2020年4月区块链安全大事件 | 黑客攻击早已蓄谋已久

事件分析

据 零时科技 区块链安全威胁情报平台 数据统计，2020年4月，整个区块链生态被公开的区块链安全事件共24起，其中智能合约攻击发生3起，应用漏洞攻击5起，恶意软件攻击4起，51%攻击1起，假EOS攻击1起，恶意欺诈8起，钓鱼攻击2起。

从图表数据来看，本月安全区块链安全攻击事件中，

恶意欺诈事件依旧占比最多，应用漏洞攻击事件和恶意软件攻击事件相比上月有明显增多，影响较大的为智能合约攻击事件，imBTC池，Lendf.me，Hegic都因智能合约漏洞损失大量数字货币，虽然黑客将盗走的Lendf.me数字货币如数归还，但尽管如此，这些安全事件还是给我们警示了智能合约安全的重要性；钓鱼攻击是目前黑客最常用的攻击手法之一，本月也发生两起；51%攻击是区块链中特有漏洞点，达到这类攻击需要控制全网50%以上的算力，本月也发生一起，但并未造成资金损失。

我们对比较重大的黑客事件进行简单分析回顾

智能合约攻击事件

• 4月18日，黑客利用Uniswap和ERC777的兼容性问题，在进行 ETH-imBTC 交易时，利用ERC777中的多次迭代调用tokensToSend来实现重入攻击，将Uniswap上的imBTC（imBTC是一个1:1锚定比特币的ERC-20代币）池耗尽。

• 4月19日，Lendf.me 遭遇类似 Uniswap 事件的重入攻击，出现大量异常借贷行为，攻击者利用重入漏洞覆盖自己的资金余额并使得可提现的资金量不断翻倍，黑客以滚雪球的方式多笔转走imBTC，且每一笔都比上一笔翻倍，最终将Lendf.Me账户约2500万资产盗取一空。

• 4月23日，以太坊上的新期权交易协议Hegic刚刚进入主网，由于代码中的一个错误，锁定了该平台智能合约中价值28,000美元的用户资金，该漏洞将用户资金锁定在过期的期权合约中，使得合约中的数字货币永久无法访问。

  安全建议：

  1. 遵守严格的合约安全开发规范，在进行外部调用时先修改合约变量状态再进行外部调用；

  2. 项目上线前可通过专业的第三方安全团队进行全面的安全审计，尽可能的发现潜在的安全问题；

  3. 合约中加入风控体系，比如设置暂停开关，出现不可控问题时可及时止损；

应用漏洞攻击事件

• 4月24日，Kraken的加密货币托管提供商Etana报告数据安全漏洞。 该公司称，该漏洞发生在4月18日，导致未经授权的外部用户访问其客户端用户界面。客户资金没有受到影响，但是入侵者可能已经获取了一些信息。

• 4月29日，MakerDao（MKR）发布了一份新报告，并建议采取安全措施以确保不再发生。在3月12日至13日，以太坊（ETH）价格暴跌约50％，导致支撑Maker Dai（DAI）稳定币的债务头寸抵押不足。由于ETH网络出现拥塞，用户无法参与拍卖，一个竞标者以几乎为零价格的DAI赢得了近62843个ETH。Maker的报告确定了对Maker系统所做的几个关键更改，以防止协议在未来出现类似的危机。MakerDAO的治理现在可以“立即停止拍卖系统，从而进行清算”，以防止以0 DAI的价格出售抵押债券。拍卖系统的参数也进行了其他更改，包括添加了稳定币USD Coin（USDC）。Maker社区还创建了Web界面，以增加拍卖参与度。该报告还建议引入安全措施，以重新启动少于三个竞标和两个唯一竞标者的拍卖，每个拍卖批次不超过50个ETH批次的限制。

  安全建议：

  1. 网站应用可通过专业的安全团队进行安全测试；
  2. 对网站应用新功能进行安全测试后再进行使用。

钓鱼攻击事件

• 4月13日，新西兰警方提醒公众警惕勒索比特币的电子邮件骗局。警方表示，骗子一直在给受害者发送电子邮件，称其电脑遭到黑客攻击。他们还告诉受害者，他们通过网络摄像头泄露了其观看色情内容的视频，并威胁受害者如果不支付1900美元的比特币，将把视频发送给家人和朋友。骗子们声称知道受害者的密码，并展示了他们使用过的真实密码，这些密码在之前的数据泄露事件中被公布在网上。

  安全建议：

  1. 不清楚来源的链接尽量不要点击；
  2. 陌生人的邮件应在确认身份后，再进行点击查看；
  3. 不幸被勒索时请寻求专业人士帮助。
  4. 个人或者企业电脑一定要装杀毒软件；
  5. 安装软件或者使用软件时一定要确认软件来自官方渠道。

51%攻击事件

• 4月23日，稳定币平台PegNet遭遇51%攻击以操纵价格，但未导致资金损失，基于Factom协议的DeFi稳定币交易平台PegNet被执行51%攻击，4 位拥有该网络算力接近70%的矿工联合执行一次异常价格数据篡改的攻击行为，将一个仅拥有11美元的钱包余额变成名义上670万美元。根据该项目官方网站显示，该项目使用PoW网络依靠矿工提交从预言机和API中收集的价格数据，以保持稳定币的价格与法定货币等价，系统会激励矿工并获得奖励，以使其价格数据与其他提交的数据一致。此次攻击中，在被操纵的假汇率的作用下，矿工蓄意将pJPY稳定币交易为天价的pUSD，该攻击持续了大约20分钟，但未影响其他用户的资金。

安全事件

• 加密货币交易所Bisq被盗，损失3个BTC和4000个XMR
• Travelex透露年初曾向黑客支付近230万美元比特币
• 门罗币加密恶意软件VictoryGate被瓦解
• 稳定币平台PegNet遭遇51%攻击以操纵价格，但未导致资金损失
• 上线不久的期权交易协议Hegic，其代码错误将用户资产锁定
• Kraken的加密货币托管提供商Etana报告数据安全漏洞
• EOS竞猜游戏Felix遭假EOS攻击
• Uniswap上的imBTC池遭到黑客重入攻击
• 去中心化借贷平台Lendf.me遭到智能合约重入攻击
• MakerDao报告说明已对系统做出关键更改 防止债务危机事件再次发
• 利用加密货币交易所系统错误赚取3亿韩元的韩国军官被判刑
• 美国数十家医院正面临比特币勒索软件的攻击 --
• 首尔警察厅对20家加密货币交易所和机构执行“N号房”扣押搜查令
• 加密交易员：有人仅用18美分在Coinbase上获得了4.2085枚比特币
• 新西兰警方提醒公众警惕勒索比特币的电子邮件骗局
• 世界第四大风能生产商EDP遭勒索软件攻击，赎金1580 BTC
• 暗网出现新冠病毒感染者血液销售信息，售价0.005枚BTC
• 2019 年至目前为止，约 850 万 XRP 通过 XRP 赠品骗局套现
• 勒索软件团伙盗取加州托伦斯市数据并索要100枚BTC赎金
• 资金盘CXC隐匿后再起新盘AK挖矿 不到1月敛财1100万美元
• 两名印度城市管理人员被勒索软件威胁 要求支付比特币赎金
• EOS生态被曝无法提币 近日大量转移资金或已跑路
• HEX再现1714万美元大额转账 而此前主要存款地址已被清空
• 衡阳珠晖警方破获虚拟货币诈骗案，涉案金额超3000万元

预警事件

• Vollgar僵尸网络持续劫持微软SQL服务器以挖掘门罗币和Vollar
• 警惕 EOS 账号买卖中通过多签提案回收 EOS 账号风险
• Uniswap遭黑客攻击损失1,278枚ETH
• 警惕名为“EOS生态”的资金盘项目 已打着EOS节点旗号敛财1700万
• Telegram“搬砖套利”骗局
• 诈骗者假冒以太坊权益证明验证器进行诈骗
• WannaRen新型病毒勒索0.05个比特币，已有大量网友中招
• 警惕钓鱼网站airdrop-box.com空投HT诈骗
• 13000BTC重压，需密切留意盘面变化
• 勒索软件Sodinokibi已开始接受Monero支付，并计划停止接受BTC
• 警惕假冒imtoken“交易回滚”骗局，部分赃款已流入币安交易所进行套现
• 部分Voice钓鱼账号已非法获利9,044个EOS
• 宁夏警方查获“ARW”虚拟货币传销案，提醒公众虚拟货币诈骗风险
• 警惕假冒imtoken“交易回滚”骗局，部分赃款已流入币安交易所进行套现
• Telegram等社群出现钓鱼网站，用户请勿轻信
• OneCoin翻版骗局OneLink出现，由OneCoin在逃管理人员操作
• Telegram“搬砖套利”诈骗最新案例，三用户被骗834个ETH
• 警惕加密货币质押应用StakedWallet为骗局
• PoolTogether 已移除 ERC-777 标准代币 plDai