區塊鏈:區塊鏈安全盤點及分析（18年11月）_STE

前不久，獵豹區塊鏈中心盤點了9、10月的區塊鏈安全事件，在9月和10月，黑客的攻擊主要集中在EOS和交易所。而在11月的安全事件中，這兩類攻擊暫時消停，但2個月未見的51％攻擊卻再現江湖；鋼鐵俠馬斯克“被”卷入了Twitter詐騙案；另外，我們還發現了潛在的代碼共享的漏洞危機......2018年11月13日：Twitter詐騙

損失規模：32,700美元

事件經過及安全分析

11月12日，黑客入侵了電影制作公司、國會議員甚至是哥倫比亞交通部等經過認證的“藍V”推特賬號，通過修改名字、頭像并上傳新內容，假裝是特斯拉CEO馬斯克本人。黑客在推文中以馬斯克的口吻稱，自己將離任特斯拉董事長職務，并送出10000枚比特幣(近6000多萬美元)回報大家。而參與活動的前提，則是需要先轉小額比特幣(0.1-3個)到制定的地址來確認賬戶信息。他們甚至找了托給推文評論：“我剛轉了2.7個比特幣，現在收到了54個!”、“我發了0.50比特幣并拿回了5個”、“+25BTC，謝謝你”在推文刪除之前，點贊和轉發都已上萬，錢包地址則已經收到超過32,700美元價值的比特幣。在同一天，GoogleGSuit也發出了類似的消息，要求用戶在0.1到2之間發送BTC，并承諾能獲得10倍的BTC回報，幸運的是，沒有人將BTC發送到那個地址。安全小豹的想法：

山西省社科院王大賢：需大力提高監管部門運用區塊鏈等的監測能力:山西省社科院特約研究員、高級經濟師王大賢發文稱，我國證券市場需深化跨境資本流動監測預警，防范跨市場的風險傳染。結合證券市場交易電子化、信息化程度高的實際情況，大力提高監管部門運用大數據、云計算、人工智能、機器學習、區塊鏈等金融科技的監測能力。（第一財經）[2020/4/27]

這種方式并不能成為一種攻擊手段，我更愿意把它稱之為騙局，黑客充分利用和放大了人性的貪婪，浮躁和急功近利的丑陋真相在這種簡單的誘惑面前展現的一覽無遺。上個月是美國的安全月，我認為每個入行區塊鏈的人都應該好好的學習一下基本的網絡詐騙知識。但更重要的事，是在浮躁的幣圈里保持清醒的頭腦，不要再誘惑面前失去基本的智商。2018年11月13日：AurumCoin遭受51％攻擊

湖南省人民政府：加快區塊鏈等應用，建設一批智慧農業示范基地:3月27日，湖南日報刊發中共湖南省委及湖南省人民政府“關于抓好全面小康決勝年‘三農’領域重點工作的意見”。其中第25項為，大力推進設施農業發展。建設農業農村大數據中心，加快物聯網、大數據、區塊鏈、人工智能、高速寬帶網絡、智慧氣象等現代信息技術的應用，建設一批智慧農業示范基地。[2020/3/28]

事件背景：

AurumCoin是以黃金為價值支撐的加密貨幣，每個代幣都與純24K價值的黃金掛鉤。AurumCoin聲稱，每發行一個代幣，就會在全球安全保險庫中存0.75克的黃金。自2014年以來，它一直在運行自己的區塊鏈，其中AU是可開采的，硬幣上限為300,000。損失規模：550,000美元

事件經過及安全分析

動態 | NBA薩拉門托國王隊推出基于區塊鏈的實時拍賣平臺:1月15日，NBA薩拉門托國王隊與區塊鏈開發公司ConsenSys?發布了基于區塊鏈的實時拍賣平臺。薩拉門托國王隊首席技術官Ryan Montoya說，我們已經將區塊鏈技術整合到我們跨多個平臺的業務中，現在我們的粉絲將有機會使用基于區塊鏈的創新解決方案實時安全地購買游戲產品。（CoinTelegraph）[2020/1/16]

11月13日，AurumCoin在新西蘭數字貨幣交易所Cryptopia遭到51％攻擊，損失的15752.26AUAurumCoin官方發推表示：“我們并非責怪cryptopia，但是事實是，幣確實是在cryptopia的錢包里丟的。”AurumCoin的態度是，堅持認為Cryptopia交易所被黑導致自己遭受51%攻擊。然而，筆者認為可能性不大。AurumCoin是一個擁有少量礦工的公鏈，因此平均哈希率較低，租用礦機并執行51％的攻擊是很容易的。安全小豹的看法：

聲音 | 國際清算銀行經濟學家：嵌入式監管可降低區塊鏈合規成本:國際清算銀行首席經濟學家Raphael Auer在周一發表的一份工作論文中，提出了一種新的“低成本”區塊鏈合規方法。其表示，這種被稱為“嵌入式監管”的方法不同于“suptech”和“regtech”這兩大監管技術，Auer稱，當前的合規流程包括在多個數據級別上編制報告，然后需要收集、匯總數據并將其提交給各個內部利益相關者和主管，其補充表示“嵌入式監管可緩解數據可用性、數據收集、驗證成本以及隱私之間的沖突。”（The Block）[2019/9/16]

使用POW共識算法的公鏈，如果參與挖礦的算力不足，遭到51％的攻擊的風險非常大的。在整體市場低迷的行情下，甚至有人坦言，曾經租用礦機執行過51%攻擊。所以，在此提醒廣大用戶，在選擇和使用這類加密貨幣時，應該意識到這些風險。各家公鏈51%攻擊的成本2018年10月29日——MapleChange交易所被盜

Lisk重新推出區塊鏈項目 以提高與加密貨幣管理相關的用戶的“可訪問性”:Lisk區塊鏈網絡背后的團隊周二將在柏林舉辦一場重新啟動的活動，為該項目提供一個新的外觀和長期計劃。Lisk的聯合創始人兼首席執行官Max Kordek:“品牌重塑通常只涉及到設計的改變，但我們在這個過程中，決定我們需要改變更多。”在晚上7:30的活動中，這家初創公司將推出一個新的前端設計、錢包和儀表盤。Kordek說，“這個想法是為了提高那些不熟悉使用與加密貨幣管理相關的各種工具的用戶的可訪問性，以及那些了解他們解決技術問題的人的可訪問性。現在我們更多的是幫助人們，讓他們能夠接近他們，因為區塊鏈技術是如此神奇。”[2018/2/21]

事件背景

MapleChange是加拿大交易量非常小的交易所。損失規模：600萬美元

事件經過及安全分析

10月29日，媒體宣稱，MapleChange被黑客攻擊，致使919個比特幣被盜。10月30日以來，MapleChange關閉社交媒體賬戶和平臺，導致用戶沒有辦法提幣接著，MapleChange創始人也失去下落，但是后來，社區成員找到了CEO的家庭地址，并把他送入監獄。此后MapleChange交易所官方表示，并沒有919個比特幣被盜，被盜的比特幣只有8個而已。知情人士稱，此次攻擊是由于開發人員將關鍵代碼行被注釋掉引發的安全小豹的看法：

雖然規模較大的數字貨幣交易所也有被攻擊的風險，但是相對于小規模的交易來說，還是比較安全的。道理也很簡單，只有當交易所有足夠大的交易量，才能收到足夠多的手續費，有了足夠多的手續費，才有可能在安全建設和防護上投入更多。希望大家在進行交易所時，盡量選擇規模較大的頭部交易所交易，不要因為貪圖小型交易所的小恩小惠，而造成不必要的損失。2018年10月29日——OysterProtocol

Oyster協議是IOTADLT之上的數據存儲解決方案，在以太坊區塊鏈ERC20的token為：Oyster。損失規模：$30萬美元

事件經過及安全分析

10月29日下午，有關OysterPearltoken的大量轉賬和大規模拋售的報道在社交媒體渠道中發酵。原來，在不到8小時的時間里，PRL交易量從156,351美元飆升至1,577,860美元——漲幅超過900％。但是在同一時間，PRL的價格卻下跌超過63％——從0.22美元降至0.08美元。Oyster官員發布聲明稱，Oyster智能合約已經通過了3次不同的審核，沒有發現任何漏洞但在第二次聲明中，他們卻說，“某人”接管了合約的所有權，并成功地鑄造了新的300萬PRL代幣經證實，這個“某人”實際上是Oyster項目的前聯合創始人和架構師Oyster首席執行官表示：這簡直太糟糕了，項目創始團隊從最初招聘，到后來讓每個人都參與其中，都從沒懷疑他們會破壞自己一手創造的項目。安全小豹的看法：

俗話說的好，“日防夜防，家賊難防”，對代碼最熟悉的人莫過于開發人員，反過來就是最容易攻擊。小豹認為，區塊鏈項目的創始人在招募早期的核心骨干時，應該在自己最信任的名單開始，而不是通過社會招聘或朋友介紹等渠道。同樣，在招募員工時，應該把道德品質考慮進去。2018年10月31日——以太坊的潛在威脅

背景

10月31日，馬里蘭大學和東北大學的分析師發布報告稱，由于ETH的智能合約缺乏多樣性，以太坊的整個生態系統將存在很大的風險。安全分析

10月31日，馬里蘭大學和東北大學的分析師發布對以太坊的代碼分析報告，并得到了美國國家科學基金會的支持。研究分析了以ETH的前500萬個區塊的智能合約的字節碼。研究發現，目前，以太坊智能合約是其他公鏈合約總和的三倍。但是，超過60%的智能合約從未與用戶有過互動，只有不到10％的的智能合約是獨一無二的。安全小豹的看法：

小豹認為，“開源”是一把雙刃劍，它是區塊鏈蓬勃發展的助推劑、降低了行業的準入門檻，但不得不說，它也或多或少的阻礙了創新。小豹建議廣大的區塊鏈項目，在組建技術團隊時，一定要配置至少一位安全專家，可以避免很多未來的風險。

Tags：區塊鏈TEROINSTEaia幣區塊鏈Pocketful of QuartersBitcoin PlusStellar Invictus

歐易交易所app下載