EOS:一月、二月區塊鏈安全事件盤點

導語：在整理近兩個月發生的安全事件時，筆者不禁想起互聯網的早期，也曾走過安全事件頻發的階段。即使到現在，互聯網行業的安全事故也沒有完全杜絕。其實，任何新生的事物，都會存在安全隱患。區塊鏈在經歷18年的瘋狂之后，慢慢回歸理性，各種落地應用產品正在慢慢面世。對于新興的行業來說，經歷的安全事件是必不可少的。所以獵豹區塊鏈安全將會堅持盤點每月的安全事件，在整理的同時，也和大家，以及整個區塊鏈行業共同經歷著成長。2019年1月16日——ETH君士坦丁堡升級推遲

事件背景

根據計劃，以太坊社區原定會在7,080,000區塊高度時進行君士坦丁堡分叉，這個時間大概是在中國的2019年1月16日。但是在升級前夜，ChainSecurity發布了君士坦丁堡升級相關的潛在問題。出于謹慎考慮，以太坊基金會決定推遲此次分叉。漏洞類型：可重入漏洞事件經過及安全分析

·為了更好的在未來過度到POS模式，以太坊基金決定推出過渡的升級方案——君士坦丁堡升級。因為在以太坊社區內部沒有太多爭議，所以不會導致硬分叉，而是以軟分叉方式平穩過渡到下一階段。·君士坦丁堡升級包括減少礦工回報等一系列的改進方案，其中的EIP1283將代替原來的1087，調整SSTORE操作碼的凈Gas計量。·雖然這看上去是對開發者很友好的方案，但是ChainSecurity卻發現了其中的隱患：攻擊者可以使用updateSplit設置當前split，以第一個地址(合約地址)接收所有的資金；并且調用splitFunds函數，；從回調函數，攻擊者可以再次更新split，這次將所有資金分配到攻擊者的第二個賬戶；splitFunds的執行繼續，全部存款也轉到第二個攻擊者賬戶。·由于Gas費的下降。在升級之前，每個storage操作都需要至少5000gas。遠遠超過了使用transfer或send來調用合約時發送的2300gas費。·而在升級之后，攻擊者合約可以使用2300gas費成功操縱漏洞合約的變量。·簡單來說，攻擊者可以在以太坊升級后執行TheDAO級別的重入攻擊。·基于安全考慮，以太坊在深度討論后，于太平洋時間上午12點宣布推遲君士坦丁堡升級計劃安全小豹的看法

印度加密交易所Wazir的NFT市場上線一月來已售出160多件NFT數字藝術作品:印度最大加密貨幣交易所WazirX的NFT平臺在上線一個月后售出了160多件數字藝術作品。流行偶像Ritviz和視覺藝術家Santanu Hazarika合作創作的一款獨特的NFT在發布10秒內以391.8美元的價格售出。

此前消息，6月初，印度最大加密貨幣交易所WazirX推出該國第一個NFT市場。WazirX是基于幣安智能鏈的區塊鏈平臺，現在只提供“固定價格 ”銷售，也就是說至少目前不會有NFT的競拍。（economictimes）[2021/7/4 0:26:33]

現實與理性總是會有一定距離，簡單的幾行代碼就拖住了以太坊的升級步伐，在全面轉向POS之前，又會經歷哪些困境？分片，雷電網絡這些優秀的技術何時才能面世？在成為“世界計算機”之前，以太坊還有很長的路要走。

2019年1月6日——ETC被51%攻擊

事件背景

作為TheDao事件的硬分叉產物，是全球市值第二大的分叉鏈。分叉之后ETC一直使用POW算法，但全網算力一直處于比較低的水平，這導致了ETC主網在1月6日遭受了51%的雙花攻擊。損失規模：約110萬美元漏洞類型：51%攻擊事件經過及安全分析

報告：一月份DEX交易量飆升至550億美元以上 Uniswap居榜首:2月3日消息，據Delphi Digital報告顯示，2021年1月份DEX交易量創下歷史新高，總和超過550億美元，DEX協議流通市值增加440％。 其中，Uniswap占據主導地位，1月份總交易量為295億美元，占總交易量的45％，SushiSwap交易量為122億美元，占總交易量的22％。據DeFi Pulse數據顯示，截至2月2日，DEX平臺上鎖倉量（TVL）創下新高，達到99.48億美元，占所有DeFi領域相關平臺總鎖倉量426.5億美元的23％，其中，Uniswap總鎖倉量37億美元、Curve總鎖倉量33億美元、SushiSwap總鎖倉量26億美元。[2021/2/3 18:46:53]

·2019年1月6日，安全團隊警告ETC團隊，ETC存在被51％攻擊的可能性。第二天，Coinbase官方確定ETC總共發生15次攻擊，其中12次包含雙花，損失共計219,500ETC（約110萬美元。coinbase也暫時關閉了ETC的交易。·通過分析發現，此次事件的受害者主要是Biture和Gate.io兩家交易所·緊接著，安全公司通過與Gate.io，Bitrue和Binance交易所的配合，嘗試定位攻擊者。·1月14日，Gate.io方面表示，目前已經有價值10萬美元的ETC被歸還。安全小豹的看法

?ternity近一月遭遇3次51%攻擊 官方推出新版本并將部署超級鏈:1月30日，?ternity官方發推稱，官方已于1月29日正式推出了5.7維護版本。與此同時，官方還于近日發文披露了?ternity鏈近期頻繁遭遇51%攻擊的具體細節。根據官方公布的內容：1.近期共遭遇3次51%攻擊。第一次為12月5日（此前已披露，當時損失超3900萬枚AE代幣，價值超500萬美元）；第二次發生在1月3日。此次攻擊目標為?ternity社區的Telegram群組，未有資金損失；第三次攻擊發生在1月8日，未知礦工試圖使用此前12月第一次攻擊中被盜的2900萬枚AE代幣。此次攻擊未成功，2900萬枚AE代幣并未提取或交易。2.為提高?ternity鏈安全性避免遭遇攻擊，?ternity加密基金會已發起提案，計劃實施超級鏈，依靠現有PoW網絡實現安全性的PoS系統。即利用主網進行PoW，同時還可以使用PoS改善整個網絡的隱私和可擴展性。官方表示，在治理投票結束后，將首次部署超級鏈。[2021/1/30 18:28:11]

本質上來說，51%攻擊是沒有任何辦法進行提前的監測的，要想完全杜絕51%攻擊，只能想辦法提升全網算力，或者干脆修改共識算法。站在安全公司的角度看，可以通過計算購買算力需要的成本與攻擊可能獲得的代幣，再參考當前幣價，來綜合判斷某個時間點某條公鏈被51%的可能性。雖然無法完全杜絕，但是一旦發生51%攻擊，我們可以提高每一筆交易的確認區塊數量以及暫停這個幣種的充提幣，來把損失降到最小。2019年2月——EOSDAPP被大量攻擊

OKExChain十一月月報：farm功能完成系統測試，EVM智能合約開發完成95%:據OKExChain十一月項目進度月報顯示：OKExChain測試網已升級至v0.15.0，流動性挖礦farm功能完成系統測試，代碼審計完成100%。EVM智能合約開發完成95%，ethermint項目與okexchain融合完成100%。生態方面，OKExChain本月新增Waves、Achain及DoraHacks三個合作伙伴，目前生態建設合作伙伴已累計至30余家。

此外，OKExChain還將參加DoraHacks 全球黑客馬拉松活動，并將邀請全球區塊鏈開發者、技術極客及行業專家積極參與。[2020/12/7 14:26:48]

事件背景

19年1月，EOS公鏈上的一系列競猜類游戲遭到了新型交易阻塞攻擊事件。中招應用包括EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACKDICE等熱門DAPP。損失規模：約20起，500萬美元漏洞類型：阻塞攻擊等事件經過及安全分析

·不同于以往頻發的隨機數或交易回滾攻擊等合約層的攻擊行為，這是一種利用底層公鏈缺陷而發起的攻擊行為。深入分析后發現，這是存在于主網層的致命拒絕服務漏洞，攻擊者可發起大量垃圾延遲交易導致EOS全網超級節點無法打包其它正常交易，即通過阻斷打包正常用戶的交易進而癱瘓EOS網絡。·由于該漏洞本質上屬于底層主網問題，任何DApp游戲，只要依賴如賬號余額或時間等相關鏈上因素產生隨機數，都存在被攻擊的可能。·這也是為什么在一月份出現大量EOS的DApp被攻擊的原因。安全小豹的看法

動態 | 已發行流通的GUSD約為4278萬 較一月前增發約3227萬:Gemini今日發布第四份獨立會計師報告，報告顯示，截止美東時間2018年11月30日下午3:08，已發行流通的Gemini dollar和Gemini美元賬戶中的美元余額約為4278萬。相比10月31日Gemini公布的第三份獨立會計師報告中約1051萬的余額增發了約3227萬。經查詢，截至目前，Gemini官方數據顯示，GUSD目前總供應量約為5916萬枚，總計646個地址持有GUSD，總計轉賬次數為5643次。[2018/12/5]

EOS漏洞事件頻出，很多都是由于開發人員不嚴謹導致的，據筆者了解，很多DApp背后只有1-2個程序員，連完整的測試人員都不存在。在這種情況下，漏洞出現的可能性就非常大，更可能被攻擊。為目前EOS的開發人員并不多，成熟的開發者就更少了。但是對于EOS這樣的公鏈來說，這是一個必須經歷的階段，相比于去年，EOS上的Dapp和用戶都呈現激增的態勢，加上安全公司的努力，未來前景還是非常光明的。2019年1月14日——Cryptopia交易所被盜

事件背景

Cryptopia是位于新西蘭的一個小型交易所，被圈內稱為C網，日均交易量大概在300萬美元左右，交易的幣種超過500種。損失規模：約1600萬美元漏洞類型：私鑰泄露

事件經過及安全分析

·當地時間2019年1月15日，Cryptopia交易所官方發布通知，交易所遭黑客攻擊，Cryptopia交易所將關閉交易所服務，全力配合調查并嘗試追回被盜資金。·從公開資料來看，被盜的數字貨幣主要是ETH以及以太坊區塊鏈上的各種ERC-20代幣，總計價值約1600萬美元。·根據Elementus的分析，C網對此次安全漏洞的反應非常遲緩。黑客在1月13日到17日的5天時間，陸續將76000個ETH從錢包中轉移。而交易所方面沒有任何反應，并對用戶聲明：黑客擁有私鑰，可以隨意從任何Cryptopia錢包中提取資金。·種種跡象看來，很可能的原因是C網簡單的把私鑰存儲在某個服務器上，而黑客通過黑掉該服務器，導致C網無法從服務器獲取私鑰。安全小豹的看法

可以看到，C網在管理私鑰方面的混亂和隨意，導致了悲劇的發生。這次事件再次提醒了廣大交易所與用戶，對私鑰管理要存在敬畏之心，確保100%安全的保護私鑰是區塊鏈世界最基本的法則。另外，眾所周知，C網在業內以幣種多著稱，原因之一是，在C網上架山寨幣非常簡單粗暴，只需給錢和投票兩個步驟，這就導致C網上大部分幣種交易量很低，主要成為搬磚黨的樂園。筆者認為這種上幣模式是非常糟糕的，在此建議大大小小的交易所，在上幣前，一定要有對項目進行安全審計的流程，這是最基本的，對用戶負責的體現。交易所其他安全事件：

·春節期間，加拿大最大的加密貨幣交易平臺QuadrigaCX被爆出創始人Cotten意外死亡，·2月13日，Coinbase交易所發放了價值3萬美元的漏洞懸賞，從金額上可以看出，該漏洞是系統性的關鍵漏洞。這種懸賞對行業來說非常有價值，建議每個交易所和公鏈都應該做類似的激勵以促進安全領域的進步。2019年1月——Ryuk勒索病猖獗

事件背景

美國網絡安全公司跟蹤了臭名昭著的，名為Ryuk的勒索病，該病在互聯網上傳播，通過鎖定計算機文件，向受害者索取比特幣，并且建立激勵機制鼓勵參與者傳播病。

損失規模：約370萬美元漏洞類型：勒索病事件經過及安全分析

·在過去的5個月內，GRIMSPIDER的黑客組織通過勒索病收到超過705個，相當于370萬美元的BTC。·勒索病的特點是，一旦電腦中了該病，所有的硬盤文件會被加密鎖定，直到受害者聯系黑客并支付比特幣。·在新年期間，美國的一些主流媒體中招，導致服務暫停，受害者包括“洛杉磯時報”、“圣迪戈聯合論壇報”、“華爾街日報”和“紐約時報”·此次攻擊與去年發生的勒索攻擊不同，黑客攻擊對象主要瞄準了企業計算機，并且會根據目標組織的價值和規模計算贖金的金額·根據CrowdStrike的報告，此次勒索攻擊最低贖金是1.7BTC，最高的是99BTC，目前已經有37個BTC地址收到了52筆交易，GRIMSPIDER黑客集團已經非法獲利705.80BTC，價值約為370萬美元。

總結

就目前來看，行業的安全事件還一直居高不下，這其中的原因很多，比如區塊鏈行業的技術標準和規范不統一，每家都有自己的基礎架構；開發者和用戶的安全意識還不夠，無論企業團隊還是開發團隊，都需要加強這方面的培養；最后，行業中安全機構與專業安全人才還太少，面對層出不窮的黑客攻擊，亟需更多安全人才的加入。其實，基于區塊鏈的技術特點，任何開發者都需要有很強的安全意識，第一條代碼開始，就要有意識到基礎可能會遇到的安全問題，讓項目減少為認知所付出的成本。

Tags：EOSCHAETC以太坊DEOS價格HyperonChainOnegetcoin以太坊最新價格行情

中幣