)

事件背景:

BitFi 是一家全球支付公司,它为加密货币推出了 "不可能被黑客入侵" 的硬件冷钱包。

事件始末:

六月份,Bitfi 发布了 Bitfi 钱包,号称是全球第一个“不可能被黑客入侵”的硬件钱包。

作为第一款商业反病毒软件McAfee 的创始人,约翰·迈克菲 (John McAfee) 已加入 Bitfi 团队,并承认 Bitfi 技术是牢不可破的。

该钱包支持多种加密货币,并具有自动更新和在线控制板的功能。

安全社区对“不可能被黑客入侵”的声明并不满意,一些负面评论开始出现在社交媒体和其他平台上。

7 月,Bitfi 和迈克菲宣布向任何可以破解 Bitfi 钱包的人发放 10 万美元奖励——装有50个比特币的 Bitfi 钱包将发送给试图入侵它的人。按照当时的比特币价格,相当于10 万美元的奖励。

7 月底,奖励增加到了 25 万美元。

安全研究公司 OverSoftNL 在推特上宣布它已经获得该设备的 root 权限,但没有证明它可以访问该钱包持有的 50 美元比特币。 社交媒体上开始疯狂讨论 Bitfi 发起的破解行为。

Bitfi 和迈克菲都没有回应 OverSoftNL 的推文。

8 月底,Bitfi 从他们的网站上删除了“不可能被黑客入侵”这个词。

入侵 Bitfi 的奖励再次增加到 2,000 万美元。

截至 9 月初,传奇仍在继续,但用户已经无法从 Bitfi 官方网站上购买 Bitfi 钱包,因为它已售罄了 。

观点:

事实上,这是一个奇怪的故事。 安全领域的一个基本公理是,“一切都是可以被破解的”。 在安全社区中一直饱受争议的约翰·迈克菲发表声明说他的产品“不可能被黑客入侵”,这惹恼了很多人。 我们会持续关注并讨论这件事。