SON:首發 | 區塊鏈領域攻擊頻發細數7月以來發生的區塊鏈相關攻擊事件_什么叫做區塊鏈技術的概念

事件

黑客勒索及其他攻擊

傳統的勒索軟件攻擊以及通過系統漏洞遠程控制受害者系統的攻擊，是7月至今發生的黑客勒索攻擊事件中的主要攻擊方式。

此類攻擊行為，攻擊者不需要了解熟悉區塊鏈的知識和技術細節就可以完成攻擊，尤其是twitter攻擊（利用了社會工程的方法），其攻擊者是三名青少年，其中最大年齡僅有22歲，這起事件在7月以來的安全事件中較典型的一例，產生的影響范圍極廣。

①

7月2日，MongoDB遭受到攻擊，約22900個數據庫被清空，攻擊者要求以BTC作為贖金贖回被清空數據庫的備份。

②

LBank藍貝殼于4月10日01:00首發 BOSON，開放USDT交易:據官方公告，4月10日01:00，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日23:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

7月11日， Cashaa交易所發生交易異常，攻擊者通過控制受害者電腦，操作受害者在Blockchain.info上的比特幣錢包，向攻擊者賬戶轉移約合9800美元的BTC。

首發 | 火幣集團全球業務副總裁：監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日，火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示，對區塊鏈和數字貨幣的監管態度，2019年是重要的一年。在美國，到2019年底，針對加密貨幣和區塊鏈政策有21項法案，這些法案包括稅收問題，監管結構，跟蹤功能和ETF批準，哪些聯邦機構監管數字資產等。歐盟（EU）在2020年1月10日實施了一項新法律，要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士，日本，立陶宛，馬耳他和墨西哥通過法律，要求交易所必須根據KYC和AML準則獲得許可。中國，土耳其，泰國等國家正在計劃自己的中央銀行數字貨幣（CBDC）。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

③

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

7月15日， twitter遭受社會工程攻擊，員工管理賬號被盜，造成多個組織和個人的推特上發布欺詐信息，誘使受害者向攻擊者比特幣賬戶轉賬。

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報，截止北京時間6月13日15:50，EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬，占比2.96%；EOS佳能的得票總數為877萬，占比2.87%。此前異軍突起的EOSflytomars暫居第17位，得票總數為630萬，占比2.07%。目前躋身前30名的超級節點競選團隊中，有八個團隊來自中國。[2018/6/13]

④

7月22日，約克大學信息被盜取，攻擊者要求約合114萬美金的BTC作為贖金。

⑤

7月23日，英國足球聯盟信息被盜取，攻擊者要求BTC作為贖金。

⑥

7月25日，西班牙鐵路基礎建設管理局約800gb信息被盜，攻擊者要求BTC作為贖金。

⑦

7月30日，佳能遭受到黑客攻擊，約10tb照片和其他類型數據被盜，用戶要求以數字貨幣作為贖金。

⑧

7月31日，數字貨幣交易所2gether遭受到黑客攻擊，約139萬美金的BTC被盜。

代碼漏洞攻擊

對于代碼漏洞攻擊相關事件，攻擊者則必須要理解區塊鏈51%攻擊并且能夠找到可以利用的條件（租用龐大的算力）來完成攻擊，并且需要對智能合約的技術有深刻的了解，找到其中的邏輯漏洞并加以利用。

⑨

8月4日，DeFi項目Opyn被攻擊者通過代碼漏洞，獲得數目等于存入數目兩倍的代幣，最終造成了約37萬美金的損失。

攻擊類型及危險

攻擊事件類型及危險程序：

勒索及其他攻擊——攻擊的方法和媒介如下：

代碼漏洞攻擊：——攻擊的方法和媒介如下：

因勒索攻擊門檻低，攻擊方式大同小異，因此可供分析程度有限，下文將為大家具體分析第9號代碼漏洞攻擊事件。

代碼漏洞攻擊事件分析

第9號事件

此次事件發生于DeFi項目Opyn中，攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。

攻擊者在向智能合約中發送某一數量的ETH時候，智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致，并沒有動態的檢查攻擊者發送的ETH數量是否在每一次交易之后，仍舊等于完成該次期貨買賣所需要的數量。

也就是說，攻擊者可以用一筆ETH進行抵押，并再贖回兩次交易，最終獲得自身發送數量兩倍的ETH。

CertiK安全研究團隊認為，Opyn沒有對其更新完成后的智能合約再次進行嚴謹的安全審計驗證就直接進行部署運行，從而造成了其智能合約中的程序代碼漏洞沒有被及時發現，是此次事件發生的主要原因。

總結

在此，CertiK安全團隊建議如下：

做好區塊鏈項目運行的硬件以及平臺軟件的安全漏洞篩查，在日常工作中關注培養員工對于黑客攻擊常見手段的認識和防御意識。

做好對區塊鏈運營中可能出現的某方占有超過全區塊鏈一半總算力的“支配”情況，對于特定區塊鏈項目中的防護，可以考慮采用提高交易確認必須次數或者優化共識算法。

做好對區塊鏈項目中鏈代碼和智能合約代碼的驗證審計工作，邀請多個獨立的外部安全審計服務來審計代碼，并在每次更新代碼后進行重新審計。

我們絕不僅僅是尋找漏洞，而是要消除哪怕只有0.00000001%被攻擊的可能性

Tags：區塊鏈BOSONBOSSON什么叫做區塊鏈技術的概念Boson ProtocolSonyMyungHo

pepe最新價格