成都鏈安:8 月DeFi 領域出現5 起安全事件,區塊鏈領域共計39 起


8 月區塊鏈領域安全事件是2020 年度目前單月內數量最多的,與7 月相比,各版塊所發生的安全事件均呈上漲趨勢。

原文標題:《盤點| 成都鏈安:8 月發生較典型安全事件超「39」起。 本月安全事件頻發,整體風險評級為「高」,需敲響警鐘》
撰文:成都鏈安

據成都鏈安「安全態勢感知系統」(Beosin-Eagle Eye)數據監測顯示:在過去的8 月中,整個區塊鏈生態所面臨的安全形勢十分嚴峻,不完全統計,總共發生了超 39 起較典型的安全事件,屬2020 年度內目前單月數量最高。

本月安全事件的整體風險評級為「高」,需區塊鏈生態各項目方引起重視,防微杜漸。 與7 月相比,8 月各版塊所發生的安全事件均呈上漲趨勢。 經成都鏈安安全人員統計,8 月發生較典型安全事件細項如下:

交易所方面共發生「4」起較典型的安全事件

去中心化金融基礎設施 Sperax 表示,部分交易所近日發出公告引導用戶進入其平台搶購SPA 代幣。 Sperax 目前未與任何交易所有任何官方合作,且Sperax 在美國東海岸時間8 月14 日表示在官網公募前不會分發 SPA 代幣

加密貨幣交易所 KuCoin 警告稱,有欺詐網站使用其品牌試圖竊取加密貨幣。 該網站提供虛假獎勵,誘使用戶存入數字資產。

日本加密貨幣交易所 TAOTAO 官方表示,東京時間8 月22 日12 點46 分-12 點56 分,該交易所因係統故障導致交易對報價無法更新,該問題現已修復。 故障影響仍在調查中。

有網絡犯罪分子一直在假冒 BTC ERA 交易平台,意在以惡意軟件感染潛在用戶。 這家網絡安全公司發現,作惡者一直在發送據稱是來自BTC ERA 的電子郵件,以誘使用戶投資付費。

DeFi 方面共發生「5」 起較典型的安全事件

Opyn 官方發文,就平台漏洞導致ETH 被盜事件作出更新,將全額賠償受漏洞影響的 ETH 看跌期權賣家。 對於ETH 看跌期權買家,按高於市場價20% 的價格贖回看跌期權。

DeFi 流動性耕種匿名項目 BASED 官方宣布,將重新部署質押池。 官方發布推特稱,有黑客試圖將「Pool1」永久凍結,但嘗試失敗。

Yam Finance 倉促開發的合約中,一個 rebase 函數漏洞導致了治理合約被「永久破壞」,價值75 萬美元的 Curve 代幣被鎖定而無法使用。

波場官方支持的 DZI 爆出漏洞,工程師在正式上線直接調用合約獲取DZI,損失慘重。

推特有網友爆料稱,DeFi 流動性挖礦項目 Degen.Money 利用雙重授權漏洞(Double Approval Exploit)來獲取用戶資金。 YFI 創始人Andre Cronje 也在推特表示,該項目確實存在風險,需手動取消授權。

盤點| 成都鏈安:8 月發生較典型安全事件超「39」起。  本月安全事件頻發,整體風險評級為「高」,需敲響警鐘

Beosin 評論:DeFi 項目仍是當下階段的熱門趨勢,有許多項目上線後,就被曝出嚴重的安全漏洞。 成都鏈安建議:各大項目方在項目上線之前,一定要做好安全審計工作,根除安全隱患,從而減少不必要的損失。

詐騙跑路/ 加密騙局方面共發生「8」 起較典型的安全事件

加拿大安大略省彼得伯勒縣警察支隊正在調查兩起欺詐事件,涉案總金額達 78000 美元。 嫌疑人假冒警察誘騙受害人將資金存入其要求的比特幣賬戶中,否則將被逮捕。

Jon Prosser8 月5 日發布的一條推文,其擁有 26.2 萬名訂閱用戶的YouTube 頻道遭到黑客攻擊,頻道名稱被改為「NASA [news]」,並開始直播關於SpaceX CEO 埃隆·馬斯克贈送比特幣的虛假消息。 約兩個小時內,非法獲利 4000 美元

今年以來,與推特同樣類型的加密騙局在 Instagram 上猖獗。 有超過130 萬的Instagram 帖子使用#Coinbase 標籤,但其中絕大多數都是虛假信息;也存在假冒名人賬號發布虛假加密信息的詐騙行為。

8 月7 日,Uniswap 已出現 SRM 假幣,已有用戶被騙。 Serum 發布推特提醒用戶提高警惕,在除FTX 和BitMax 平台以外的其他交易平台(如Uniswap 等)出現的SRM,均為假冒。

ScamAlert 網站正在追踪一些涉嫌加密騙局的地址,已確認和可疑的數字貨幣地址數量已超過 5 萬

英國國家網絡安全中心(NCSC)刪除了超過 30 萬個與名人有關的虛假代言投資機會的 url,其中超過一半的網站屬於欺騙性加密貨幣投資計劃。

蘇州園區警方偵破蘇州首起針對虛擬貨幣的黑客犯罪案件,抓獲了多名專門利用黑客手段盜取賬戶密碼來竊取虛擬貨幣,並通過暗網聯系職業洗錢銷贓團伙變現的犯罪嫌疑人。

CFTC 要求對加密騙局Control-Finance 負責人處以 4.29 億美元民事罰款。

盤點| 成都鏈安:8 月發生較典型安全事件超「39」起。  本月安全事件頻發,整體風險評級為「高」,需敲響警鐘

勒索軟件/ 挖礦木馬方面共發生「8」 起較典型的安全事件

美國第五大旅遊公司 CWT 同意向劫持其計算機系統的黑客支付價值 450 萬美元的比特幣。

據外媒報導,FBI 發布了針對美國和外國政府組織的 Netwalker 勒索軟件攻擊的新安全警報。 隨後,聯邦政府建議受害者不要支付贖金,並向當地的聯邦調查局外地辦事處報告了此次事件。

微步情報局監測到一起嘗試攻擊 Docker 主機並植入挖礦木馬的攻擊活動,該挖礦木馬存放在一台位於德國的服務器(85.214.149.236)中。

跨國公司佳能(Canon)的電子郵件、存儲服務和其美國網站遭到了 Maze 團伙的勒索軟件攻擊。 Maze 要求佳能支付加密貨幣贖金,否則將洩露其照片和數據。

Garmin 遭勒索攻擊的風波未平,此後佳能又遭受了勒索軟件攻擊。 攻擊除了讓佳能的一些網站宕機以外,據說還導致佳能服務器中高達 10TB 的數據被盜。

勒索軟件犯罪團伙 REvil 聲稱已成功襲擊了美國葡萄酒和烈酒巨頭 Brown-Forman Corp。 該公司拒絕支付REvil 要求的門羅幣贖金。 作為回應,黑客在其暗網官方博客以大約 150 萬美元的價格出售被盜數據。

以色列網絡安全公司 Mitiga 建議運行某些程序的亞馬遜網絡服務(Amazon Web Services)的所有客戶,檢查自己是否受到了門羅幣挖礦軟件的惡意感染。 Migita 稱任何運行基於 Community AMIs (Amazon Machine Images)的EC2 實例的用戶都容易受到該加密挖礦軟件的攻擊。

一犯罪團伙對全球一些最大的金融服務提供商(包括MoneyGram、YesBank Indiak、PayPal、Braintree 和Venmo)發起了 DDoS 攻擊,並索要比特幣贖金。

盤點| 成都鏈安:8 月發生較典型安全事件超「39」起。  本月安全事件頻發,整體風險評級為「高」,需敲響警鐘

暗網方面共發生「2」 起較典型的安全事件

114 萬俄羅斯人的護照數據正在暗網的地下商店出售。 據悉,此前在憲法改革公投中,這些俄羅斯公民通過區塊鏈平台投票,但他們的數據在互聯網上遭到了洩露。

著名暗網市場 Empire Market 已關閉運營,退出時該網站共騙取了130 萬用戶的約2638 枚比特幣,價值近 3000 萬美元

其他方面共發生「12」起較典型的安全事件

加密貨幣錢包 Ledger 撰文回應安全研究人員Monokh 披露的安全漏洞。 Ledger 表示,已發布比特幣應用程序 v 1.4.6 版本,該版本旨在改善Monokh 所披露的安全漏洞。 另外,Ledger 也針對萊特幣、狗狗幣等應用程序進行了更新。

ETC 最近遭受的51% 攻擊據信導致了大約 560 萬美元的加密貨幣被「雙花」

社交新聞網站 Reddit 遭遇大規模黑客攻擊,攻擊者破壞了Reddit 包括美國國家橄欖球聯盟、電視節目、海盜灣、迪士尼樂園、復仇者聯盟等數十個頻道,這些頻道加起來擁有數千萬的用戶,以顯示支持唐納德·特朗普連任。

騰訊安全威脅情報中心檢測到大量源自境外IP 及部分國內IP 針對國內云服務器租戶的攻擊。 國內多家知名企業的雲服務器均受到該殭屍網絡攻擊,已有上千台服務器淪陷受害。

法官判處澳大利亞黑客 Kathryn Nguyen 刑期2 年零3 個月,原因是她在2018 年1 月XRP 接近其歷史最高點3.29 美元的時候,盜竊了 10 萬枚以上XRP 代幣(目前價值約 30 萬美元)。

今年黑客對隱私瀏覽器 Tor 產生了重大影響,他們正在利用這種影響劫持比特幣。 通過Tor 出口中繼,黑客將加密交易中的比特幣資金轉到自己手中。

保加利亞Kyustendil 小鎮上兩名男子因盜竊電力開採比特幣而被拘留,被盜電力價值 150 萬美元

美國政府正在起訴美國國家安全局(NSA)洩密者 Edward Snowden。 根據最近的一份法庭文件,斯諾登在虛擬會議上的演講費高達 120 萬美元,其中至少有3.5 萬美元來自比特幣和加密公司。

8 月21 日,Uber 前首席安全官 Joseph Sullivan 試圖掩蓋2016 年的黑客攻擊。 兩名黑客入侵了數百萬用戶和驅動程序的數據,並要求他支付六位數的報酬。 在2016 年12 月,Sullivan 向黑客支付了 10 萬美元的比特幣。

8 月24 日,黑客從 CryptoTrader.Tax 中竊取了 1000 多個用戶的數據。 CryptoTrader.Tax 是一款用來計算和歸檔加密貨幣交易稅的在線服務。

朝鮮黑客組織 Lazarus 再次將目光瞄準加密貨幣,最新的攻擊事件是通過 LinkedIn 的一個招聘廣告發送釣魚文檔,該文檔與一家區塊鏈技術公司有關。

一項研究顯示,以太坊區塊鏈上價值超過 10 億美元的代幣缺少2017 年發布的一項軟件標準,使得它們可以被劫持並從交易交易所中抽走。

盤點| 成都鏈安:8 月發生較典型安全事件超「39」起。  本月安全事件頻發,整體風險評級為「高」,需敲響警鐘

鑑於當前區塊鏈安全領域的新形勢,「成都鏈安」在此總結:

從總體上看,8 月區塊鏈整個生態所發生的安全事件頗多,較之7 月呈明顯上漲的趨勢。 值得一提的是,8 月所發生的安全事件是 2020 年度目前單月內數量最多的,整體風險評級為「高」。 其中,發生在DeFi 方面的安全事件尤其值得我們注意。 因 DeFi 熱度持續走高,後續該板塊下所暗藏的安全風險可能是極大的,不能放鬆警惕

同時,本月 DeFi 方面相關項目也出現了幾起較為嚴重的安全漏洞,因此成都鏈安也要提醒廣大項目方在項目籌備階段一定要做好相關的安全工作。 對即將上線的合約,切記要尋找專業的安全公司來進行代碼審計,以避免上線後造成不可挽回的損失。

另外,還需要注意的是,在詐騙跑路/ 加密騙局方面,本月所發生的相關騙局事件也是時有發生;與此同時,也能看到有關部門正在對此版塊加強關注,被破獲的騙局事件也有所增加。 在此,成都鏈安需要提醒廣大用戶,切勿輕信「天上掉餡餅」的事情;謹慎分辨網絡上的有關消息,切莫掉進圈套

來源鏈接:mp.weixin.qq.com

.



Source link