安全月报:八月共发生安全事件28起,DeFi市场成重灾区
DeFi 安全
8 月份共发生 8 起 DeFi 相关安全事件,具体如下:
1)DeFi项目Yam Finance(YAM)发布推文称,在Rebase合约时发现一个bug。初始重新设置之后的Rebase将产生比预期更多的YAM。具体参看PeckShield 安全团队跟进分析的技术解读文章《 回天乏术,一开始就注定失败的YAM投票拯救行动! 》
2)DeFi项目YFValue (YFV)发布公告称,团队于昨日在YFV质押池中发现一个漏洞,恶意参与者借此漏洞对质押中的YFV计时器单独重置。
3)08月05日,DeFi期权平台Opyn的看跌期权(Opyn ETH Put)智能合约遭到黑客攻击,损失约37万美元。攻击者发现Opyn智能合约行权(exercise)接口对接收到的 ETH存在某些处理缺陷,其合约并没有对交易者的实时交易额进行检验,使得攻击者可以在一笔对自己发起真实的交易之后,再插入一笔伪装交易骗得卖方所抵押的数字资产,进而实现空手套白狼。具体参看《 PeckShield:DeFi平台Opyn智能合约漏洞详解——攻击者空手套白狼! 》
4)YFII的硬分叉项目YYFI已在8月1日凌晨彻底成为了“退出骗局”,从一开始这个项目似乎就打定了注意为自己的跑路做好了准备。
5)推特上有网友爆料称DeFi流动性挖矿项目Degen.Money通过两次授权获取用户资金。第一次授权给了质押合约,第二次授权给了转账权,会导致用户资金被攻击者拿走。
6)新兴的自动做市商平台SushiSwap,被曝智能合约中存在多个安全漏洞。该漏洞可能会被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。
7)DeFi流动性耕种匿名项目BASED官方宣布将重新部署质押池,官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。
8)两个小型代币项目——NUGS和NEXE——在上线Uniswap不久后疑似已进行了“跑路诈骗”。NUGS项目将这一举动归咎于“智能合约漏洞”,在其官方电报频道,NUGS表示其智能合同现已“无法修复”。另一个项目NEXE疑似也已跑路,该项目的社交媒体账号已被删除。
PeckShield 点评: 随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。
数字钱包安全
8 月份共发生 2 起钱包安全事件:
1)一GitHub用户表示其比特币巨额款项被黑客盗取。据悉,该用户使用的是比特币钱包Electrum软件,上次访问是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装,因此他这回转移比特币之前,被提示更新和修补潜在问题。但当他根据提示操作的时候,该软件利用一个漏洞连接了黑客的服务器,1400枚BTC(价值1600万美元)随即从他的钱包中被取出,存入了黑客的钱包中。
2)8月30日消息,加密钱包提供商Ledger最近出现了数据库泄露以及钱包漏洞,使用户的比特币面临风险。Ledger首席技术官Charles Guillemet对此表示,就数据库泄露而言,攻击者通过第三方在我们网站上配置错误的API密钥访问了我们的电子商务和营销数据库的一部分,允许未经授权访问我们客户的联系方式和订单数据。Ledger在同一天修复了这个问题,并禁用了API密钥。
PeckShield 点评: 数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。
公链安全
8 月份共发生 6 起公链相关安全事件:
1)8月4日早间,Adamant Capital创始人Tuur Demeester发推称,今日比特币全节点可能正在遭受连接槽耗尽攻击。而根据Tuur Demeester所转发的Blockstream副总裁Warren Togami发布的消息,其监测的几个比特币全节点,所有转入的连接插槽都满了。Warren Togami表示,当公共传入连接槽耗尽时,来自本地主机的传入连接将停止。
2)根据北京大学、北京邮电大学、浙江大学和昆士兰大学的研究人员的一项新研究,以太坊区块链上价值超过10亿美元的代币缺少2017年发布的一项软件标准,使这些代币容易被劫持并从交易所流失。该软件漏洞被称为假冒存款(fake deposit)漏洞,已在7772个ERC-20代币发行商处被发现。该研究表明,通过操纵使用了不足的交易验证方法的ERC-20代币智能合约中的代码,黑客几乎可以无成本骗取大量资金。假冒的存款攻击随后可能会使交易所崩溃,导致ERC-20代币和其他加密货币持有人损失其资金。
3)OpenEthereum中的一个更新使运行在新版本上的节点基本上无用,这个bug似乎是在OpenEthereum的2.7.2版本中引入的。OpenEthereum决定简单地废弃2.7版本,因为此版本及其bug非常难修复。最新的2.5.13稳定版迭代定于9月中旬在Berlin硬分叉之前发布。但是,在此之前,下载新版本的运营商将面临极具破坏性的降级任务。基础架构开发商BlockNative的开发商Liam Aharon在Twitter上强调,降级需要完全重新同步区块链,“对于某些节点配置,这将需要数月的时间。”该漏洞影响了当前Parity大约50%的节点,根据Ethernodes的数据,该节点总计占整个网络的12%。OpenEthereum团队正在研究一种转换过程,该过程将帮助节点避免昂贵的重新同步。
4)Bitfly(Ethermine矿池母公司)发推称,今天,ETC区块链在区块高度10904146经历了一次3693个区块的链重组。这导致所有状态修建节点停止同步。这可能是51%攻击造成的,而后官方寻求所有交易所立即停止存取款,并调查所有最近发生的交易。
5)8月30日,Bitfly(Ethermine矿池母公司)官方发推称,今日ETC又遭遇了一次大规模51%攻击,导致7000多个区块发生重组,相当于大约2天的开采时间。所有丢失的区块将从未到期的余额中移除,其将检查所有支出以查找丢失的交易。
6)8月25日, Filecoin太空竞赛开启, CDSI联盟节点"t02398"便遭受大量恶意非法攻击,攻击者通过已过滤白名单发送大量message堵塞节点,消耗Lotus节点大量运算使得节点不能正常完成任务最终导致丢掉算力。
PeckShield 点评: 公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。
交易所相关
1)韩国第三大数字货币交易所Coinbit被韩国警方查封调查,其董事长以及运营方涉嫌交易所内部交易和操纵市场价格。据悉,Coinbit排在Bithumb和Upbit之后,为韩国第三大交易所。警方称该公司涉嫌利用非法手段赚取了至少1000亿韩元的非法利益(约8500万美元),Coinbit同时涉嫌伪造了其超过99%交易量。
PeckShield 点评: 黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。详情可访问www.coinholmes.com 了解。
勒索相关
1)过去几周,一个犯罪团伙对全球一些最大的金融服务提供商发起了DDoS攻击,并索要比特币赎金。据悉,该组织使用了像Armada Collective和Fancy Bear这样的名字——这两个名字都是借鉴了知名黑客组织——给公司发邮件,威胁将进行DDoS攻击并索要比特币赎金。
2)勒索软件犯罪团伙REvil(也被称为Sodinokibi),声称已成功袭击了美国葡萄酒和烈酒巨头Brown-Forman Corp,黑客在其暗网官方博客以大约150万美元的价格出售被盗数据。不过,Brown-Forman Corp在一份声明中表示,他们已经成功地阻止了该网络犯罪团伙加密文件。
3)奥地利警方正在调查炸弹威胁勒索激增的情况,此前有多家公司周二早上收到了勒索比特币的电子邮件。邮件内容显示,如果不在未来80小时内支付价值2万美元的比特币,他们将引爆炸药。奥地利媒体称,电子邮件中还包含有关如何购买比特币的说明。
4)特斯拉通过与美国联邦调查局(FBI)展开合作,成功破获一起计划中的勒索软件攻击。据悉,该起攻击的目标是特斯拉位于内华达州的一处工厂,攻击者要求特斯拉支付价值数百万美元的比特币。
PeckShield 点评: 勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗。
其他诈骗跑路等事件
1)兰州市公安局安宁分局近日成功打掉了一个利用虚假理财平台实施电信网络诈骗犯罪的犯罪团伙,共抓获犯罪嫌疑人41人,冻结涉案赃款27万余元、查扣宝马汽车2辆以及用于作案的手机、电脑等工具100余台(部)。
2)8月20日,从江苏省苏州市公安局获悉,在“净网2020”专项行动中,该市破获一起针对虚拟货币的黑客犯罪案件,抓获多名犯罪嫌疑人。嫌疑人专门利用黑客手段盗取账户密码、窃取虚拟货币,并通过暗网联系职业洗钱销赃团伙变现,涉案金额达3000余万元。
3)以色列网络安全公司Mitiga建议运行某些程序的亚马逊网络服务(Amazon Web Services)的所有客户检查自己是否受到了门罗币挖矿软件的恶意感染。在今天的一份报告中,Migita称任何运行基于Community AMIs(Amazon Machine Images)的EC2实例的用户都容易受到该加密挖矿软件的攻击。据悉,Migita是在检查一家金融机
4)腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH(22端口)爆破登陆服务器,然后执行恶意命令下载Muhstik僵尸网络木马。该僵尸网络会控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。
5)西班牙加密货币支付应用和信用卡发行商2gether承认,上周五(7月31日)黑客盗取140万美元,公司无法立即偿还受攻击影响的用户,并提出一个折衷方案。2gether一直在努力寻找资金,但是与一家投资集团的谈判失败,未能找到资金向所有用户偿还被盗资金。
6)8月15日消息,中国香港警方逮捕了三名男子,他们涉嫌从比特币ATM机中骗取近23万港元(合3万美元),这是香港首例此类案件。在两家加密货币交易所提交报告后,警方在过去两天采取了行动。这些交易所怀疑犯罪分子利用了自动取款机的“漏洞”,在没有得到官方授权的情况下提取现金。
7)近期,广州白云警方在深入开展飓风2020专项行动过程中,发现并打掉了一个借助“跑分”平台进行数字货币交易,从而为电信诈骗“洗钱”的团伙,抓获涉案嫌疑人9人,缴获作案手机、银行卡等涉案物品一批。
PeckShield 点评: 因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。