區塊鏈:區塊鏈安全盤點及分析（18年11月）

前不久，獵豹區塊鏈中心盤點了9、10月的區塊鏈安全事件，在9月和10月，黑客的攻擊主要集中在EOS和交易所。而在11月的安全事件中，這兩類攻擊暫時消停，但2個月未見的51％攻擊卻再現江湖；鋼鐵俠馬斯克“被”卷入了Twitter詐騙案；另外，我們還發現了潛在的代碼共享的漏洞危機......2018年11月13日：Twitter詐騙

損失規模：32,700美元

事件經過及安全分析

11月12日，黑客入侵了電影制作公司、國會議員甚至是哥倫比亞交通部等經過認證的“藍V”推特賬號，通過修改名字、頭像并上傳新內容，假裝是特斯拉CEO馬斯克本人。黑客在推文中以馬斯克的口吻稱，自己將離任特斯拉董事長職務，并送出10000枚比特幣(近6000多萬美元)回報大家。而參與活動的前提，則是需要先轉小額比特幣(0.1-3個)到制定的地址來確認賬戶信息。他們甚至找了托給推文評論：“我剛轉了2.7個比特幣，現在收到了54個!”、“我發了0.50比特幣并拿回了5個”、“+25BTC，謝謝你”在推文刪除之前，點贊和轉發都已上萬，錢包地址則已經收到超過32,700美元價值的比特幣。在同一天，GoogleGSuit也發出了類似的消息，要求用戶在0.1到2之間發送BTC，并承諾能獲得10倍的BTC回報，幸運的是，沒有人將BTC發送到那個地址。安全小豹的想法：

國網新疆電力：將基于區塊鏈交易共享平臺推動數據資產增值變現:國網新疆電力區塊鏈建設團隊已完成基于區塊鏈技術的數據共享平臺開發任務及部署實施工作，標志著區塊鏈試點建設進入嶄新階段，該團隊基于國家電網公司區塊鏈基礎公共服務平臺，將區塊鏈、同態加密、可信計算等技術結合，重點開展基于電網應用系統數據進出數據中臺、電網信息對外輸出等場景，針對敏感數據在共享過程中，可在無需解密隱私數據的情況下直接用密文進行數據處理和安全計算，實現敏感數據的授信訪問、安全共享、合并計算，并通過堆棧從鏈提供存證取證等服務。國網新疆電力表示，下一步將挖掘區塊鏈在公司生產、經營、服務等業務創新中的應用價值，激活數據資產價值，并經由基于區塊鏈的交易共享平臺，推動數據資產的增值變現。（人民網）[2020/11/19 21:19:30]

這種方式并不能成為一種攻擊手段，我更愿意把它稱之為騙局，黑客充分利用和放大了人性的貪婪，浮躁和急功近利的丑陋真相在這種簡單的誘惑面前展現的一覽無遺。上個月是美國的安全月，我認為每個入行區塊鏈的人都應該好好的學習一下基本的網絡詐騙知識。但更重要的事，是在浮躁的幣圈里保持清醒的頭腦，不要再誘惑面前失去基本的智商。2018年11月13日：AurumCoin遭受51％攻擊

動態 | 國家電網：研究建立適應區塊鏈技術的安全保障機制:12月15日，記者自國家電網獲悉，國家電網有限公司黨組理論學習中心組（擴大）開展區塊鏈技術專題學習，進一步探索推進區塊鏈技術在能源電力行業的應用，加快“三型兩網、世界一流”戰略實施。國家電網稱，推進區塊鏈技術在能源電力領域的應用，對加快泛在電力物聯網建設、促進國家電網數字化轉型，具有重要的戰略意義。公司將密切跟蹤區塊鏈技術的發展趨勢，強化區塊鏈基礎研究，開展底層技術創新，確保關鍵核心技術自主可控；堅持需求導向和應用統籌，積極推進區塊鏈技術與泛在電力物聯網的融合發展，在優質服務、安全生產、企業運營、電力金融和能源交易等領域拓展應用；強化風險意識、底線思維，研究建立適應區塊鏈技術的安全保障機制，確保電網安全、信息安全；推進區塊鏈標準體系建設，加快構建區塊鏈產業生態，帶動產業鏈上下游協同發展，為公司“三型兩網”世界一流能源互聯網企業建設注入新動能。（新京報）[2019/12/16]

事件背景：

動態 | 美國拳王邁克·泰森參與名為Fight to Fame的區塊鏈娛樂平臺項目:據Cointelegraph消息，一家名為Fight to Fame的新公司將利用區塊鏈技術打造一個多方位的新平臺，旨在通過社交媒體、現場比賽和對賭等方式，幫助有抱負的拳擊手實現職業成功。據悉，美國拳王邁克·泰森（Mike Tyson）將擔任Fight to Fame體育競賽委員會的創始人和主席。 泰森表示：“作為一名經驗豐富的拳擊手，我想指導未來的幾代人，確保有一條通往職業成功和公平薪酬的道路。為他們搭建這個全球平臺是我的熱情所在。”[2019/8/13]

AurumCoin是以黃金為價值支撐的加密貨幣，每個代幣都與純24K價值的黃金掛鉤。AurumCoin聲稱，每發行一個代幣，就會在全球安全保險庫中存0.75克的黃金。自2014年以來，它一直在運行自己的區塊鏈，其中AU是可開采的，硬幣上限為300,000。損失規模：550,000美元

聲音 | 長沙市長：培育新動能 打造區塊鏈等七大應用場景:據長沙晚報網消息，長沙市市長胡忠雄在做政府工作報告時表示2019年工作重點包括，著力培育新動能、發展新經濟，突出數字經濟、智能經濟、綠色經濟、創意經濟、共享經濟“五大新經濟形態”，強化新一代人工智能、新能源、功能材料、信息終端、生物基因、視頻等“六大技術”攻關，打造智能網聯汽車、工業互聯網、智慧城市、智慧醫療、移動支付、分享經濟、區塊鏈“七大應用場景”，爭創國家級網絡安全產業園區。[2019/1/16]

事件經過及安全分析

11月13日，AurumCoin在新西蘭數字貨幣交易所Cryptopia遭到51％攻擊，損失的15752.26AUAurumCoin官方發推表示：“我們并非責怪cryptopia，但是事實是，幣確實是在cryptopia的錢包里丟的。”AurumCoin的態度是，堅持認為Cryptopia交易所被黑導致自己遭受51%攻擊。然而，筆者認為可能性不大。AurumCoin是一個擁有少量礦工的公鏈，因此平均哈希率較低，租用礦機并執行51％的攻擊是很容易的。安全小豹的看法：

聲音 | 上海市政府副秘書長：對于區塊鏈等新生的金融科技應持更開放態度:據財新網報道，12月20日，上海市政府副秘書長陳鳴波在上海自貿試驗區第九批金融創新案例發布會上表示，創新需要讓科技、產業、金融三塊更好地結合起來。創新越到后面越難，一方面在于規章制度的天花板。另一方面，所謂的服務實體經濟、科技金融，它的創新是綜合性的，所以資源有沒有有效地連接起來很關鍵。上海到2020年要基本建成國際金融中心壓力不小，目前中資金融機構在走出去、國際化上做得還不夠，對于新生的金融科技如區塊鏈等應持更開放態度，對于目前存在的一些問題如P2P平臺爆雷等則不應“一刀切”。[2018/12/21]

使用POW共識算法的公鏈，如果參與挖礦的算力不足，遭到51％的攻擊的風險非常大的。在整體市場低迷的行情下，甚至有人坦言，曾經租用礦機執行過51%攻擊。所以，在此提醒廣大用戶，在選擇和使用這類加密貨幣時，應該意識到這些風險。各家公鏈51%攻擊的成本2018年10月29日——MapleChange交易所被盜

事件背景

MapleChange是加拿大交易量非常小的交易所。損失規模：600萬美元

事件經過及安全分析

10月29日，媒體宣稱，MapleChange被黑客攻擊，致使919個比特幣被盜。10月30日以來，MapleChange關閉社交媒體賬戶和平臺，導致用戶沒有辦法提幣接著，MapleChange創始人也失去下落，但是后來，社區成員找到了CEO的家庭地址，并把他送入監獄。此后MapleChange交易所官方表示，并沒有919個比特幣被盜，被盜的比特幣只有8個而已。知情人士稱，此次攻擊是由于開發人員將關鍵代碼行被注釋掉引發的安全小豹的看法：

雖然規模較大的數字貨幣交易所也有被攻擊的風險，但是相對于小規模的交易來說，還是比較安全的。道理也很簡單，只有當交易所有足夠大的交易量，才能收到足夠多的手續費，有了足夠多的手續費，才有可能在安全建設和防護上投入更多。希望大家在進行交易所時，盡量選擇規模較大的頭部交易所交易，不要因為貪圖小型交易所的小恩小惠，而造成不必要的損失。2018年10月29日——OysterProtocol

Oyster協議是IOTADLT之上的數據存儲解決方案，在以太坊區塊鏈ERC20的token為：Oyster。損失規模：$30萬美元

事件經過及安全分析

10月29日下午，有關OysterPearltoken的大量轉賬和大規模拋售的報道在社交媒體渠道中發酵。原來，在不到8小時的時間里，PRL交易量從156,351美元飆升至1,577,860美元——漲幅超過900％。但是在同一時間，PRL的價格卻下跌超過63％——從0.22美元降至0.08美元。Oyster官員發布聲明稱，Oyster智能合約已經通過了3次不同的審核，沒有發現任何漏洞但在第二次聲明中，他們卻說，“某人”接管了合約的所有權，并成功地鑄造了新的300萬PRL代幣經證實，這個“某人”實際上是Oyster項目的前聯合創始人和架構師Oyster首席執行官表示：這簡直太糟糕了，項目創始團隊從最初招聘，到后來讓每個人都參與其中，都從沒懷疑他們會破壞自己一手創造的項目。安全小豹的看法：

俗話說的好，“日防夜防，家賊難防”，對代碼最熟悉的人莫過于開發人員，反過來就是最容易攻擊。小豹認為，區塊鏈項目的創始人在招募早期的核心骨干時，應該在自己最信任的名單開始，而不是通過社會招聘或朋友介紹等渠道。同樣，在招募員工時，應該把道德品質考慮進去。2018年10月31日——以太坊的潛在威脅

背景

10月31日，馬里蘭大學和東北大學的分析師發布報告稱，由于ETH的智能合約缺乏多樣性，以太坊的整個生態系統將存在很大的風險。安全分析

10月31日，馬里蘭大學和東北大學的分析師發布對以太坊的代碼分析報告，并得到了美國國家科學基金會的支持。研究分析了以ETH的前500萬個區塊的智能合約的字節碼。研究發現，目前，以太坊智能合約是其他公鏈合約總和的三倍。但是，超過60%的智能合約從未與用戶有過互動，只有不到10％的的智能合約是獨一無二的。安全小豹的看法：

小豹認為，“開源”是一把雙刃劍，它是區塊鏈蓬勃發展的助推劑、降低了行業的準入門檻，但不得不說，它也或多或少的阻礙了創新。小豹建議廣大的區塊鏈項目，在組建技術團隊時，一定要配置至少一位安全專家，可以避免很多未來的風險。

Tags：區塊鏈TER比特幣STE區塊鏈專業學什么課程Coinhunters比特幣最新價格美元走勢圖STEWIE價格

火必下載