事件背景
一級標題
事件背景
事件背景
DEOS Games是一個運行在EOS區塊鏈之上的去中心的博彩類遊戲應用平台,9月9日,一位名為RunningSnail的DEOSGames用戶進行了一次看起來相當成功的下注,用1000美元支付了數十次,存入10個EOS,然後在30秒後贏得頭獎。
事件經過及安全分析
事件經過及安全分析
事件經過及安全分析
◆ DEOS在剛剛創建不到一小時的時間裡,就向EOS帳戶進行了24筆轉賬,而且,這些賬戶都是該合約在不到一天之內創建的,根據EOS的交易記錄,每次惡意賬戶存入10個EOS時,它收到的DEOS Games合約金額約為20倍。換句話說,黑客利用了該賭博遊戲的某個漏洞,每次賭博都能夠贏得頭獎,此次攻擊的整體收益約為成本的20倍
安全小豹的看法
安全小豹的看法
安全小豹的看法
◆ 發生該攻擊事件之後,DEOS Games團隊的反應令人費解,他們沒有對社區聲明自己是如何監控黑客攻擊的,按照常識,一個簡單的監控腳本就可以檢測到這種異常現象。
◆ 我們假設DEOS遊戲是有這樣的檢測工具的,那麼此次攻擊的深層次原因就值得深究了,不排除團隊坐莊割韭菜的嫌疑。
2018年9月18日——NewDex
2018年9月18日——NewDex
NewDex是全球首家基於EOS 區塊鏈的去中心化交易所,8 月8 上線,號稱能夠完美支持平台性能,交易速度媲美中心化交易所,且不接觸用戶私鑰,導入錢包即交易,以此保障資產安全。但是在上線後一個多月後,就遭遇EOS刷假幣事件,通過這起事件,外界開始質疑NewDex是否是真正的去中心化交易所。
事件經過及安全分析:58,事件經過及安全分析
事件經過及安全分析
◆ 惡意帳戶EOS賬戶“oo1122334455”於2018年9月14 14:01:45發行10億個假EOS,並全額分配給dapphub12345賬戶。
◆ 隨即由dapphub12345轉入iambillgates賬戶(實施攻擊的賬戶),iambillgates賬戶於14:21:37嘗試性的多次用1個假EOS掛單委託買入IPOS和ADD,並且成功以假EOS買入IPOS和ADD。成功買入BLACK、IQ、ADD後,iambillgates賬戶立刻將非法獲得的Token轉入xx1234512345與x12345x12345賬戶,最終由xx1234512345在Newdex中掛市價單賣出部分非法獲得的Token,共計賣得4028個真實的EOS
◆ 然後,真的EOS本地貨幣被發送到Bitfinex與其他加密貨幣進行交易
安全小豹的看法
安全小豹的看法
安全小豹的看法
◆ 這起事件中,黑客用EOS原生貨幣來交易假的代幣,導致NewDex系統中EOS嚴重貶值
◆ 之所以黑客能夠得手,是因為NewDex沒有通過其智能合約驗證token的事實性,因此我們可以得出結論:本質上看,NewDex只是處理用戶交易時使用的帳戶訂單的中心化場外交易所,並不是像他自己宣稱的一樣,是一家去中心的交易所!
◆ 種種跡象表明一個事實:NewDex在冒充自己是一家去中心化的交易所。他們只是在他們的中央服務器上進行交易匹配,在處理交易時系統甚至沒有檢查存入的token真實性。
事件背景:如ratingtoken一級標題
事件背景:
事件背景:
2018年9月19日,總部位於大阪的Tech Bureau Corp.旗下的Zaif交易所發生了比特幣(Bitcoin)、萌奈幣(MonaCoin)和比特幣現金(Bitcoin Cash)被盜事件,被盜總額為價值6,000萬美元的數字貨幣,其中約有22億日元(約合1,960萬美元)的被盜加密貨幣屬於該交易所,其餘的是客戶資金。
事件經過及安全分析
事件經過及安全分析
事件經過及安全分析
◆ 2018年9月14日之後,zaif交易所關閉了用戶的存取款服務。
◆ 根據Zaif交易所的說法,關閉該服務的原因是在9月14日17:00至19:00之間,發現有人非法入侵了其熱錢包
◆ 經核實,該黑客的非法行為導致了5,900美元價值的BTC、比特幣現金和萌奈幣損失
◆ Zaif在公告上沒有公佈被攻擊的細節,它尋求了日本當局幫助調查此次被盜案
◆ 事實證明,在此攻擊行為發生前,日本金融廳(FSA)分別於3月8日和6月22日,向zaif發出過關於其內部管理系統和安全措施的預警。
◆ 被盜事件發生後第一時間,日本金融廳(FSA)向Zaif母公司Tech Bureau發出了今年的第三份業務改善令。但是Zaif交易所沒有對FSA的建議做出任何行動
◆ 根據扎伊夫對當局的透露,事件的起因居然是交易所一名員工的電腦被黑
安全小豹的看法
安全小豹的看法
安全小豹的看法
◆ 根據種種跡象表面,該事件的起因很可能是Zaif員工的計算機被黑客成功利用釣魚網站的方式攻擊了
二級標題
二級標題
其他相似的攻擊事件
事件背景
事件背景
事件背景
SpankChain是一個基於以太坊公鏈的成人娛樂區塊鏈項目。團隊於10月9日在博客上表示,上週六(10月6日)遭受到黑客攻擊,損失了165.38 ETH(當時價值約3.8萬美元)。另有價值4000美元的BOOTY幣遭到凍結。
損失規模:超過40,000美元(以損失ETH和BOOTY代幣當時的價格合計)
事件經過及安全分析事件經過及安全分析
事件經過及安全分析
◆ 此次黑客攻擊利用到是SpankChain智能合約中的重入漏洞,該漏洞類似於著名到The DAO事件中的漏洞
◆ 技術團隊發現合約被黑客入侵是在攻擊發生後的24小時,SpankChain團隊第一時間關閉了自己的官網
◆ 攻擊發生後,該公司表示,他們會為ETH的airdrop工作,來償還那些在攻擊中損失資金的用戶
安全小豹的看法
安全小豹的看法
安全小豹的看法
◆ SpankChain區塊鏈社區對該事件的反應比較激烈,原因很可能是難以接受被黑客利用著名的重入漏洞進行攻擊。
◆ 重入其實就是遞歸,就是對於一個函數的循環調用和對自身的循環調用,針對重入漏洞最根本的解決方案還是在轉賬之前就把所有應該變更的狀態提前更新,而不是在轉賬之後再進行更新。
◆ 在這裡,再次提醒大家,區塊鏈行業里安全審計的重要性。在上鍊前,只需投入很少的費用,對智能合約進行安全審計,就可以很好的避免這種事情。
◆ 在區塊鏈裡,沒有刪除和修改的概念,一旦合約部署到公鏈,就無法篡改,全球數以萬計的黑客可以慢慢的,一行一行的找上面的漏洞。對於區塊鏈行業來說,安全審計是必不可少的流程。
二級標題
二級標題
其他相似的攻擊事件
DAO Hack ——以太坊區塊鏈歷史上最臭名昭著的事件之一,引起以太坊區塊鏈的硬分叉,分裂成以太坊和以太坊的經典的事件。
EOSBet賭場(2018年9月14日和10月15日)
EOSBet是EOS上的遊戲平台,分別在9月14日和10月15日遭受了兩次黑客的攻擊,損失分別為44427.4302個EOS和138,319.7995EOS。
損失規模:200,000美元+ 338,000美元(均是損失EOS)
事件經過及安全分析事件經過及安全分析
事件經過及安全分析
第一次黑客攻擊:
◆ 9月14日,EOSBet遭到黑客攻擊,EOSBet團隊官方宣稱:這個攻擊並不簡單,我們正在進行取證,並將所發生的事情拼湊在一起,來尋找蛛絲馬跡
◆ 根據TheNextWeb的分析,“黑客的攻擊方式是使用假哈希在外部調用'傳輸'功能”
◆ 攻擊發生後,一個與EOSBet官方帳戶名稱非常相似的EOS帳戶,向攻擊者的地址發送了少量EOS,並且附帶一個要求對方退回被盜資金的消息,聲稱如果不退回,他們將僱用一個律師團隊追捕並起訴攻擊者。
◆ 9月16日,EOSBet重新上線,並且官方發布了關於黑客攻擊的詳細報告,承諾他們的合約已經修補了全部漏洞,目前是非常安全的
第二次攻擊:
◆ 一個月後,黑客利用EOSBet合約在檢驗收款方時存在的漏洞,偽造轉賬通知,總計從eosbetdice11獲利138,319.7995EOS。
結語
安全小豹的看法
安全小豹的看法
結語
結語
9、10兩個月的安全大事件主要集中在EOS的智能合約漏洞和交易所相關的漏洞,損失的金額可以說是非常高。但是在這些事件中,有很多是完全可以避免的,之所以頻頻發生安全事件,很大程度上是因為我們的安全意識還太過於薄弱。
安全事件的頻發,加上行業的暴跌,不斷打擊著區塊鏈參與者的信心,但是不妨我們換個視角,放眼整個行業的發展來看,如果行業的參與者能夠從這些巨額損失的安全事件中獲得警醒,汲取過往的教訓,更加註重安全方面的建設,相信這對於茁壯發展的區塊鏈行業來說是非常利好的。
Ratingtoken官網
Ratingtoken官網Ratingtoken官網
IOS
Android