區塊鏈:成都鏈安：7月發生較典型安全事件超19起

據成都鏈安『安全態勢感知系統』數據監測顯示：在過去的7月中，區塊鏈安全形勢依然嚴峻，整個區塊鏈生態共發生超19起較典型的安全事件。其中，本月所曝出的交易所漏洞較多；在勒索軟件/挖礦木馬方面，所發生的安全事件依然較多，不可放松警惕。經成都鏈安安全人員統計，7月發生較典型安全事件細項如下：交易所方面，共發生『1』起較典型的安全事件

01英國加密貨幣交易所Cashaa表示，黑客從其中一個錢包中竊取了超過336枚比特幣。隨后，該交易所已停止所有與加密有關的交易。詐騙跑路/加密騙局方面，共發生『2』起較典型安全事件017月16日，包括比爾·蓋茨，奧巴馬，埃隆·馬斯克，蘋果官方賬號等在內的諸多Twitter賬號被黑客攻擊并發布比特幣釣魚信息。經查詢黑客留在推特上的地址發現，該地址目前已經收到了12.86枚比特幣。02印度頂級YouTuberCarryMinati的第二個頻道CharryIslive遭黑客入侵，并進行比特幣詐騙。Beosin評論：Twitter名人賬號被黑客入侵是本月發生的較為重大的安全事件，在此成都鏈安提醒各位用戶，一定要注意賬戶安全，不要使用弱口令密碼，不要在不熟悉的設備上選擇記住密碼。進入網站時，切記檢查網站域名，不要登錄非法釣魚網站而因此造成損失。勒索軟件/挖礦木馬方面，共發生『5』起較典型安全事件

成都鏈安：WienerDogeToken遭遇閃電貸攻擊事件分析:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，WienerDogeToken遭受閃電貸攻擊。成都鏈安安全團隊對此事件進行了簡要分析，分析結果如下：攻擊者通過閃電貸借貸了2900個BNB，從WDOGE和BNB的交易對交換了5,974,259,851,654個WDOGE代幣，然后將4,979,446,261,701個代幣重新轉入了交易對。這時攻擊者再調用skim函數，將交易對中多余的WDOGE代幣重新提取出來，由于代幣的通縮性質，在交易對向攻擊地址轉賬的過程中同時burn掉了199,177,850,468個代幣。這時交易對的k值已經被破壞，攻擊者利用剩下WDOGE代幣將交易對內的2,978個BNB成功swap出來，并且將獲利的78個BNB轉到了獲利地址。

這次攻擊事件中，攻擊者利用了代幣的通縮性質，讓交易對在skim的過程中burn掉了一部分交易對代幣，破壞了k值的計算。成都鏈安安全團隊建議項目上線前最好進行安全審計，通縮代幣在與交易對的交互時盡量將交易對加入手續費例外。[2022/4/26 5:11:33]

01據Decrypt6月30日消息，6月初，加州一醫學院遭遇黑客襲擊，研究人員無法訪問網絡上的加密數據。該校已向黑客的錢包中轉移了116.4枚比特幣，以換取解鎖加密數據的工具，并歸還他們獲得的數據。02騰訊安全威脅情報中心檢測到國內大量企業遭遇亡命徒僵尸網絡攻擊。亡命徒僵尸網絡已造成國內約2萬臺Linux服務器感染，影響上萬家企業。其主要特征為通過SSH爆破攻擊目標系統，同時傳播基于Perl的Shellbot和門羅幣挖礦木馬。03在攻擊中受損的數據庫幾乎占MongoDB所有數據庫的47％。黑客要求每個數據庫支付0.015BTC，因此要求的總金額超過320萬美元。04英國國家網絡安全中心：近日黑客針對體育公司發起攻擊，要求支付400BTC贖金。05黑客要求Garmin支付1000萬美元贖金以恢復Garmin系統。Garmin內部員工證實，Garmin受到了名為WastedLocke的勒索軟件的攻擊。這是一款新的勒索軟件，由惡意軟件開發團隊EvilCorp運營。暗網方面，共發生『3』起較典型安全事件

仙人掌CTS智能合約已通過Beosin(成都鏈安）安全審計:據官方消息，Beosin（成都鏈安）近日已完成仙人掌CTS智能合約項目的安全審計服務。

?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈，同時包含去中心化穩定數字貨幣，去中心化預言機，去中心化保險，流動性挖礦，智能挖礦等等功能的創新和聚合，進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募，社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。

合約地址：TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

審計報告編號：202009262149[2020/9/28]

017月13日，暗網販WilliamBurgamy和內布拉斯加藥劑師HyrumWilson被指控試圖炸彈襲擊競爭對手，兩人已對美國聯邦指控認罪。02兩名意大利17歲青年因于暗網支付比特幣觀看兒童性虐待、酷刑和謀殺相關直播視頻被捕。03據報告稱，近28萬個Instacart帳戶在暗網出售。Instacart通過應用程序為客戶提供雜貨配送服務。被非法出售數據包含客戶名、信用卡號和數字、訂單歷史記錄等。該公司發言人表其他方面，共發生『8』起較典型安全事件

動態 | 成都鏈安：10月發生較典型安全事件共5起:據成都鏈安態勢感知平臺——Beosin?Eagle-Eye統計數據顯示，在過去一個月（10月）中，共發生5起較為典型的安全事件。其中包括：1.EOS鏈上本月內總共發生兩起攻擊事件：一是假EOS攻擊；二是游戲服務器解析參數問題。2.亞馬遜云服務平臺AWS被爆遭到了DDoS攻擊，并因此被迫中斷了服務。3.網頁加密貨幣錢包Safuwallet被黑客通過注入惡意代碼竊取了大量資金，并且殃及幣安。4.Cryptopia被盜資產開始轉移：一部分ETH流入知名DeFi借貸平臺Compound；另有數個ETH流入一個叫做DeFi 2.0的DApp項目。鑒于當前區塊鏈安全新形勢，Beosin成都鏈安在此提醒各鏈平臺需要增強安全意識，重視各類型安全風險，必要時可尋求安全公司合作，通過第三方技術支持，排查安全漏洞，加固安全防線；各錢包項目應進一步做好安全方面的審查，有意識地增強項目系統架構的安全性，并建立完善的應急處理機制。如發生資產損失，可借助安全公司的幫助，進行資產溯源追蹤；用戶在進行投資行為時需謹慎，遠離資金盤，切勿刀口舔血。[2019/10/31]

017月3日，CryptoScope團隊發現Ravencoin區塊鏈存在漏洞，經過RVN首席開發團隊確認后已發布了緊急更新。據悉，該漏洞可生成額外的RVN，但是不會影響或控制已經存在的RVN資產。027月2日，黑客疑似侵入了俄羅斯外交部的官方Twitter賬戶。黑客通過該賬戶發帖出售某失竊『支付數據庫』，要價66BTC。該數據庫據稱包含2020年6月俄羅斯聯邦公共服務門戶網站的游客支付詳情。03俄羅斯外交部危機管理中心最近就成為了該類型黑客攻擊的對象。據悉，該中心的Twitter賬號最近遭到一個未具名組織攻擊。04一個名為『Keeper』的黑客團伙建立了一個互連網絡，從570多個電子商務網站竊取信用卡數據。自2017年以來，該組織通過在暗網出售信用卡信息而獲得了超過700萬美元的加密貨幣。057月10日，據外媒報道，美國檢察官已起訴一名黑客，該黑客被起訴出售全球數百家組織和公司的網絡后門訪問權限，是企業網絡犯罪的幕后黑手。06黑客利用游戲Runescape的漏洞進行雙花攻擊獲取了數萬億的游戲幣，價值超25萬美元，并利用這些資金購買比特幣。據稱，Runescape發行商Jagex已經修補了Runescape的漏洞，但黑客卻仍能對Runescape3進行類似的雙花攻擊。07數位銀行應用程式和科技獨角獸Dave.com遭黑客入侵，黑客在公開論壇上發布了7,516,625位用戶的詳細資料，任何人均可下載該數據。08英國約克大學公布了黑客竊取工作人員和學生的個人詳細信息的數據泄露事件。被盜數據可能包括姓名、出生日期和學生編號以及地址、電話號碼、電子郵件地址和專業詳細信息等信息。鑒于當前區塊鏈安全領域的新形勢，『成都鏈安』在此總結：從總體上看，7月所發生的較典型的區塊鏈安全事件與6月持平，整體安全事件發生數量依然處于『中等』水平。因此，在面對區塊鏈生態的安全問題時，我們仍然不能放松警惕。另外需要注意的是，本月所曝出的交易所漏洞較多。在此，成都鏈安建議各大交易所，在進行交易所以及合約上線前，一定要做好代碼審計以及安全測試工作，并在上線后定期進行安全檢查，以保持安全的網絡環境。在詐騙跑路/加密騙局方面，本月所發生的安全事件大部分是由黑客竊取目標賬號所造成的。成都鏈安在此提醒用戶，無論是使用企業賬號還是個人賬號，都應注意賬號安全問題，切勿將密碼泄露給他人。在勒索軟件/挖礦木馬方面，相關安全事件的發生數量依然居高不下；但交易所方面，安全情況較為良好。但我們依然要呼吁廣大用戶及交易所不可放松警惕。因為即使是一個微不足道的漏洞，也可能會造成巨大損失。因此，在日常工作中一定要保持良好的安全習慣，并尋找專業的安全公司進行定期的安全維護。

聲音 | 成都鏈安：使用鏈上合約輪詢開獎機制可能具有安全風險:今日早晨7點半，成都鏈安態勢感知系統鷹眼對某游戲合約交易發出預警，我們的安全人員對該預警進行分析發現，攻擊者正在使用一種新的途徑獲得隨機數種子，并通過合約不斷發起延時交易，嘗試預先計算或者得到游戲合約的開獎參數，安全團隊已通知項目方進行確認，建議具有類似基于線上合約定時開獎模式的項目方及時自查，避免遭到損失。望項目方看到本預警消息能夠及時聯系我們。[2019/6/12]

Tags：區塊鏈比特幣EOSDOG為什么要有區塊鏈6月10日為啥比特幣暴跌呢EOSCdogelon-mars

火必