區塊鏈:區塊鏈安全月報 | 11月共發生安全事件16起，損失近5,600萬美元

來源：PeckShield

DApp?生態

11月份共發生5起DApp安全事件，其中EOS生態發生3起，ETH和TRON生態各發生1起。

1）EOSDApp

EOS生態發生的3起安全事件都跟EIDOS挖礦有關，具體而言，受EIDOS挖礦熱潮的影響，EOSIO主網的CPU資源消耗進入了高度飽和狀態，普通用戶根本無法正常使用網絡。

一些黑客也開始嘗試從DApp中偷取CPU資源進行挖礦。

11月06日，BigGame成為了首個被攻擊的DApp，它是一款為玩家代付CPU資源的DApp，黑客劫持了用戶和BigGame間的交易信息，在轉賬通知中嵌入了非法操作，故而成功竊取BigGame代付給用戶的免費CPU資源，直到它的CPU資源被耗盡為止。

英格蘭銀行副行長：使用區塊鏈技術來實現所有金融市場的快速交易和結算并不可取:金色財經報道，英格蘭銀行副行長Jon Cunliffe在金融業機構AFME舉行的一次會議上表示，考慮到所帶來的問題，使用作為加密資產基礎的區塊鏈技術來實現所有金融市場的快速交易和結算并不可取。重要的是要確保交易和結算創新在監管機構眼中與當前系統一樣強大。

他補充說，在交易執行的那一刻，手上的現金和證券是即時結算的必要條件。目前還不清楚基于區塊鏈的平臺和現有技術將如何共同運作。?根本沒有時間去識別或糾正錯誤，然后再采取行動。簡而言之，我們可能不希望在所有市場上都有完全即時的交易和結算。[2022/9/28 5:59:26]

11月07日凌晨3時，另一款DApp游戲BetHash也遭到了同樣的攻擊。對于多數類游戲，玩家投注完，都會接收到DApp的游戲通知，此時，黑客就可以控制惡意程序劫持該通知嵌入內聯操作，進而實施攻擊行為。不僅BetHash，一些其他的類游戲包括?EOSBet、EOSMMM，Trust-Dice，WinPlay?等等也被相繼攻擊了。

四川高校本科專業有增有撤 區塊鏈工程專業在川設立:3月3日，教育部官網公布了2019年度普通高等學校本科專業備案和審批結果，各高校新增備案專業1672個、審批專業181個（含130個國家控制布點專業和51個目錄外新專業），調整學位授予門類或修業年限專業47個，撤銷專業367個。

37所在川高校新增備案本科專業85個，6所在川高校新增審批本科專業7個。同時，撤銷了6所在川高校15個本科專業。其中，成都信息工程大學獲批設置區塊鏈工程本科專業，將與多方共建區塊鏈專業實驗室和協同育人基地。（四川日報）[2020/3/11]

問題貌似愈演愈烈，11月11日凌晨3時，攻擊開始延伸至EOSIO系統的bidname?短賬號競拍上，甚至可以無限制的使用EOS系統的CPU資源。如果你想競拍一個短賬號，例如：baaa，你開始從0.0001個EOS起競拍，當某人出價高出了10%的話，你的出價就會被返還。黑客在EOSIO系統返還的過程中劫持轉賬通知實施攻擊。由于EOSIO系統擁有無限量的CPU資源，黑客就可以持續通過攻擊獲得CPU資源。

聲音 | 啟迪區塊鏈集團總裁：更愿意把區塊鏈看成是下一代互聯網的底層核心技術:金色財經報道，啟迪區塊鏈集團總裁石東偉表示，區塊鏈是一個非常有趣的新興技術，我更愿意把它看成是下一代互聯網的底層核心技術，未來它將在實體經濟、社會治理、商業貿易、金融等方面發揮巨大作用。經過2019年的醞釀，區塊鏈的未來充滿希望。2020年，中國區塊鏈產業體系建設會進一步加強，行業與技術標準將逐漸形成，越來越多的機構將更加理性地看待區塊鏈技術，積極發掘更多適用于區塊鏈的實際應用場景。站在這樣一個新風口，樂觀展望的同時需要保持創新的思維和務實的行動。[2020/1/22]

據DAppTotal數據顯示，近7天EOSCPU擁堵指數都為100%。

沃爾頓區塊鏈研究所將與韓國標準協會合作研發區塊鏈項目:據bitcoinist消息，沃爾頓區塊鏈研究所（Waltonchain）與韓國標準協會(KSA)于6月11日簽署合作協議，以研究區塊鏈實用領域的相關技術。韓國標準協會(Korea Standards Association)董事總經理林鉉洙(Lim Hyeon Cheol)表示，如果他們成功的話，可能會給區塊鏈行業帶來好處和進步。[2018/6/18]

2）ETHDApp

ETH生態發生的1起安全事件跟DeFi市場AugurDApp有關。具體而言：Augur是構建于以太坊網絡上的預測市場協議，鏈下Oracle會爬取多處的信息再提交到鏈上。惡意攻擊者通過在Twitter等社交媒體故意發布虛假信息，從而影響Oracle數據源，操縱預測結果。

3）TRONDApp

TRON生態發生的1起安全事件是常見的交易回滾攻擊。PeckShield安全人員發現TGiN78地址開頭的黑客通過自主創建的合約對波場TR66FA地址開頭的合約發起交易回滾攻擊，共計獲利18,808TRX。

PeckShield點評：以上DApp生態安全事件基本都是由合約玩家導致的，DApp在接收玩家代幣或者發送通知之前應檢查目標賬戶是否為智能合約。

交易所安全

11月份共發生3起交易所安全事件，其中兩起和黑客攻擊有關。

1）韓國交易所Upbit34.2萬枚ETH被盜，總價值約5,000萬美元；

2）越南交易所VinDAX被黑客入侵，損失了至少500萬美元的加密貨幣；

3）BitMEX交易所發生大量郵箱地址泄露事件。

北京時間11月27日12時04分，PeckShield旗下數字資產可視化資產追蹤平臺CoinHolmes監控到Upbit交易所地址向未知錢包和Bittrex交易所連續進行大額轉賬，其中有一筆涉及34.2萬枚ETH的交易較為異常，可能遭到了黑客攻擊。之后Upbit交易所發出公告，承認自己的以太坊熱錢包被盜了34.2萬個ETH，當他們發現被盜后，很快將熱錢包中其他資產轉移到了冷錢包。

11月28日15點08分，CoinHolmes監控到韓國Upbit交易所被盜ETH資產首次出現異動，0xa09871ae開頭的黑客地址向多個地址轉移盜取的ETH，同時發送了極少量ETH至Huobi，幣安等交易所地址。

一圖概覽Upbit交易所被盜資?流向圖：

PeckShield點評：今年以來，黑客已經盜取了多家交易所價值數億美金的代幣，例如此前發生的Cryptopia、幣安、DragonEx、Bitrue等交易所被盜事件。PeckShield建議交易所使用更加安全的防范系統，保管好自己的私鑰，采用多簽等機制防范。

勒索相關

11月份共發生5起勒索有關的安全事件，其中出現了幾種新型的勒索軟件，例如NextCry勒索軟件會利用PHP-fpm遠程代碼執行漏洞針對Linux服務器發起攻擊嘗試入侵。

PeckShield點評：對于一些可疑的網站和郵件，用戶需要謹慎訪問，同時要及時安裝操作系統發布的漏洞補丁。即使電腦已受到勒索軟件感染，也要向專業的安全人員尋求幫助，而不是給勒索軟件付費。

釣魚攻擊等其他安全事件

除上述之外，11月份還有一些安全事件同樣值得警惕：

1）加密錢包GateHub的140萬個用戶賬戶信息被盜，包括密碼、密鑰和助記詞等；

2）門羅?CLI?二進制文件遭破壞，用戶下載文件后需要及時檢查文件完整性。

PeckShield點評：因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮，釣魚攻擊、詐騙等各類事件就是典型。在此提醒，用戶應謹慎保管各類私密信息，任何小的疏忽都可能造成不可挽回的損失。

Tags：區塊鏈DAPPDAPAPP區塊鏈專業考研方向PlayDappdapp幣上架交易所區塊鏈dapp開發白富美

以太坊交易所