比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > SAND > Info

黑客年底扎堆「沖業績」?區塊鏈行業顯現「白帽」不足_APP

Author:

Time:1900/1/1 0:00:00

原文標題:《囂張的黑客,和正在消失的防護網...……》

失序的區塊鏈行業里,時刻隱藏著風險,黑客就是其一。就像武俠里的江洋大盜,他們隨時出沒在存儲著大量數字貨幣的區塊鏈錢包、交易所、DApp里,伺機挖掘漏洞,竊取資產。

據粗略統計,近一個月內,區塊鏈領域涉百萬以上黑客攻擊事件近5起。

另一面,多數項目拿這些黑客并沒有辦法。尤其是幣圈進入熊市大半年以來,不少公司都鬧錢荒。區塊鏈安全防護系統因資金匱乏,防護能力正在變弱。

安全團隊BYSECCOO劉澤坤告訴記者,其平臺上注冊有5000多名網絡安全工程師,但在「生存第一」的熊市下,安全防護下降為弱需求。目前愿意付費做安防的僅有10余家。

代碼安全無法守護,共識安全也岌岌可危。

熊市中,一部分礦工由于入不敷出關機蟄伏,直接導致了PoW網絡算力下跌,閑置算力成為「散兵游勇」,威脅著公鏈的安全。

礦工是共識安全的守護者,他們的缺位給了攻擊者可趁之機,本月初ETC遭遇51%攻擊即是一例。

這張本該嚴密的安全防護網,隨著熊市的持續,一個個牽引的防護點正在消失。

一白帽黑客從0xSifu處獲得100ETH,計劃返還資金:4月9日消息,推特用戶Trust發推表示,剛才以白帽黑客形式從Frog Nation前CFO 0xSifu處獲得100ETH,計劃返還這些資金。此前報道,SushiSwap的Router Process 2合約似乎存在一個與approve有關的漏洞,導致FrogNation前CFO 0xSifu損失約1900枚ETH(超330萬美元)。[2023/4/9 13:52:50]

頻繁的攻擊

去年12月27日發生的錢包釣魚事件可能是近來最大的黑客攻擊事件。

據Cointelegraph消息,當日有用戶在社交媒體上爆料,有團體正在對加密貨幣錢包Electrum進行惡意攻擊,并竊取了近250個BTC。

消息隨后獲得Electrum證實,據介紹,該攻擊主要通過創建一個假版本的錢包,來騙取用戶的密碼信息。

2018年下半年,幣圈進入了明顯的熊市,不少項目開始減員收縮。但黑客永不眠,那些匯集資金的地方永遠是黑客的目標。

區塊鏈安全平臺DVP聯合創始人鄧煥也告訴記者,今年12月以來,越來越多的攻擊者將目光投向了EOSDApp。

報告:朝鮮黑客組織Lazarus通過混淆資金來源清洗竊取的加密貨幣:英國跨國安全公司BAE Systems和環球銀行金融電信協會(SWIFT)發表一份報告,揭示了網絡犯罪分子如何清洗加密貨幣。

根據這項研究,與通過電匯等傳統方法洗錢的巨額現金相比,通過加密貨幣進行洗錢的案件仍然相對較少。但也有一些值得注意的例子,報告深入探討了朝鮮黑客組織Lazarus Group使用的洗錢方法。Lazarus通常從一個交易所竊取加密資金,然后開始使用“分層技術”通過不同的多個交易所進行交易。這些黑客雇傭了東亞協助人員,他們接受了部分被盜資金,以幫助洗錢。研究稱,這些協助者在他們擁有的眾多地址之間轉移加密貨幣,以“混淆資金來源”。“協助者通過新增加的銀行賬戶轉移一部分收到的資金,這些賬戶與他們的交易所賬戶相關聯,這使得加密貨幣能夠轉換成法定貨幣。其他被盜資金可能會通過比特幣轉入預付費禮品卡,在其他交易所可以用來購買更多比特幣。”

據此前報道,朝鮮黑客組織Lazarus通過LinkedIn招聘廣告攻擊加密貨幣公司。(Cointelegraph)[2020/9/4]

根據區塊鏈安全網bcsec統計,12月份其搜索到區塊鏈領域發生的攻擊事件共有20余起,對行業造成損失約190萬美元,其中90%受攻擊的對象是EOS上的DApp。

動態 | 墨西哥石油公司PEMEX遭受網絡攻擊 黑客要求支付價值500萬美元的比特幣:金色財經報道,墨西哥石油公司PEMEX遭受網絡攻擊,黑客要求支付價值500萬美元的比特幣。據墨西哥石油公司PEMEX五位員工和內部郵件透露,Pemex表示在周日發現了黑客事件,迫使該公司關閉了墨西哥各地的計算機,并凍結了付款等系統。Pemex計算機上出現的贖金字樣指向與“ DoppelPaymer”(一種勒索軟件)相關的暗網。該網站要求Pemex在48小時內支付565枚比特幣(價值500萬美元)。黑客稱,Pemex在遭受第一次網絡攻擊后沒有立即支付贖金,但Pemex仍然有時間滿足其比特幣需求,在新的期限到期之前,不會進一步發表評論。(路透社)[2019/11/13]

1月16日凌晨03:47-03:55之間,DAppShield監測到,有黑客向EOS競猜類游戲「影骰」發起連續攻擊,獲利超1萬個EOS。黑客采用的交易阻塞攻擊手段。一個月來,黑客已經憑借該手段發動了4次攻擊。

12月18日晚間至19日凌晨,多個EOS頭部DAPP則遭遇回滾交易攻擊。

遭受攻擊的幾款游戲基本為EOS頭部較活躍的競猜類游戲:EOSMax、ToBet、BigGame和BetDice。據PeckShield的數據,其中,BetDice一周日均活躍用戶數超5000人,交易額也在5000萬EOS以上。

動態 | 幣安被盜BTC中又一關鍵地址異動,黑客持續洗錢中:據PeckShield數字資產護航系統(AML)最新數據顯示,繼昨天幣安被盜7,074枚BTC的其中1個包含1,060枚BTC bc1q2rdpy開頭的地址密集洗錢后,今天下午16時54分,另一存放有1,060枚BTC 16SMGihY9開頭的地址也出現異動。黑客又以不斷切割、分散的方式,頻繁操作了數百筆交易,直至新地址上最小額僅有0.78枚BTC。截至目前,幣安被盜7,074枚BTC分散后的7個主要地址中,已有2個開始密集洗錢,其中大部分小額地址存洗錢成功可能。[2019/6/15]

與此同時,黑客利用重放攻擊漏洞攻破另一款競猜類游戲TRUSTBET。

這些集中攻擊,讓幾款游戲共損失303404.18EOS。以EOS當時的單價18元來測算,黑客盜走的金額達546萬元。

對于這次攻擊,蔣旭憲曾表示,這次攻擊背后是同一個團伙或個人。另外,ECAF追回盜取的EOS預計難度較大,目前已經牽涉到1808個賬戶,數量還在增長中。

鄧煥分析指出,從早期針對以太坊的TheDAO,到最近的BCE、SMT代幣等事件,以太坊生態已經經過了一場來自黑客的「血的洗禮」,生態環境逐漸趨于安全。而DApp生態的第二翹楚EOS目前正處于蠻荒生長階段,于是黑客開始將魔爪伸向這里。

針對加密貨幣投資者的新的黑客攻擊來自北韓:有報道稱,針對加密貨幣投資者的一項新的黑客攻擊使用類似于北韓襲擊索尼影視娛樂公司和其WannaCry勒索軟件攻擊的惡意軟件,這進一步證明了平壤參與加密竊聽者的行為。美國網絡安全公司Recorded Future周二在一份報告中指出,拉扎勒斯組織(Lazarus Group是一個與朝鮮政權有聯系的黑客行動)是惡意軟件運動的幕后黑手,后者在秋末開始針對韓國交易所的用戶,并可能依然活躍。目前還不知道黑客有多成功,還有多少被盜。[2018/1/16]

囂張的攻擊者

對于黑客而言,攻擊這種從別人口袋里掏錢的生意,只有錢難不難掏,沒有錢多錢少的分別。

我們知道,交易所是幣圈最大的聚寶盆,亦是黑客攻擊的高發地。即使在交易量大幅萎縮的境況下,交易所亦逃不過黑客的「摸排」。

賀凱是X交易所的市場負責人。「盡管在各個行情網站上排不上名,但被黑客‘打’卻是家常便飯。」

據他介紹,全球有約1.5萬家交易所,在業內稍微能說的出名字的,基本上三天兩頭就要來一次攻防戰。身處這個「聚寶盆」中,他已經見怪不怪。

但去年11月份的那次黑客尋釁事件,讓賀凱哭笑不得。

那天中午,X交易所的客服像往常一樣在微信群里和用戶聊天。

突然有人加她,沒有注明名字和事由,她通過了。

不料對方一上來就像查戶口似的問:「哎,你是X交易所的嗎?」

「你們其他聯系方式能給我一個嗎?」

對方看客服沒反應補充了句,「我要「打」你們了,怕到時聯系不上你們。這個是你們的啰?」

客服當時明白了,跟她聊天的這個人可能是個黑客。常規的黑客攻擊是先攻擊再勒索,而且最好能攻其不備以降低成本。待攻下后再聯系被攻擊方商談「贖金」事宜。

但這個黑客似乎勝券在握,就等著攻擊結束后的談判了。

「真是活久見」,客服心想。無奈,客服只得回復他:「你先打吧,打完再說。」

作為區塊鏈「白帽子」平臺的調度人,鄧煥沒少見這類令人咋舌的攻擊。

去年12月5日,幣安發布了一個去中心化交易所DEX。消息出來的第二天,DVP即觀察到,社交軟件中有個冒充DEX斂財釣魚網站。

下圖是該釣魚網站的主頁。從UI上看簡直可以以假亂真。

該網站放著幣安此前發布的DEX的宣傳視頻。并配文虛構了一個活動,稱為慶祝DEX的推出,特向全球粉絲贈送5000BTC作為回饋。參與活動的用戶需要先驗證地址,驗證時需發送0.1-10個BTC到指定地址,而后將獲得貢獻BTC數的10倍BTC。

在轉賬頁面,還伴有實時更新的獎池數量、該地址的轉賬交易記錄以及參與用戶的即時評價等,十分逼真。DVP當即發現有人轉賬,那些幣隨即被提走。

DVP向幣安報告了該情報。但該釣魚網站作為外部網站,幣安也拿他沒辦法。

DVP還發現,這個第二天就能上線高仿網站的攻擊者,之前還用同樣的手段模仿過OKEX,可謂在失序的世界中無法無天。即使熊市如此之涼,它也能抓住熱點穩賺一筆。

脆弱的「防護網」

在這些安全事件背后,是黑客不分牛熊的攻擊和熊市中防護網缺失的矛盾。

有數據顯示,目前全球有10000的區塊鏈項目,區塊鏈安全服務公司卻只有不到50家。從紅藍對抗的角度講,紅隊就要比藍隊弱得多。再遇熊市,恐會讓這一狀況更加惡劣。

當前,各個項目方、服務商在寒冬中縮小成本,其在安全上的需求也繼續弱化。這形成了一個惡性循環,在安全上投入越低便越容易遭到攻擊,造成的損失又將給項目方帶來致命的災難。

安全團隊BYSEC的COO劉澤坤和記者講了上個月發生的一個案例。一個以太坊上的菠菜類DApp遭遇黑客攻擊,數萬個ETH被盜,盡管其已做過基本的審計,但離相對安全仍然很遠。

按理說,每個項目都應投入10%的錢來保障100%的資金的安全,但很多團隊在縮減開支中跳過了這一步。

BYSEC團隊是個「白帽子」平臺,其上注冊了5000余名「白帽子」,大多是傳統安全業人員,在上面兼職挖漏洞領取賞金。

到了熊市,平臺上仍在支付賞金的項目方僅有10余家,BYSEC團隊只能提示平臺上的「白帽子」盡量只在這些付費廠家中挖洞,不然可能要變成「楊白勞」。

其他的廠家,要么沒有付費意愿,要么沒有付費能力。

在BYSEC發現一些交易所的重大漏洞后,劉澤坤帶著這些漏洞去聯系交易所,希望安全服務能得到適當回報。

但對方給出的答復卻經常是,「你們的這個服務的確很好,我們也很需要,但老實說我們的收入都沒這么多,實在是付不起。」「活都活不下去了,還講什么安全。就好像我都吃泡面了,你還跟我說泡面不健康。」

轉型謀生存

進入安全行業的錢變少了。一面沒了新的客戶、新的投入,一面是存量客戶已被瓜分殆盡。

安全團隊處境維艱。

慢霧安全團隊在此前的采訪時表示,蓬勃發展后,會進入類似紅海的階段,需要大家進行差異化競爭。比如現在經常有客戶問我們:你們和別人有什么不一樣?

大家需要進行差異化競爭才能活下來,BYSEC也認同這個觀點,并且正在考慮轉型。劉澤坤透露,團隊打算利用在安全行業的積累做一款數字貨幣的支付網關SAAS,面向數字貨幣的商家和C端用戶。

從服務對象和應用場景看,這似乎已和安全行業脫鉤了。但行業沒有生意,像BYSEC這樣的平臺并沒有什么好的辦法。

唯一值得欣慰的或許是,以技術見長的白帽子,如果要回到互聯網或是在其他領域做安全,轉換的成本不算太高。

本文來源于非小號媒體平臺:

Odaily星球日報

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627120.html

區塊鏈

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

下一篇:

BHB到底是什么「暗黑」項目?又為何讓30000人趨之若鶩?

Tags:EOSBTC區塊鏈APPEOS INFINITYbtcv幣還能漲嗎區塊鏈包括哪些方面Sapphire

SAND
BHB 到底是什么「暗黑」項目?又為何讓 30000 人趨之若鶩?_OCC

幣圈熊市里,什么最火?除了回歸社區生態的隱私幣Grin,還有自稱「熊市之光」的BHB。「幣圈難民看過來,BHB是你的救命稻草」,「大家坐穩扶好,馬上發車」,「BHB保本,哪個項目方敢這樣」……幾.

1900/1/1 0:00:00
區塊鏈世界先鋒軍——MBAex交易所_C2C

各行各業在開創的初期總會呈現出群雄爭霸,百家爭鳴的狀態。在區塊鏈這個新興技術行業自然也不例外,各大公鏈使出渾身解數謀求讓市場人得到共識;各大項目不甘示弱試圖快速推進區塊鏈項目模型卻忽略落地性;而.

1900/1/1 0:00:00
UYSC(底層共享鏈)5月25日首發上線BihuEx平臺_YCO

尊敬的BihuEx用戶:幣虎全球交易所將于新加坡時間2019年5月25日上線UYSC/底層共享鏈 上線時間: 開放充值時間:2019年5月25日10:00AM開放交易時間:2019年5月25日1.

1900/1/1 0:00:00
HNB即將登錄LBank , 雙幣雙鏈公鏈新形態優勢盡顯_HGS

HNB是少數幾個擁有雙幣雙鏈新形態公鏈架構的。隨著項目發展,創新型公鏈結構的優勢也逐步被更多的人知曉關注。 HNB的底層公鏈特點 1、雙鏈雙幣.

1900/1/1 0:00:00
DragonEx 開放 LEO 充提業務公告_GON

DragonEx開放LEO充提業務公告 2019-05-23 親愛的用戶: DragonEx現已開放LEO充提幣功能.

1900/1/1 0:00:00
疲軟支撐or聚能上漲,比特幣接下來怎么走?_TAL

自上周比特幣沖破8000美元大關之后,喜提熱搜“比特幣上漲突破8000美元”。隨后BTC回落,近期走勢比較疲軟.

1900/1/1 0:00:00
ads