2020年11月盘点
据成都链安『区块链安全态势感知渠道』(Beosin-Eagle Eye)的数据监测显示:
2020年11月,在区块链范畴中,各类安全事情的产生较为频频。相较10月安全事情趋于平缓的态势,本月的情况有所恶化。据不完全统计,11月产生较典型的安全事情超越27起。
本月,特别是在DeFi范畴,黑客如同经过集中排练一般,上演了接连的协议“进犯剧目”。其中,重入进犯、预言机进犯等手法在闪电贷的辅佐下,展示了强大的杀伤力。不得不说,11月的DeFi市场就像经历了一场“浩劫”,多起进犯轮流“轰炸”,造成了巨大的财物丢失。
其间,成都链安曾为此呼吁,闪电贷进犯只是冠名,背后的真相不容忽视。DeFi项目方应该尤其留意预言机控制问题,以防数据危机带来不行拯救的结果。
因此,成都链安再次慎重主张,DeFi开发者应加强预言机的针对性测试,特别是在项目上线前,需尽或许模仿价格控制进犯的各类场景,及时发现问题并找出解决方案,切实提高项目抗预言机进犯的能力,做到提早躲避此类风险。
买卖所方面
共产生『6』起较典型的安全事情
01
常州警方龙虎塘派出所近日接到报警,有用户在“罗马币买卖所”渠道上进行虚拟钱银投资上圈套。该渠道推出了两款APP,供用户聊天和买卖,操作成功之后可获得返利。现在,该买卖渠道现已无法登录。
02
波卡去中心化金融渠道Akropolis遭受进犯。黑客使用在衍生品渠道dYdX的闪电贷进行重入进犯,造成了200万美元的丢失。
03
泉州多位市民爆料称,遭到了数字钱银买卖欺诈。涉案买卖所名为MARK买卖所,涉案金额约25亿元,疑似参与头寸办理的大约10万人。
04
11月13日,Liquid买卖所产生了一同侵略事情。黑客更改了DNS记录,然后控制了大量内部电子邮件帐户。终究,他们部分破坏了该买卖所的基础设施并访问了存储的文档。
05
Pickle Finance的pDAI PickleJar被黑客进犯,导致19,759,355 枚DAI被耗尽。此次进犯还触及许多Pickle协议组件。
06
闻名安全博客KrebsOnSecurity报告称,从11月13日左右,由抢手保管供给商Godaddy保管的几个加密钱银渠道遭到了进犯,其中包含加密钱银买卖渠道Liquid.com。
DeFi方面
共产生『5』起较典型的安全事情
01
波场主网于香港时间11月02日06:14遭到恶意合约进犯。本次进犯中,黑客使用颁发合约编写者的权限,建议了恶意买卖导致“超级代表”暂停产块来获利。
02
DeFi借贷渠道Percent Finance在11月4日的博客中写道,某些钱银市场遇到了或许导致用户资金永久被确定的问题。因此,该团队冻结了专门针对USDC、ETH和WBTC的钱银市场。
03
11 月 14 日,Value DeFi 协议的 Value DeFi MultiStables 保险库遭到黑客的预言机控制进犯,终究导致超越700万美元的丢失。
04
来源协议Origin Protocol稳定币OUSD遭闪电贷进犯,跌至0.13美元。尔后,Uniswap中OUSD流动性从16日的35万美元跌至了12万美元。
05
Web3去中心化API服务API3的Kiyo发推表明,DeFi固定利率生成协议88mph(MPH)似乎存在一个缝隙,一个进犯者使用该缝隙铸造了10万美元的MPH代币。尔后,该缝隙已被修复。
● Beosin谈论 ●
本月,DeFi项目的安全问题令人堪忧。这或许与对协议的中心环节缺乏足够注重有关。“亡羊补牢,为时不晚”,黑客的进犯似乎不会停歇,面对严峻的安全局势,自动防备的心态和行动至关重要。
成都链安认为,安全问题永远需放在首要考虑的方位。其实,项目上线前仅仅做好安全审计是远远不够的。多个事例反映出了这样一个问题,即审计只是安全防备作业的第一步。
在项目开展的过程中,需求时刻对体系问题进行整理,防止任何“丧命”缝隙的产生。否则,当黑客早于内部发现,财物安全很或许危在旦夕。
欺诈跑路/加密圈套方面
共产生『5』起较典型的安全事情
01
印度社交名媛Harpreet Singh Sahni供认,其卷入了一场规划相当大的加密钱银圈套,并在澳大利亚一家加密公司向投资者出售加密软件,同时推广PGUC代币。该公司网站经常宕机,导致用户无法提现。Sanhi或将面临约24年的拘禁。
02
非营利安排“欧洲基金追回倡议安排”(EFRI)对荷兰银行ING控股的Payvision公司提起法令诉讼,宣称该公司推动了欺诈性投资方案,并曾为加密钱银公司供给服务,导致投资者丢失超越7500万美元。该安排正代表数百名受害者寻求补偿。依据EFRI供给的文件,Cryptopoint加密买卖渠道涉嫌与该圈套有关。
03
北京时间11月5日音讯,伪装成埃隆·马斯克(Elon Musk)的一名黑客,在特朗普推文的回复中骗取用户的虚拟钱银。黑客运用的账户经过了Twitter的认证,用户名显示为“Elon Musk”。他回复了特朗普评论总统大选局势的推文,在数小时内获利超越25万美元。
04
11月9日音讯,有欺诈者使用虚假域名,从不同用户那里窃取了约110万枚XRP,现在价值已超越28万美元。
05
11月17日音讯,澳大利亚证券投资委员会(ASIC)宣布,前BitConnect建议人John Louis Anthony Bigatton因参与被指控欺诈投资者数百万美元的加密钱银项目而被起诉。
勒索软件/挖矿木马方面
共产生『5』起较典型的安全事情
01
11月3日音讯,腾讯主机安全(云镜)捕获到,挖矿木马团伙z0Miner使用Weblogic未授权命令执行缝隙(CVE-2020-14882/14883)的进犯行动。该团伙经过批量扫描云服务器发现,具有Weblogic缝隙的机器被植入了门罗币挖矿木马。
02
11月初,游戏巨子CAPCOM遭到名为“Ragnar Locker”的安排开发的勒索软件进犯。安全专家Pancak3lullz表明,Ragnar Locker经过加密确定CAPCOM网络上的2000台设备,并索要价值1100万美元的比特币赎金,而这些数据包含文件夹、护照、出售报告、银行对账单、合同和大量战略信息数据库。
03
意大利闻名酒商Campari Group(金巴利)在11月1日遭到黑客勒索进犯。该公司的重要文件、合同和银行信息被窃取。黑客对此勒索价值1500万美元的比特币。
04
比特币勒索软件Pay2Key对多家以色列公司进行了进犯。据悉,每家受害公司的走漏数据都被上传到网站上的一个特定文件夹中,并附有进犯者定制的信息。
05
微博网友“BCH爱好者BruceLee”表明,BCHA链现在处于被进犯状态。进犯是双管齐下的(大概率是同一人所为),而BCHA网络中产生了大量空块。
暗网方面
共产生『1』起较典型的安全事情
01
美国司法部查获与暗网“丝绸之路”有关的10亿美元比特币。其在一份声明中表明,没收的加密钱银与暗网丝绸之路有关,而这是美国现在没收的最大规划的加密钱银。当局从一名黑客手中缴获了这些比特币,并在声明中称该黑客为Individual X。
其他方面
共产生『5』起较典型的安全事情
01
在11月2日上线后仅几个小时,Axion Network合约中呈现了铸造缝隙,已有50万美元被盗。他们乃至主张用户防止立即购买AXN代币,并远离网络的仪表板。一位推特用户指出,有790亿枚AXN被意外铸造和出售。
02
针对Ledger钱包所有者的网络垂钓和欺诈正在添加。其中一个欺诈网站从受害者处获得了超越1150000枚XRP。这一圈套使用垂钓邮件将用户引导到一个假冒的Ledger网站,诱骗受害者下载了假充为安全更新的恶意软件,然后导致Ledger钱包余额悉数被盗。
03
据Reddit音讯,一批被“自动办理”的恶意节点试图经过Sybil进犯干扰和破坏Monero网络,以获取有关Monero区块链上用户的信息。
04
Grin网站11月9日遭受51%进犯。一个不知道实体控制了超越57%的网络算力。依据Grin网站的说法,该团队主张人们等候“关于支付终究性(Finality)的额外确认”。
05
近期,币安与美国司法部通力合作,对涉嫌2018年3月建议对币安网站进犯的两名人员提起公诉。
鉴于当前区块链安全范畴的新局势
『成都链安』温馨提示
从总体上看,11月区块链安全事情较10月有所添加,全体安全事情产生数量处于中等水平。
本月的DeFi项目方面,安全事情产生数量较上个月有所添加。在黑客接二连三的进犯下,DeFi范畴的全体安全情况不容乐观。
成都链安在此呼吁广阔项目方,在项目上线前需求切实做好一整套的安全筛查作业,并在项目上线后定期进行检测,减少代码缝隙等问题,防止不必要的丢失。
视野开拓
It's impotat to ote that although the ability to compete effectively is impotat, it's hadly the key to happiess. Peace is't foud i what we ow o i ou titles, but i the life we live as citizes, paets, ad eighbos. It is ou pesoal hope, above all, that ou gilsad eveyoe) lea this lesso.-《隐性动机》
