WEB:區塊鏈安全大事件：2個月6起大型黑客攻擊，損失超過660萬美元_區塊鏈

編者按：本文來自白話區塊鏈，作者：獵豹區塊鏈安全，星球日報經授權發布。在區塊鏈行業，安全是最根本的問題。或許你聽過“一行代碼損失幾十億”、“干了一年被黑客一夜搞走”等言論。因為區塊鏈發展還處于早期，加上代碼一旦上鏈就不可篡改等特性，讓它成為了黑客攻擊的重災區。今天，我們對今年9、10兩個月區塊鏈行業發生的安全事件進行盤點，旨在幫助大家認識區塊鏈的安全問題。01利用漏洞贏頭獎

DEOSGames是一個運行在EOS區塊鏈之上的去中心"菠菜“類游戲。9月9日，一位名為“RunningSnail”的DEOSGames用戶進行了一次看起來相當成功的操作：累積下注價值1000美元的EOS，每次存入10個EOS，然后在30秒后贏得頭獎，反復操作了多次。1、損失規模：價值約24000美元的EOS。2、攻擊媒介：智能合約漏洞。3、事件經過及安全分析DEOSGames在剛剛創建不到一小時的時間里，就向EOS帳戶進行了24筆轉賬，而且，這些賬戶都是該合約在不到一天時間之內創建的。根據EOS的交易記錄，每次惡意賬戶存入10個EOS，就能收到價值20倍的合約金額。換句話說，黑客利用了該游戲的某個漏洞，每次都能夠贏得頭獎，此次攻擊的整體收益約為成本的20倍。DEOSGames官方在推文中發表看法，“這是一個很好的壓力測試，我們的項目在合約層面得到了顯著改善。”目前，尚不清楚黑客利用了DEOSGames合約中的哪個漏洞，或者EOS內核中是否存在其他漏洞。4、小結發生該攻擊事件之后，DEOSGames團隊的反應令人費解。他們沒有對社區聲明自己是如何監控黑客攻擊的，因為按照常識，一個簡單的監控腳本就可以檢測到這種異常現象。我們假設DEOSGames游戲有這樣的檢測工具，那么，此次攻擊的深層次原因就值得深究了，不排除團隊坐莊收割“小白投資者”的嫌疑。目前，此類“菠菜”游戲風險太高，建議廣大用戶理性投資，謹慎選擇。02EOS刷假幣事件

Gartner副總裁：Web3是建立在區塊鏈協議上的新技術堆棧:金色財經報道，Gartner副總裁Avivah Litan討論了最近發布的Gartner 2022年區塊鏈和Web3炒作周期，Avivah Litan表示，Web3是建立在區塊鏈協議上的新技術堆棧，支持去中心化Web應用程序的開發，并使用戶能夠控制自己的身份、內容和數據。這些技術包括隱私保護協議、去中心化治理和去中心化應用平臺。這些創新最終將支持分散式網絡，該網絡將與我們每天使用的當前 Web 2.0 集成。

Web3 支持新的商業和社交模式。例如，智能合約運行的應用程序消除了控制中心化實體的中介和管理開銷。包括加密貨幣在內的代幣為 Web3 的商業模式和經濟性提供動力，并內置于區塊鏈協議中。Web3 支持新的商機，例如以 NFT 形式對創作者擁有和管理的內容進行可編程性和貨幣化。?

元宇宙將需要 Web3 啟用的許多功能。例如，元界可以受益于 Web3 的標記化，以在純虛擬環境中存儲和交換價值。Metaverse 和 Web3 不會合并為一個實體，但它們是對未來互聯網的互補愿景。[2022/8/31 12:59:02]

Newdex是基于EOS區塊鏈的去中心化交易平臺，8月8日上線，號稱交易速度媲美中心化交易所，且不接觸用戶私鑰，導入錢包即交易，以此保障資產安全。但在上線一個多月后，就遭遇“EOS刷假幣事件”。通過這起事件，外界開始質疑Newdex是否是真正的去中心化交易所。1、損失規模：約58000美元。2、事件經過及安全分析EOS賬戶“oo1122334455”于2018年9月14日14:01:45，發行10億個假的EOS，并全額分配給“dapphub12345”賬戶。隨即由“dapphub12345”轉入“iambillgates”賬戶，“iambillgates”賬戶于14:21:37嘗試性地多次用1個假EOS掛單委托買入IPOS和ADD等代幣，并取得了成功。成功買入其他代幣后，“iambillgates”賬戶立刻將非法獲得的Token轉入“xx1234512345”與“x12345x12345”賬戶，最終由“xx1234512345”在Newdex中掛市價單賣出部分非法獲得的Token，共計賣得4028個真正的EOS。然后，發送到Bitfinex與其他加密貨幣進行交易。此次假EOS刷幣事件一共給Newdex用戶造成了11803個EOS的損失，Newdex團隊為此事件道歉，本著負責任的態度決定承擔此次全部損失，并且在第一時間修復相關問題并恢復正常運營。對Newdex基礎設施的進一步調查顯示，Newdex沒有使用智能合約來驗證用戶發送的Token。3、小結這起事件中，黑客用EOS原生貨幣來交易假的代幣，導致Newdex系統中EOS嚴重貶值。之所以黑客能夠得手，是因為Newdex沒有通過其智能合約驗證Token的真實性。他們在中央服務器上進行交易匹配，在處理交易時系統甚至沒有檢查存入的Token真實性。去中心化交易平臺具最基本的特點，是用戶自己掌握私鑰。既然是用戶自己掌握，也就只有用戶自己能動用錢包里的幣，不會因為交易平臺的漏洞而導致自己丟幣。所以，在這里建議大家在選擇交易平臺前，需要進行詳細的調查。03日本交易平臺被盜

賽迪劉權：“區塊鏈企業服務標準”要同時滿足四個不同維度的管理需求:9月3日，由中國區塊鏈生態聯盟、中國軟件行業協會指導，北京電子認證服務產業聯盟鏈信專業專委會、賽迪區塊鏈研究院聯合主辦的“區塊鏈安全標準編制專家研討會”成功召開。

研討會中，賽迪區塊鏈研究院劉權博士依據國家標準化管理委員會于2019年1月9日正式發布實施的《團體標準管理規定》，從區塊鏈系統設計、系統安全要求、區塊鏈企業應滿足的服務基本標準三個方向提出了具體完善建議。劉權博士強調“區塊鏈安全標準”要能夠為區塊鏈行業開發者、審計測評機構等提供指導性方向與操作規范，“區塊鏈企業服務標準”要同時滿足人員、運營流程、運行維護以及技術四個不同維度的管理需求。[2020/9/4]

2018年9月19日，總部位于大阪的TechBureauCorp旗下的Zaif交易所發生了比特幣、萌奈幣(MonaCoin)和比特幣現金被盜事件，被盜價值6000萬美元的數字貨幣。1、損失規模：6000萬美元。2、被盜取的數字貨幣：比特幣、萌奈幣(MonaCoin)和比特幣現金。3、事件經過及安全分析2018年9月14日之后，Zaif交易平臺關閉了用戶的存取款服務。根據Zaif的說法，關閉該服務的原因是在9月14日17:00至19:00之間，發現有人非法入侵了其熱錢包。經核實，該黑客的非法行為導致了價值5900美元的BTC、比特幣現金和萌奈幣被盜。Zaif在公告上沒有公布被攻擊的細節，它尋求了日本當局幫助調查此次被盜案。事實證明，在此攻擊行為發生前，日本金融廳分別于3月8日和6月22日，向Zaif發出過關于其內部管理系統和安全措施的預警。被盜事件發生后第一時間，日本金融廳向Zaif母公司TechBureau發出了今年的第三份業務改善令。但是Zaif交易所沒有對FSA的建議做出任何行動。根據扎伊夫對當局的透露，事件的起因居然是交易所一名員工的電腦被黑。11月22日，Zaif交易平臺把虛擬貨幣的相關業務轉移至FISCO集團，FISCO集團將接管Zaif并賠付用戶此次被盜的資金。需要強調的一點是，這起事件是加密貨幣歷史上損失最大的安全事件之一。4、小結根據種種跡象表面，該事件的起因很可能是Zaif員工的計算機被黑客成功利用釣魚網站的方式攻擊了。對于數字貨幣交易所來說，犯這種低級錯誤是非常不應該的。我們認為，該事件對廣大數字貨幣交易所敲響了警鐘，安全意識是數字貨幣交易所的根基，每家交易所都應在新員工入職工作之前，進行必要的網絡安全培訓。5、其他相似的攻擊事件2017年7月，在Bithumb上，黑客也使用了相同的方法，盜取了價值數百萬美元的加密貨幣，并且導致客戶數據被泄露。04黑客良心發現，返還被盜代幣

行情 | 美股區塊鏈概念股漲跌各異:今日美股收盤，美股區塊鏈概念股漲跌各異。柯達收跌0.85%，埃森哲收跌0.15%，Overstock.com收漲1.27%，Riot Blockchain收漲7.25%，Marathon Patent收漲12.75%，Square收跌3.28%。[2020/2/6]

SpankChain是基于以太坊公鏈的成人娛樂區塊鏈項目。團隊于10月9日在博客上表示，10月6日遭受到黑客攻擊，損失了165.38ETH(當時價值約3.8萬美元)，另有價值4000美元的BOOTY幣遭到凍結。1、損失規模：超過40000美元。2、攻擊方式：通過智能合約的重入漏洞。3、事件經過及安全分析此次黑客攻擊利用的是SpankChain智能合約中的重入漏洞，該漏洞類似于著名到TheDAO事件中的漏洞。技術團隊發現合約被黑客入侵是在攻擊發生后的24小時，SpankChain團隊第一時間關閉了自己的官網。10月12日，黑客竟然主動聯系了SpankChain的首席執行官，將165.38ETH退還給該團隊，另外黑客還幫助SpankChain恢復了因攻擊而被凍結的大約4000個BOOTY代幣。作為回報，SpankChain團隊給了該黑客一些獎勵。4、小結SpankChain區塊鏈社區對該事件的反應比較激烈，原因很可能是難以接受被黑客利用著名的重入漏洞進行攻擊。重入其實就是遞歸，就是對于一個函數的循環調用和對自身的循環調用。針對重入漏洞，最根本的解決方案還是在轉賬之前就把所有應該變更的狀態提前更新，而不是在轉賬之后再進行更新。其實在上鏈前，項目方只需投入很少的費用，對智能合約進行安全審計，就可以很好的避免這種事情。在區塊鏈里，沒有刪除和修改的概念，一旦合約部署到公鏈，就無法篡改。全球數以萬計的黑客可以慢慢地，一行一行地找上面的漏洞。對于區塊鏈行業來說，安全審計是必不可少的流程。目前，還不清楚黑客為何會歸還被盜資金，這對受害者來說可能是一種安慰，但這種事情不常有。希望這次事件過后，項目方、交易所都能夠警醒，認識到安全審計的重要性。5、其他相似的攻擊事件DAOHack：以太坊區塊鏈歷史上最臭名昭著的事件之一，引起以太坊區塊鏈的硬分叉，分裂成以太坊和以太坊的經典的事件。05遭遇兩次攻擊的EOSBet

聲音 | 金山云朱江：產業園區是區塊鏈應用落地和發揮最大價值的最小場所:9月20日，在2019BSASF數字技術與區塊鏈場景化應用高峰論壇上，金山云區塊鏈部門總經理朱江表示，產業園區作為集合多家企業的載體，大到支撐國家一帶一路倡議，小到服務與園區大中小型企業，選擇產業園區作為區塊鏈實際應用場地，或者說作為發源地是非常有價值的。相比較區塊鏈賦能企業達到降本增效，服務與產業園區區塊鏈技術本身更能發揮其構建生態的作用，包括數據生態和業務生態，所以可以說產業園區是區塊鏈應用落地和發揮最大價值的最小場所。（項城網）[2019/9/30]

EOSBet是EOS上的游戲平臺，分別在9月14日和10月15日遭受了兩次黑客的攻擊，損失分別為44427.4302個EOS和138319.7995EOS。1、損失規模：200000美元+338000美元。2、攻擊方式：利用智能合約中的漏洞。3、事件經過及安全分析9月14日，EOSBet遭到黑客攻擊，EOSBet團隊官方宣稱：這個攻擊并不簡單，我們正在進行取證，并將所發生的事情拼湊在一起，來尋找蛛絲馬跡。根據TheNextWeb的分析，“黑客的攻擊方式是使用假哈希在外部調用’傳輸’功能”。攻擊發生后，一個與EOSBet官方帳戶名稱非常相似的EOS帳戶，向攻擊者的地址發送了少量EOS，并且附帶一個要求對方退回被盜資金的消息，聲稱如果不退回，他們將雇用一個律師團隊追捕并起訴攻擊者。9月16日，EOSBet重新上線，并且官方發布了關于黑客攻擊的詳細報告，承諾他們的合約已經修補了全部漏洞，目前是非常安全的。一個月后，黑客利用EOSBet合約在檢驗收款方時存在的漏洞，偽造轉賬通知，總計從“eosbetdice11”獲利138319.7995EOS。其中72150個EOS流入了Bitfinex，65100個EOS流入了Poloniex。根據EOS當前的行情價格估算，EOSBet平臺此次損失額超500萬元。該公司報告稱，他們正與這兩家交易所談收回資金的事情。4、小結EOS的智能合約發展相對ETH來說，還處于早期，頻頻發生的安全事件對這個新生兒來說是不可承受之痛。06結語

優拜單車創始人余熠：想通過區塊鏈去解決用戶信用認證的問題:近日，優拜單車創始人兼CEO余熠接受《每日經濟新聞》記者采訪時表示，優拜之前是通過與芝麻信用合作嘗試解決信任問題，但現在從區塊鏈的角度來講，其實有機會通過用戶信用做很多事情。我們想通過區塊鏈去解決用戶信用認證的問題。[2018/4/26]

今年9、10兩個月的安全大事件，主要集中在EOS的智能合約漏洞和交易平臺的漏洞，損失的金額非常高。在這些事件中，有很多是完全可以避免的，之所以頻頻發生安全事件，很大程度上是因為安全意識還太過于薄弱。安全事件的頻發，加上行業的暴跌，不斷打擊著區塊鏈參與者的信心，但不妨換個視角，放眼整個行業的發展來看。如果行業的參與者能夠從這些巨額損失的安全事件中獲得警醒，汲取過往的教訓，更加注重安全方面的建設，相信這對于茁壯發展的區塊鏈行業來說，才是真正有益的。

Tags：EOS區塊鏈WEBZAIEOS Se7ens區塊鏈域名誰在管理web3域名哪里注冊ZAI價格

USDT