事件
黑客勒索及其他攻击传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是7月至今发生的黑客勒索攻击事件中的主要攻击方式。此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击,其攻击者是三名青少年,其中最大年龄仅有22岁,这起事件在7月以来的安全事件中较典型的一例,产生的影响范围极广。①7月2日,MongoDB遭受到攻击,约22900个数据库被清空,攻击者要求以BTC作为赎金赎回被清空数据库的备份。②7月11日,Cashaa交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在Blockchain.info上的比特币钱包,向攻击者账户转移约合9800美元的BTC。③7月15日,twitter遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。④7月22日,约克大学信息被盗取,攻击者要求约合114万美金的BTC作为赎金。⑤7月23日,英国足球联盟信息被盗取,攻击者要求BTC作为赎金。⑥7月25日,西班牙铁路基础建设管理局约800gb信息被盗,攻击者要求BTC作为赎金。⑦7月30日,佳能遭受到黑客攻击,约10tb照片和其他类型数据被盗,用户要求以数字货币作为赎金。⑧7月31日,数字货币交易所2gether遭受到黑客攻击,约139万美金的BTC被盗。代码漏洞攻击对于代码漏洞攻击相关事件,攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。⑨8月4日,DeFi项目Opyn被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约37万美金的损失。攻击类型及危险
允许将NFT作为抵押的另类资产贷方Pawnfi筹集300万美元:金色财经报道,另类资产贷方Pawnfi刚刚在由Digital Currency Group牵头的一轮融资中筹集了300万美元,Animoca Brands和Dapper Labs参投。据悉,Pawnfi使用智能合约托管系统,允许其客户使用NFT作为抵押获得贷款,同时还提供评估和清算服务。该公司表示,除了NFT之外,其系统还与“流动性提供者代币、代币化权利和次要加密货币”兼容。[2021/11/16 6:53:44]
攻击事件类型及危险程序:
Figure Securities成为在SEC注册的数字证券另类交易系统:金色财经报道,Figure Technologies的子公司Figure Securities已成为在SEC注册的面向数字证券的另类交易系统。此外,Figure Securities已成为美国金融业监管局(FINRA)批准的经纪交易商。[2021/5/13 21:55:50]
加密货币在另类投资平台Vincent上搜索量激增:加密货币在Vincent上的搜索量激增,Vincent是另类投资机会的搜索平台,投资品种包括房地产、艺术品、运动鞋、交易卡等。根据Vincent 2月份的报告 ,加密货币的搜索增长是所有行业中最快的(增长了44%)。(Decrypt)[2021/3/10 18:33:49]
勒索及其他攻击——攻击的方法和媒介如下:
OKEx Research首席研究员:比特币正逐渐从“另类投资品”向“数字黄金”定位转变:OKEx Research首席研究员William分析称,就目前市场情况而言,比特币正逐渐从“另类投资品”向“数字黄金”的定位转变。本轮比特币牛市是高通胀预期下的产物。境外机构投资者在乎的是利润,而非“比特币信仰”之类的情怀。随着货币政策逐渐由宽松转为适度紧缩,机构投资者后市可能会抛售比特币。但在此之前,比特币价格仍会总体保持上涨的主要趋势。不过,随着比特币价格越来越高,市场波动幅度也会不断加大,建议投资者参与时不要加过高的杠杆。(证券日报)[2020/12/30 16:02:17]
代码漏洞攻击:——攻击的方法和媒介如下:
因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析第9号代码漏洞攻击事件。代码漏洞攻击事件分析
⑨第9号事件此次事件发生于DeFi项目Opyn中,攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。攻击者在向智能合约中发送某一数量的ETH时候,智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。也就是说,攻击者可以用一笔ETH进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的ETH。CertiK安全研究团队认为,Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。总结
在此,CertiK安全团队建议如下:做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。