在区块链行业,安全问题是最根本的问题,相信你一定听过“1行代码损失几十亿”、“干了一年被黑客一夜搞走”等言论,因为区块链发展还处于早期,加上一旦上链就不可篡改等特性,让它成为了黑客攻击的重灾区。
猎豹区块链安全将在本月开始,对区块链行业发生的安全事件进行盘点,旨在帮助大家认识区块链的安全问题,以此推动行业向前发展。
2018年9月9日——DEOS games
事件背景
DEOS Games是一个运行在EOS区块链之上的去中心的博彩类游戏应用平台,9月9日,一位名为RunningSnail的DEOSGames用户进行了一次看起来相当成功的下注,用1000美元支付了数十次,存入10个EOS,然后在30秒后赢得头奖。
损失规模:价值约24,000美元的EOS
攻击媒介:智能合约漏洞
事件经过及安全分析
◆ DEOS在刚刚创建不到一小时的时间里,就向EOS帐户进行了24笔转账,而且,这些账户都是该合约在不到一天之内创建的,根据EOS的交易记录,每次恶意账户存入10个EOS时,它收到的DEOS Games合约金额约为20倍。换句话说,黑客利用了该赌博游戏的某个漏洞,每次赌博都能够赢得头奖,此次攻击的整体收益约为成本的20倍
◆ DEOS Games官方在推文中发表看法,“这是一个很好的压力测试,我们的项目在合约层面得到了显著改善。”
◆ 目前尚不清楚黑客利用了DEOS Games合约中的哪个漏洞,或者EOS内核中是否存在其他漏洞
安全小豹的看法
◆ 发生该攻击事件之后,DEOS Games团队的反应令人费解,他们没有对社区声明自己是如何监控黑客攻击的,按照常识,一个简单的监控脚本就可以检测到这种异常现象。
◆ 我们假设DEOS游戏是有这样的检测工具的,那么此次攻击的深层次原因就值得深究了,不排除团队坐庄割韭菜的嫌疑。
◆ 目前,此类博彩游戏风险太高,建议广大用户理性投资,谨慎选择。
2018年9月18日——NewDex
NewDex是全球首家基于EOS 区块链的去中心化交易所,8 月 8 上线,号称能够完美支持平台性能,交易速度媲美中心化交易所,且不接触用户私钥,导入钱包即交易,以此保障资产安全。但是在上线后一个多月后,就遭遇EOS刷假币事件,通过这起事件,外界开始质疑NewDex是否是真正的去中心化交易所。
损失规模:58,000美元(11803个EOS)
事件经过及安全分析
◆ 恶意帐户EOS账户“oo1122334455”于2018年9月14 14:01:45发行10亿个假EOS,并全额分配给dapphub12345账户。
◆ 随即由dapphub12345转入iambillgates账户(实施攻击的账户),iambillgates账户于14:21:37尝试性的多次用1个假EOS挂单委托买入IPOS和ADD,并且成功以假EOS买入IPOS和ADD。成功买入BLACK、IQ、ADD后,iambillgates账户立刻将非法获得的Token转入xx1234512345与x12345x12345账户,最终由xx1234512345在Newdex中挂市价单卖出部分非法获得的Token,共计卖得4028个真实的EOS
◆ 然后,真的EOS本地货币被发送到Bitfinex与其他加密货币进行交易
◆ 此次假EOS刷币事件共给Newdex用户造成11803个EOS的损失,NewDex团队为此事件道歉,本着负责任的态度决定承担此次全部损失,并且也已经在第一时间修复相关问题并恢复正常运营。
◆ 对NewDex基础设施的进一步调查显示,Newdex没有使用智能合约来验证用户发送的token
安全小豹的看法
◆ 这起事件中,黑客用EOS原生货币来交易假的代币,导致NewDex系统中EOS严重贬值
◆ 之所以黑客能够得手,是因为NewDex没有通过其智能合约验证token的事实性,因此我们可以得出结论:本质上看,NewDex只是处理用户交易时使用的帐户订单的中心化场外交易所,并不是像他自己宣称的一样,是一家去中心的交易所!
◆ 种种迹象表明一个事实:NewDex在冒充自己是一家去中心化的交易所。他们只是在他们的中央服务器上进行交易匹配,在处理交易时系统甚至没有检查存入的token真实性。
◆ 在这里,我们建议大家,在选择数字货币交易所交易时,需要进行详细的尽职调查,而不要媒体宣传所蛊惑,最好能够在客观中立的第三方评级机构(如ratingtoken)查看他们的相关信息。
2018年9月19日——Zaif交易所被盗事件
事件背景:
2018年9月19日,总部位于大阪的Tech Bureau Corp.旗下的Zaif交易所发生了比特币(Bitcoin)、萌奈币(MonaCoin)和比特币现金(Bitcoin Cash)被盗事件,被盗总额为价值6,000万美元的数字货币,其中约有22亿日元(约合1,960万美元)的被盗加密货币属于该交易所,其余的是客户资金。
损失规模:6000万美元
被盗取的数字货币:比特币、比特币现金和MonaCoin(萌奈币)
事件经过及安全分析
◆ 2018年9月14日之后,zaif交易所关闭了用户的存取款服务。
◆ 根据Zaif交易所的说法,关闭该服务的原因是在9月14日17:00至19:00之间,发现有人非法入侵了其热钱包
◆ 经核实,该黑客的非法行为导致了5,900美元价值的 BTC、比特币现金和萌奈币损失
◆ Zaif在公告上没有公布被攻击的细节,它寻求了日本当局帮助调查此次被盗案
◆ 事实证明,在此攻击行为发生前,日本金融厅(FSA)分别于3月8日和6月22日,向zaif发出过关于其内部管理系统和安全措施的预警。
◆ 被盗事件发生后第一时间,日本金融厅(FSA)向Zaif母公司Tech Bureau发出了今年的第三份业务改善令。但是Zaif交易所没有对FSA的建议做出任何行动
◆ 根据扎伊夫对当局的透露,事件的起因居然是交易所一名员工的电脑被黑
◆ 11月22日,Zaif交易所把虚拟货币的相关业务转移至FISCO集团,Fisco集团将接管Zaif并赔付用户此次被盗的资金。
◆ 需要强调的一点是,这起事件是加密货币历史上损失最大的安全事件之一
安全小豹的看法
◆ 根据种种迹象表面,该事件的起因很可能是Zaif员工的计算机被黑客成功利用钓鱼网站的方式攻击了
◆ 对于数字货币交易所来说,犯这种低级错误是不非常不应该的。
◆ 我们认为,该事件对广大数字货币交易所敲响了警钟,安全意识是数字货币交易所的根基,每家交易所都应在新员工入职工作之前,进行必要的网络安全培训。
其他相似的攻击事件
2017年7月,在Bithumb hack也使用了相同的方法,数百万美元的加密货币被盗,并且导致客户数据被泄露
SpankChain(2018年10月9日)
事件背景
SpankChain是一个基于以太坊公链的成人娱乐区块链项目。团队于10月9日在博客上表示,上周六(10月6日)遭受到黑客攻击,损失了165.38 ETH(当时价值约3.8万美元)。另有价值4000美元的BOOTY币遭到冻结。
损失规模:超过40,000美元(以损失ETH和BOOTY代币当时的价格合计)
攻击方式:通过智能合约的重入漏洞
事件经过及安全分析
◆ 此次黑客攻击利用到是SpankChain智能合约中的重入漏洞,该漏洞类似于著名到The DAO事件中的漏洞
◆ 技术团队发现合约被黑客入侵是在攻击发生后的24小时,SpankChain团队第一时间关闭了自己的官网
◆ 攻击发生后,该公司表示,他们会为ETH的airdrop工作,来偿还那些在攻击中损失资金的用户
◆ 10月12日,黑客竟然主动联系了SpankChain的首席执行官,将165.38 ETH退还给该团队,另外黑客还帮助SpankChain恢复了因攻击而被冻结的大约4000个BOOTY代币。作为回报,SpankChain团队给了该黑客一些奖励。
◆ SpankChain曾公开表示,他们进行没有给智能合约对已经发生过的安全漏洞进行审计,认为审计费用“非常昂贵”。
安全小豹的看法
◆ SpankChain区块链社区对该事件的反应比较激烈,原因很可能是难以接受被黑客利用著名的重入漏洞进行攻击。
◆ 重入其实就是递归,就是对于一个函数的循环调用和对自身的循环调用,针对重入漏洞最根本的解决方案还是在转账之前就把所有应该变更的状态提前更新,而不是在转账之后再进行更新。
◆ 在这里,再次提醒大家,区块链行业里安全审计的重要性。在上链前,只需投入很少的费用,对智能合约进行安全审计,就可以很好的避免这种事情。
◆ 在区块链里,没有删除和修改的概念,一旦合约部署到公链,就无法篡改,全球数以万计的黑客可以慢慢的,一行一行的找上面的漏洞。对于区块链行业来说,安全审计是必不可少的流程。
◆ 庆幸的是,当时黑客返回了价值数百万美元的Ether。目前还不清楚黑客为何会归还被盗资金,这对受害者来说可能是一种安慰,但是这种事情不常有。但这也不是第一次发生,在CoinDash ICO 的事件中也曾经出现过黑客归还被盗资金的事情。
◆ 希望这次事件过后,项目方、交易所都能够警醒,认识到安全审计的重要性。猎豹区块链安全中心提供相应的审计服务,详情请访问:safe.cmcm.com
其他相似的攻击事件
DAO Hack ——以太坊区块链历史上最臭名昭着的事件之一,引起以太坊区块链的硬分叉,分裂成以太坊和以太坊的经典的事件。
EOSBet赌场(2018年9月14日和10月15日)
EOSBet是EOS上的游戏平台,分别在9月14日和10月15日遭受了两次黑客的攻击,损失分别为44427.4302个EOS和138,319.7995EOS。
损失规模:200,000美元+ 338,000美元(均是损失EOS)
攻击方式:利用智能合约中的漏洞
事件经过及安全分析
第一次黑客攻击:
◆ 9月14日,EOSBet遭到黑客攻击,EOSBet团队官方宣称:这个攻击并不简单,我们正在进行取证,并将所发生的事情拼凑在一起,来寻找蛛丝马迹
◆ 根据TheNextWeb的分析,“黑客的攻击方式是使用假哈希在外部调用'传输'功能”
◆ 攻击发生后,一个与EOSBet官方帐户名称非常相似的EOS帐户,向攻击者的地址发送了少量EOS,并且附带一个要求对方退回被盗资金的消息,声称如果不退回,他们将雇用一个律师团队追捕并起诉攻击者。
◆ 9月16日,EOSBet重新上线,并且官方发布了关于黑客攻击的详细报告,承诺他们的合约已经修补了全部漏洞,目前是非常安全的
第二次攻击:
◆ 一个月后,黑客利用EOSBet合约在检验收款方时存在的漏洞,伪造转账通知,总计从eosbetdice11获利138,319.7995EOS。
◆ 其中72,150 EOS流入了Bitfinex,65,100 EOS流入了Poloniex。根据EOS当前行情价格37元估算,EOSBet平台此次损失额超500万元。
◆ 该公司报告称,他们正与这两家交易所谈收回资金的事情
安全小豹的看法
◆ EOS的智能合约发展相对ETH来说还比较早期,频频发生的安全事件对这个新生儿来说是不可承受之痛
结语
9、10两个月的安全大事件主要集中在EOS的智能合约漏洞和交易所相关的漏洞,损失的金额可以说是非常高。但是在这些事件中,有很多是完全可以避免的,之所以频频发生安全事件,很大程度上是因为我们的安全意识还太过于薄弱。
安全事件的频发,加上行业的暴跌,不断打击着区块链参与者的信心,但是不妨我们换个视角,放眼整个行业的发展来看,如果行业的参与者能够从这些巨额损失的安全事件中获得警醒,汲取过往的教训,更加注重安全方面的建设,相信这对于茁壮发展的区块链行业来说是非常利好的。
猎豹区块链安全以金山毒霸的技术为依托,结合人工智能、nlp等技术,为区块链用户提供合约审计、情感分析等生态安全服务,旗下产品Ratingtoken是专注于数字货币和ICO评级和排行行的区块链评级机构。