區塊鏈:6月不平靜 發生較典型安全事件超19起

據成都鏈安『安全態勢感知系統』（Beosin-Eagle Eye）數據監測顯示：在過去的6月中，區塊鏈安全形勢依然嚴峻，整個區塊鏈生態共發生超19起較典型的安全事件。其中，勒索軟件/挖礦木馬方面，所發生的安全事件較上月而言呈上漲趨勢，需引起重視。

交易所方面 共發生『2』起較典型的安全事件

01

日本加密交易所Bitbank域名注冊服務遭非法訪問，但并未對用戶的信息和資產造成影響。

02

Balancer上兩個流動性池遭閃電貸攻擊，遭遇損失的是STA和STONK兩個代幣池，目前（6月29日）這兩個代幣池的流動性已枯竭，損失達50萬美元。

加密交易所Bithumb將從6月28日起免除比特幣交易手續費:6月27日消息，韓國加密貨幣交易所Bithumb將從6月28日起免除BTC市場的交易手續費，直至另行通知。[2023/6/27 22:02:19]

詐騙跑路/加密騙局方面 共發生『2』起較典型安全事件

6月11日，有用戶爆料稱，非小號排名TOP129的百慕大交易所涉嫌大量侵吞用戶資金，疑似已攜款跑路。經查證，因大量用戶投訴，非小號官方已將百慕大交易所下架，且該交易所APP/PC端均無法登錄。

安大略證券交易委員會（Ontario SEC/OSC）在對加拿大QuadrigaCX交易所2019年破產的事后分析報告中，將其稱為『龐氏騙局』。QuadrigaCX一度是加拿大最大的交易所，直到其創始人去世，暴露出2.15億美元的財務漏洞；但Cotten在該平臺上偽造的交易量高達1.15億美元。

LBank藍貝殼于6月19日21:00上線TOKAU，開放USDT交易:據官方公告，6月19日21:00，LBank藍貝殼上線TOKAU，開放USDT交易，于6月9日18:00開啟充值，6月21日14:00開啟提現。資料顯示,TOKAU是一個NFT網絡，將追隨者與他們的偶像聯系起來，同時在他們之間建立一個永恒的關系。基于NFT，TOKAU與眾多明星、名人、各領域的偶像合作。他們的圖片、視頻、音頻、互動活動、商品和他們的一系列 \"價值 \"將被制作成NFT。它的目的是讓每個用戶都能通過TOKAU獲得他們喜歡的偶像的NFT。[2021/6/19 23:49:47]

勒索軟件/挖礦木馬方面 共發生『7』起較典型安全事件

英國肯特郡公司KCS遭勒索攻擊，黑客要求80萬英鎊贖金，否則將在暗網上泄露該公司的數據。KCS方面表示，該公司并沒有支付贖金，也沒有涉及納稅人的個人數據被盜。

APENFT(NFT)針對波場生態用戶6月份空投已發放完畢:據官方消息，APENFT(NFT)針對波場生態BTC、ETH、TUSD、TRX、BTT、JST用戶以及所有參與波場TRON DeFi挖礦用戶6月份空投已經發放完畢。快照于6月10日12:00 （UTC）完成，實際空投NFT數量為9,697,147,692,004.047727枚。

下一次空投將在7月10日12:00(UTC)進行。支持APENFT（NFT）空投的交易所和錢包包括Binance，Huobi，Lbank，Bitrue，BitZ，Poloniex，Gate，imToken等。[2021/6/14 23:34:25]

Reddit用戶Gandeloft于6月2日稱，在HodlHodl平臺上進行的P2P比特幣交易出現了問題。詐騙者利用SIM欺騙攻擊竊取比特幣，雖然用戶并沒有在Revolut上看到這筆錢，但騙子成功向受害者施壓，讓他從第三方托管中釋放了BTC。

基于0.12規范的更正式以太坊2.0多客戶端測試網有望在6月份發布:一個以太坊2.0開發人員的調用顯示，Schlesi 測試網非常成功，有望在6月份發布一個基于0.12規范的更正式的多客戶端測試網。現在，以太坊2.0的開發幾乎完全是為了修復bug，團隊試圖將所有現有的客戶端同步到區塊鏈的一個版本中。5月14日舉行的以太坊2.0實現者調用的后續報告顯示，大部分工作致力于修復代碼錯誤和改進檢測方法。對于后者，Sigma Prime的開發人員Mehdi Zerouali報告了在設計“模糊”技術方面的重大進展，這種技術會向程序提供虛假數據，以找出程序的漏洞。Sigma Prime分析已經幫助發現了以太坊2.0客戶端軟件和它們所依賴的庫中的一些低級錯誤。具體來說，分析人員在Teku客戶端中發現了一個無限循環錯誤，在Nimbus中發現了一個內存分割錯誤。

由于客戶端負責保存和驗證區塊鏈，因此它們之間的完全同步是非常重要的。對于以太坊2.0，有7個獨立的客戶機正在開發中。他們中的大多數人正在為Schlesi測試網進行優化，Schlesi測試網是第一個模擬主網環境的多客戶端以太坊2.0測試網。Schlesi 測試網計劃的負責人Afri Schoedon解釋說，該網絡有一個艱難的開始。bug阻止了第一次啟動，一旦修復，由于客戶端經常崩潰，事務最終結果“很糟糕”。 但是Schoedon贊揚了客戶端開發人員在修復這些問題時的響應能力，這使得網絡得以穩定。Schoedon補充道:“我將謹慎地將2020年6月作為發布日期。”不過他也指出，這在很大程度上取決于0.12客戶端的發布。（Cointelegraph）[2020/5/15]

03

EOS宣布在6月1日EOS主網上線之前空投代幣:日前，EOS發布公告稱，為了更早的促進社區發展和用戶參與，尤其是想要讓Everipedia的持幣人通過投票表決的方式參與到Everipedia網絡基礎規則的建設和確立當中來，將在6月1日EOS主網上線之前空投代幣并會在近幾周內發布更多空投細節。空投的代幣將是ERC20代幣，需要持幣人在ETH網絡快照前（具體日期稍后公布）將代幣從交易所中提到個人錢包，參與了EOS眾籌的持幣人，也需將所有的EOS代幣提取出到自己的個人錢包。[2018/2/3]

勒索軟件NetWalker攻擊三所美國大學，并竊取了這些學校的敏感數據，包括學生姓名、社會安全號碼和財務信息。NetWalker威脅這些學校支付比特幣贖金，若不支付贖金，將在一周內泄露這些數據。

04

英國網絡安全公司Sophos最新報告指出，Kingminer僵尸網絡背后的黑客于6月8日至12日期間攻擊微軟的SQL server數據庫，并安裝了加密礦機程序XMRig，以挖掘門羅幣（XMR）。

05

澳大利亞飲料巨頭Lion在不到一周內遭遇了兩次勒索軟件的襲擊，據稱Lion被勒索軟件襲擊破壞了其IT基礎設施。勒索軟件組織REvil最初要求以門羅幣支付80萬美元的贖金；如果Lion未能在6月19日之前匯出這筆款項，該組織將把贖金翻倍至160萬美元。

06

黑客利用惡意Docker鏡像隱藏加密貨幣挖礦代碼，以開采門羅幣。

07

安全公司Unit 42的研究人員發現一種新的惡意軟件『Lucifer』，該軟件是某種舊的加密貨幣勒索軟件的變種。新的變體可用于惡意加密貨幣挖礦以及進行DDoS攻擊。

Beosin評論：

勒索軟件與挖礦木馬方面，一直以來都屬于容易被企業和用戶忽視的一個痛點。作為企業和用戶，應當在日常工作及生活中提升安全意識，對于未知鏈接和來源不明的郵件或軟件，需持謹慎態度，以減少此類事件的發生。

暗網方面 共發生『4』起較典型安全事件

安徽一男子利用比特幣于暗網出售公民身份信息，被判處侵犯公民個人信息罪，獲刑三年，并處罰金三萬元。其在暗網上出售公民手持身份證照片等個人信息，累計數量達20萬余條。

黑客組織REvil已在暗網上發起了其從Fraser Wheeler&Courtney和Vierra Magen Marcus兩家美國律師事務盜取的敏感數據的拍賣信息。拍賣的信息包括客戶信息、公司內部文件、電子信函、專利協議、商業計劃和項目，以及尚未申請專利的新技術。

英國萊斯特刑事法院6月8日下令從一名英國人手中沒收180多萬英鎊（約合229萬美元），此人在自家閣樓上經營著一個價值數十億英鎊的加密帝國，并在暗網上利用BTC進行非法交易。

6月26日，俄羅斯黑客Aleksei Burkov被美國法院判處9年監禁。Aleksei Burkov被指控經營一家名為『Cardplanet』的暗網，該網站售有多國公民的信用卡信息。

其他方面 共發生『4』起較典型安全事件

6月2日，BTC幣價高漲時，黑客轉移了Bitfinex 2016年失竊的80萬美元BTC。

黑客克隆加密消息網站Privnote，通過釣魚誘導用戶點擊虛假網站。假網站并沒有加密消息，但是可以讀取和修改用戶發送的所有消息來達到竊取比特幣的目的。

去中心化交易所協議Bancor被曝出現嚴重漏洞，此后Bancor官方和多位白帽黑客利用該漏洞，將用戶的資金轉移到了新的地址，截止到6月18日涉及到的資金已超過50萬美元。

朝鮮黑客組織Lazarus或將對多國發起釣魚網站攻擊，其組織曾盜竊5.17億美元的加密貨幣。Cyfirma預測，這次襲擊或將于6月19日進行，為期兩天，不僅會影響到各國公民，還會影響到中小企業甚至大型企業。

鑒于當前區塊鏈安全領域的新形勢，『成都鏈安』在此總結：

總的來看，6月區塊鏈安全事件較5月有所增加，整體安全事件發生數量處于『中等』水平，危害程度評級為『中級』。由此可見，區塊鏈安全形勢依然嚴峻，需要重點關注。其中，勒索軟件/挖礦木馬方面與暗網方面，安全事件發生數量明顯增加，不容忽視。

因此，成都鏈安建議用戶在選擇交易所時，一定要擦亮眼睛，不要盲目輕信所謂的『大公司』，對資金進行操作時需要保持謹慎，以保護自己的資金安全。

鑒于本月勒索軟件/挖礦木馬方面所發生的安全事件的明顯增加，成都鏈安在此特別提醒企業和用戶在日常工作中勢必需加強安全防護，不要掉以輕心；增強員工的安全意識，不要輕信或下載來源不明的鏈接或文件，在進行敏感操作時應仔細核實。如果已經被勒索，一定要尋求專業的安全公司的幫助。

Tags：NFTEOSSCH區塊鏈NFTshootoutEOSKINGDOMThingschain區塊鏈技術是什么

FTX