据 零时科技 区块链安全威胁情报平台 数据统计,2020年4月,整个区块链生态被公开的区块链安全事件共24起,其中智能合约攻击发生3起,应用漏洞攻击5起,恶意软件攻击4起,51%攻击1起,假EOS攻击1起,恶意欺诈8起,钓鱼攻击2起。
据 零时科技 区块链安全威胁情报平台 数据统计,2020年4月,整个区块链生态被公开的区块链安全事件共24起,其中智能合约攻击发生3起,应用漏洞攻击5起,恶意软件攻击4起,51%攻击1起,假EOS攻击1起,恶意欺诈8起,钓鱼攻击2起。
从图表数据来看,本月安全区块链安全攻击事件中,
恶意欺诈事件依旧占比最多,应用漏洞攻击事件和恶意软件攻击事件相比上月有明显增多,影响较大的为智能合约攻击事件,imBTC池,Lendf.me,Hegic都因智能合约漏洞损失大量数字货币,虽然黑客将盗走的Lendf.me数字货币如数归还,但尽管如此,这些安全事件还是给我们警示了智能合约安全的重要性;钓鱼攻击是目前黑客最常用的攻击手法之一,本月也发生两起;51%攻击是区块链中特有漏洞点,达到这类攻击需要控制全网50%以上的算力,本月也发生一起,但并未造成资金损失。
我们对比较重大的黑客事件进行简单分析回顾
4月18日,黑客利用Uniswap和ERC777的兼容性问题,在进行 ETH-imBTC 交易时,利用ERC777中的多次迭代调用tokensToSend来实现重入攻击,将Uniswap上的imBTC(imBTC是一个1:1锚定比特币的ERC-20代币)池耗尽。
4月19日,Lendf.me 遭遇类似 Uniswap 事件的重入攻击,出现大量异常借贷行为,攻击者利用重入漏洞覆盖自己的资金余额并使得可提现的资金量不断翻倍,黑客以滚雪球的方式多笔转走imBTC,且每一笔都比上一笔翻倍,最终将Lendf.Me账户约2500万资产盗取一空。
4月23日,以太坊上的新期权交易协议Hegic刚刚进入主网,由于代码中的一个错误,锁定了该平台智能合约中价值28,000美元的用户资金,该漏洞将用户资金锁定在过期的期权合约中,使得合约中的数字货币永久无法访问。
安全建议:
遵守严格的合约安全开发规范,在进行外部调用时先修改合约变量状态再进行外部调用;
项目上线前可通过专业的第三方安全团队进行全面的安全审计,尽可能的发现潜在的安全问题;
合约中加入风控体系,比如设置暂停开关,出现不可控问题时可及时止损;
4月24日,Kraken的加密货币托管提供商Etana报告数据安全漏洞。 该公司称,该漏洞发生在4月18日,导致未经授权的外部用户访问其客户端用户界面。客户资金没有受到影响,但是入侵者可能已经获取了一些信息。
4月29日,MakerDao(MKR)发布了一份新报告,并建议采取安全措施以确保不再发生。在3月12日至13日,以太坊(ETH)价格暴跌约50%,导致支撑Maker Dai(DAI)稳定币的债务头寸抵押不足。由于ETH网络出现拥塞,用户无法参与拍卖,一个竞标者以几乎为零价格的DAI赢得了近62843个ETH。Maker的报告确定了对Maker系统所做的几个关键更改,以防止协议在未来出现类似的危机。MakerDAO的治理现在可以“立即停止拍卖系统,从而进行清算”,以防止以0 DAI的价格出售抵押债券。拍卖系统的参数也进行了其他更改,包括添加了稳定币USD Coin(USDC)。Maker社区还创建了Web界面,以增加拍卖参与度。该报告还建议引入安全措施,以重新启动少于三个竞标和两个唯一竞标者的拍卖,每个拍卖批次不超过50个ETH批次的限制。
安全建议:
4月13日,新西兰警方提醒公众警惕勒索比特币的电子邮件骗局。警方表示,骗子一直在给受害者发送电子邮件,称其电脑遭到黑客攻击。他们还告诉受害者,他们通过网络摄像头泄露了其观看色情内容的视频,并威胁受害者如果不支付1900美元的比特币,将把视频发送给家人和朋友。骗子们声称知道受害者的密码,并展示了他们使用过的真实密码,这些密码在之前的数据泄露事件中被公布在网上。
安全建议:
51%攻击事件
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!