區塊鏈安全盤點及分析（18年11月）_STE

前不久，獵豹區塊鏈中心盤點了9、10月的區塊鏈安全事件，在9月和10月，黑客的攻擊主要集中在EOS和交易所。而在11月的安全事件中，這兩類攻擊暫時消停，但2個月未見的51％攻擊卻再現江湖；鋼鐵俠馬斯克“被”卷入了Twitter詐騙案；另外，我們還發現了潛在的代碼共享的漏洞危機......2018年11月13日：Twitter詐騙

損失規模：32,700美元

事件經過及安全分析

11月12日，黑客入侵了電影制作公司、國會議員甚至是哥倫比亞交通部等經過認證的“藍V”推特賬號，通過修改名字、頭像并上傳新內容，假裝是特斯拉CEO馬斯克本人。黑客在推文中以馬斯克的口吻稱，自己將離任特斯拉董事長職務，并送出10000枚比特幣(近6000多萬美元)回報大家。而參與活動的前提，則是需要先轉小額比特幣(0.1-3個)到制定的地址來確認賬戶信息。他們甚至找了托給推文評論：“我剛轉了2.7個比特幣，現在收到了54個!”、“我發了0.50比特幣并拿回了5個”、“+25BTC，謝謝你”在推文刪除之前，點贊和轉發都已上萬，錢包地址則已經收到超過32,700美元價值的比特幣。在同一天，GoogleGSuit也發出了類似的消息，要求用戶在0.1到2之間發送BTC，并承諾能獲得10倍的BTC回報，幸運的是，沒有人將BTC發送到那個地址。安全小豹的想法：

美股開盤：區塊鏈概念股全線下跌:美股三大股指小幅低開，道指跌0.17%，標普500跌0.06%，納指跌0.01%。美股區塊鏈概念股全線下跌。柯達平盤，埃森哲下跌0.11%，overstock.com下跌1.67%；RiotBlockchain下跌3.16%，MarathonPatent下跌6.02%，Square下跌3.50%。[2020/5/21]

這種方式并不能成為一種攻擊手段，我更愿意把它稱之為騙局，黑客充分利用和放大了人性的貪婪，浮躁和急功近利的丑陋真相在這種簡單的誘惑面前展現的一覽無遺。上個月是美國的安全月，我認為每個入行區塊鏈的人都應該好好的學習一下基本的網絡詐騙知識。但更重要的事，是在浮躁的幣圈里保持清醒的頭腦，不要再誘惑面前失去基本的智商。2018年11月13日：AurumCoin遭受51％攻擊

研究：去年停止活動的大多數由區塊鏈支持的中國企業都存在重大缺陷:4月6日消息，市場研究公司EqualOcean的研究表明，去年停止活動的大多數由區塊鏈支持的中國企業都存在重大缺陷。該報告發現去年關閉了70多個區塊鏈項目。據報告，其中有70％以上的項目在第一年就沒有生存，而30％的項目沒有持續6個月。據報道，去年中國的區塊鏈領域擺脫了騙局，轉向了分布式賬本技術的實際應用。研究人員表示，在2019年期間，中國國家機構和國有企業對區塊鏈的認識有所提高。（Cointelegraph）[2020/4/7]

事件背景：

AurumCoin是以黃金為價值支撐的加密貨幣，每個代幣都與純24K價值的黃金掛鉤。AurumCoin聲稱，每發行一個代幣，就會在全球安全保險庫中存0.75克的黃金。自2014年以來，它一直在運行自己的區塊鏈，其中AU是可開采的，硬幣上限為300,000。損失規模：550,000美元

聲音 | 觀點：區塊鏈等金融科技可降低銀行機構應收賬款質押式融資業務的風險系數:據中國經營網消息，銀行機構開展應收賬款質押式融資業務較為謹慎，主要原因是其風險較難把控。業內人士表示，為降低該業務的風險系數，金融科技正在發揮作用：一是通過區塊鏈平臺保證交易數據的真實性及可追溯行；二是促使流程自動化，減少人為干預，加強智能風控。[2019/12/9]

事件經過及安全分析

11月13日，AurumCoin在新西蘭數字貨幣交易所Cryptopia遭到51％攻擊，損失的15752.26AUAurumCoin官方發推表示：“我們并非責怪cryptopia，但是事實是，幣確實是在cryptopia的錢包里丟的。”AurumCoin的態度是，堅持認為Cryptopia交易所被黑導致自己遭受51%攻擊。然而，筆者認為可能性不大。AurumCoin是一個擁有少量礦工的公鏈，因此平均哈希率較低，租用礦機并執行51％的攻擊是很容易的。安全小豹的看法：

聲音 | 陳偉星：全球金融體系的KYC、BSA和AML三類監管 都不適合強硬用在區塊鏈系統上:陳偉星發微博表示，透明就是人類協作的陽光，讓欺詐遁形，讓信任倍增。所以，區塊鏈時代全局實名制是不可能的，因為實名了就需要保護隱私（只讓少部分人看），從而導致數據不能真正透明（不能讓所有人看）。所以現在全球金融體系的KYC、BSA和AML三類監管，都不適合強硬用在區塊鏈系統上，從而使得Libra和其他銀行業、科技巨頭極難真正自我變革，因為滯后的監管會拖死他們。[2019/6/30]

使用POW共識算法的公鏈，如果參與挖礦的算力不足，遭到51％的攻擊的風險非常大的。在整體市場低迷的行情下，甚至有人坦言，曾經租用礦機執行過51%攻擊。所以，在此提醒廣大用戶，在選擇和使用這類加密貨幣時，應該意識到這些風險。各家公鏈51%攻擊的成本2018年10月29日——MapleChange交易所被盜

美國行業協會呼吁美國國會制定更加嚴格的區塊鏈安全標準:七家代表銀行和信用社的美國行業協會聯名上書美國國會，呼吁國會制定更加嚴格的區塊鏈安全標準，以防止更多交易所數據泄露。這7家協會分別是全美信用聯盟協會、全美聯邦保險信用聯盟、美國銀行家協會、消費者銀行家協會、美國銀行家獨立社區、金融服務圓桌會議和美國清算所。[2017/12/23]

事件背景

MapleChange是加拿大交易量非常小的交易所。損失規模：600萬美元

事件經過及安全分析

10月29日，媒體宣稱，MapleChange被黑客攻擊，致使919個比特幣被盜。10月30日以來，MapleChange關閉社交媒體賬戶和平臺，導致用戶沒有辦法提幣接著，MapleChange創始人也失去下落，但是后來，社區成員找到了CEO的家庭地址，并把他送入監獄。此后MapleChange交易所官方表示，并沒有919個比特幣被盜，被盜的比特幣只有8個而已。知情人士稱，此次攻擊是由于開發人員將關鍵代碼行被注釋掉引發的安全小豹的看法：

雖然規模較大的數字貨幣交易所也有被攻擊的風險，但是相對于小規模的交易來說，還是比較安全的。道理也很簡單，只有當交易所有足夠大的交易量，才能收到足夠多的手續費，有了足夠多的手續費，才有可能在安全建設和防護上投入更多。希望大家在進行交易所時，盡量選擇規模較大的頭部交易所交易，不要因為貪圖小型交易所的小恩小惠，而造成不必要的損失。2018年10月29日——OysterProtocol

Oyster協議是IOTADLT之上的數據存儲解決方案，在以太坊區塊鏈ERC20的token為：Oyster。損失規模：$30萬美元

事件經過及安全分析

10月29日下午，有關OysterPearltoken的大量轉賬和大規模拋售的報道在社交媒體渠道中發酵。原來，在不到8小時的時間里，PRL交易量從156,351美元飆升至1,577,860美元——漲幅超過900％。但是在同一時間，PRL的價格卻下跌超過63％——從0.22美元降至0.08美元。Oyster官員發布聲明稱，Oyster智能合約已經通過了3次不同的審核，沒有發現任何漏洞但在第二次聲明中，他們卻說，“某人”接管了合約的所有權，并成功地鑄造了新的300萬PRL代幣經證實，這個“某人”實際上是Oyster項目的前聯合創始人和架構師Oyster首席執行官表示：這簡直太糟糕了，項目創始團隊從最初招聘，到后來讓每個人都參與其中，都從沒懷疑他們會破壞自己一手創造的項目。安全小豹的看法：

俗話說的好，“日防夜防，家賊難防”，對代碼最熟悉的人莫過于開發人員，反過來就是最容易攻擊。小豹認為，區塊鏈項目的創始人在招募早期的核心骨干時，應該在自己最信任的名單開始，而不是通過社會招聘或朋友介紹等渠道。同樣，在招募員工時，應該把道德品質考慮進去。2018年10月31日——以太坊的潛在威脅

背景

10月31日，馬里蘭大學和東北大學的分析師發布報告稱，由于ETH的智能合約缺乏多樣性，以太坊的整個生態系統將存在很大的風險。安全分析

10月31日，馬里蘭大學和東北大學的分析師發布對以太坊的代碼分析報告，并得到了美國國家科學基金會的支持。研究分析了以ETH的前500萬個區塊的智能合約的字節碼。研究發現，目前，以太坊智能合約是其他公鏈合約總和的三倍。但是，超過60%的智能合約從未與用戶有過互動，只有不到10％的的智能合約是獨一無二的。安全小豹的看法：

小豹認為，“開源”是一把雙刃劍，它是區塊鏈蓬勃發展的助推劑、降低了行業的準入門檻，但不得不說，它也或多或少的阻礙了創新。小豹建議廣大的區塊鏈項目，在組建技術團隊時，一定要配置至少一位安全專家，可以避免很多未來的風險。

Tags：區塊鏈TERSTEYST區塊鏈幣是什么幣INTERste幣價格v.systems

非小號