区块链安全事件盘点及分析(2018年6-7月)

导语:在区块链行业,几乎每周都会出现各种安全事件,对大部分的人来说,都会感觉跟不上节奏,但出于对自己或者用户数字资产的保护,又很想要了解这类事件。Hexa实验室的Dror Trieman在medium整理的每月区块链安全事件盘点,相信能够很好的帮助到您。

*本文转至Dror Trieman的 medium文章,由猎豹区块链安全团队翻译与编辑*

当您听到区块链安全事件时,第一直觉是不是黑客是否会使用相同的攻击方式来攻击您的项目,以及您当前的安全部署是否可以防御相关的攻击。

尽管现在的区块链社区都普遍秉承开源的理念、对知识进行共享。但往往会出于某些原因,对安全漏洞的相关信息避而不谈,比如攻击造成的经济损失、确切的漏洞信息、以及受害者的身份等。

这篇博将会以摘要的形式来展现这些有意思的区块链安全事件。区块链社区有很多关于安全事件的帖子,在这我只做一个高度浓缩的概述,并尝试着聚焦于本质,为进一步漏洞检测提供参考。

不废话了,让我们回顾2018年6月至7月的区块链安全领域的事件吧:

1.KICKICO (July 27, 2018)

事件背景

KICKICO是一家针对ICO项目提供众筹服务的网站

损害程度:损失7千万个 Kick币(按照黑客攻击时的价格计算,约等于770万美元)

攻击方式:通过访问智能合约的私钥

 

事件始末

几个KickCoin代币持有者抱怨,代币从他们的钱包中消失了

黑客拿到KickCoin智能合约访问权限,破坏了40个现有帐户,并创建了40个有相同余额新帐户。

通过这种方式,总的KickCoin供应量和token的总数量还能够保持平衡

KICKICO团队表示他们有能力通过智能合约把他们的更改为另一个帐户 ( 放到 )从而阻止了抢劫

KICKICO还表示,他们将会把所有丢失的代币归还给被盗者

随后KICKICO团队开始摧毁攻击者发布的令牌

 

观点

黑客用了一种有趣的技术来伪装自己(重新分配令牌所有权和总供应量),代币持有者如果有这方面的意识,会防止更多的损失。

KICKICO团队迅速采取行动改变合同所有者 - 这是一项最大限度地减少损失和暴露的明智之举

如果能够了解清楚黑客如何访问他们私钥的话,会非常有趣。

 

2.Hola Free VPN 和 MyEtherWallet (2018年9月9日)

事件背景

Hola是一款非常流行的免费VPN服务; 而 MyEtherWallet则是非常流行的以太坊钱包客户端接口。

损害程度:未知

攻击媒介:网络钓鱼

 

事件始末

黑客获得了访问Hola谷歌浏览器网上商店帐户的权限,并将恶意扩展程序上传到商店

使用受损扩展的用户遭到了网络钓鱼攻击。当用户以非隐身模式浏览MyEtherWallet时,扩展程序会注入恶意JavaScript标记,将用户重定向到诱骗网站上

Hola在部署后几个小时就发现了这个恶意版本。但是不是很清楚到底有多少用户下载并使用了该版本。Hola用官方版本取代了恶意版本

Hola已通知Google和MyEtherWallet,并确保黑客的网站已关闭

 

观点

这是一次复杂的攻击,可能对Hola和MyEtherWallet用户造成严重伤害。

Hola的团队并没有透露商店帐户是如何被泄露的,我们建议您仔细检查您的所有帐户是否都配置为需要MFA,最好使用密码管理器生成强密码,以及避免密码重用。

建议当你使用浏览器扩展进行敏感操作时,请务必了解风险

 

类似攻击

截至7月底,谷歌从Chrome网上商店删除了官方Metamask的Chrome扩展程序,但还遗漏了一个伪造的扩展程序

 

3.Bancor (July 9, 2018)

事件背景

Bancor是一个为ERC20代币提供即时流动性区块链项目,

损失规模:2350万美元

攻击方式:未公开

 

事件始末

攻击者利用受损的钱包从BNT智能合约和其他合同中提取ETH,NPXS和BNT 代币

Bancor说他们的钱包并没有受到损害

安全舱协议迫使被盗的BNT 代币冻结

Bancor的交易平台也关闭了几天来处理这件事情

这期间一共挽回了1000万美元的BNT代币

钱包被侵入意味着黑客获得了生成和签署合法交易的能力。我们不知道钱包是如何受到攻击的,但我们建议您确保使用适当的多重签名钱包和硬件钱包来控制大额的帐户。

 

4.Tether (June 28, 2018)

事件背景

一些不知名的交易所被Tether(USDT)的谣言所影响

伤害等级:未知

攻击方式:缺乏数据

 

事件始末

一家中国网络安全公司SlowMist(慢雾)发布了一个帖子,黑客可以通过更改交易中的字段值,在交易所为Tether帐户充值

Tether漏洞的谣言就此在网上传开

一些交易所宣布他们没有被这个漏洞攻击

SlowMist声称很多交易所暂停了Tether的交易

经过进一步调查,SlowMist声称“此漏洞不是USDT自身的漏洞,但某些“不知名”交易所的数据库并没有严格验证是'有效'参数的状态。”

目前交易所的名称尚未被披露

 

观点

这个问题的根源在于交易所与Tether项目的。在交易平台上出现新的加密货币时,必须了解清楚代币复杂的新协议。

 

5.Bithumb (June 20, 2018)

事件背景

Bithumb是韩国的主流交易所

损害程度:价值1700万美元加密货币

 

事件始末

“从昨晚到今天凌晨,我们发现大约有350,000,000,000韩元的加密货币被盗”—Bithumb秒删了一条推文

所有提款服务暂停,公司将所有加密货币转移到冷钱包

Bithumb要求客户停止在他们的钱包中存放加密,但据报道,一些客户在一段时间后继续这样做

Bithumb与韩国互联网与安全局(KISA)以及其他机构合作,弄清楚黑客是如何攻击的

 

观点

据报道,这次攻击发生在夜间,就像许多违规行为一样。在热钱包、冷钱包和区块链上使用监控工具对于及时发现漏洞至关重要

 

类似的攻击

一年前,一名黑客攻击了Bithumb员工的个人电脑并窃取了一些Bithumb用户的详细信息。未知数量的比特币和以太币也被盗

 

6.CoinRail (June 10, 2018)

事件背景

CoinRail是另一家韩国交易所

攻击方式:未公开

 

事件始末

攻击者破解了CoinRail系统,一系列基于ERC-20的令牌被盗

CoinRail的所有交易均被暂停

CoinRail称,70%的被盗资金可以收回

黑客试图在IDEX(一个去中心化的交易所)出售一些被盗的代币。CoinRail声称IDEX冻结了黑客钱包地址中的资产

CoinRail于7月中旬重新开放,但并没有完全修复

 

观点

ERC20交易平台Ocean声称,可以把黑客相关的一些地址之前都被标记为可疑,建议交易所应检查这些带有标记的地址和平台的互动,这个想法听起来很有趣,但实施可能很困难,因为它可能会影响到普通的区块链用户。

 

7.ZenCash(2018年6月3日)

事件背景

ZenCash是一做隐私安全的区块链系统,它建立在Equihash PoW协议的零知识证明密码学技术之上。

损害程度:22,900 ZEN($ 687,000)

攻击方式:51%攻击

 

事件始末

Equihash是一种流行的挖掘算法,被其他代币的矿工使用,比如ZCash和比特币黄金

这就意味着需要有专门的矿机为Equihash提供算力,并且矿机可以在几个区块链之间自由切换

有几个商业矿场提供了相关的矿机出租服务

黑客很可能从矿场租用了矿机并攻击了ZenCash-(最大的损失是ZenCash区块链中38个区块的逆转),这让黑客能够重复使用ZEN

矿场联系了ZenCash关于攻击和交换的通知,以增加ZEN货币的交易确认

袭击发生不到两周,ZenCash发布了自己修改共识协议,并采取应急系统来降低风险

ZenCash正在修改他们的白皮书。目前还不清楚他们会不会提出是否被51%攻击或进行硬分叉。

 

观点

ZenCash几乎立即通知了他们的合作伙伴关于这次袭击的情况,但已经无济于事。

在开发区块链项目时,选择正确的公式算法是未来项目成功的关键因素。人们需要从不同的角度考虑:生态系统、项目的发展阶段、规模等。

类似的攻击

去年5月,Bitcoin Gold区块链发生51%的攻击。7月,Bitcoin Gold社区改变了自己的的算法来阻止ASIC矿工恶意攻击,并防止未来的51%的攻击

 

8.EOS漏洞

事件背景

EOS是第3代区块链公链应用

 

事件始末

EOS在为期一年的ICO中筹集了近40亿美元。

新的区块链有望每秒实现数百万笔交易并没有任何交易费用 – 这解决以太坊最严重的一些缺陷

中国的一家互联网安全公司奇虎360在6月公布自己发现了该平台的几个关键漏洞

这些漏洞可能导致黑客在EOS节点上执行任意远程代码,甚至可以完全控制节点

几乎在同一时间,黑客在互联网上扫描EOS节点,这些节点通过API配置错误意外的暴露了私钥,在奇虎360报告发布后的几个小时内,攻击就开始了

似乎两者之间没有直接联系,后者是在GitHub上发布的。

EOS及时的修复所有错误,并发布了自己的Bug-Bounty计划

几天后,另一位白帽黑客在EOS中发现了漏洞,EOS拿出了12万美元作为奖励

该计划还在进行中,EOS向白帽黑客累计支付了超过34万美元。

 

观点

开源是区块链里普遍的模式。一方面,所有人都能在Github上看到项目的代码。另一方面,开源有助于提高安全性和有效性。

Bug-Bounty计划对于企业和白帽黑客都很有意义,任何区块链项目都值得借鉴。