PeckShield:7月共发生安全事件32起,虚拟货币诈骗案件泛滥
据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 32 起较为突出的安全事件,危害程度评级为「中级」,涉及 defi 5 起、钱包安全 2 起,公链安全 3 起,交易所相关 2 起,勒索相关 4 起,诈骗跑路 16 起等。
DeFi 安全
7月份共发生 5 起 DeFi 相关安全事件,具体如下:
1)加密货币项目VETHer(VETH)遭到闪贷攻击,其Uniswap资金池耗尽919299 VETH,价值约合90万美元,而且整个攻击成本仅有0.9ETH,约合200美元。
2)知名区块链安全研究员Sam Sun在小组讨论中表示,自己似乎发现一种盗取yearn.finance yusdc资金池资金的方法。yearn.finance官方回应称这个问题已经得到解决,但依然提示用户暂时不要投入资金。7月26日,yearn.finance公布V2 版本的更新将添加USDC合约的资金池,但V2版本还没有完全部署,尚在实验测试阶段,官方也已经提示该合约仍为实验性质且具有高度风险,建议不要立即投入资金。
3)samczsun在yearn.finance新部署的yVault中发现了一个漏洞,初步分析是由于flashloan 中产生滑点导致。
4)网络安全公司OpenZeppelin已发布Compound的开放式预言机(Open Oracle)集成Uniswap V2的审计报告。指出,开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格,这些价格将以Uniswap V2的市场价格作为基础,发布价格的人只能在一定程度上偏离Uniswap V2的价格(具体由部署者决定),这可以很大程度上限制汇报者操纵预言机的权力。
5)DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局:Uniswap上的伪造代币列表。骗子正试图在目标协议实际推出其加密货币之前,在Uniswap上列出“官方”协议代币。DefiPrime至少确定六个被这些诈骗者锁定的协议:Uniswap、Tornado Cash、BZRX(Fulcrum)、Curve、dYdX 和1inch。甚至已经有人因此受骗。
PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。
数字钱包安全
7月份共发生 2 起钱包安全事件:
1)加密货币钱包服务商ZenGo表示,其在Ledger、BRD和Edge等市场主流的一些钱包中发现了一个漏洞,该漏洞允许攻击者欺骗用户,让用户以为自己收到了比特币,但实际上他们并没有收到。ZenGo将这一漏洞命名为“BigSpender”,攻击手法定义为“双重支出攻击”。
2)研究人员发现了一种新的木马,这种木马针对在macOS上使用交易程序的交易者。该木马使用恶意软件GMERA,被整合进貌似无毒的应用中,再从使用者的钱包中偷取代币。
PeckShield 点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。
公链安全
7月份共发生 3 起公链相关安全事件:
1)7月3日,CryptoScope团队发现Ravencoin(RVN)区块链存在漏洞,经过rvn首席开发团队确认后已发布了紧急更新。据悉,该漏洞可生成额外的RVN,但是不会影响或控制已经存在的RVN资产。由于该漏洞造成了RVN总量比原计划多出了1.5%,并且漏洞产生的RVN已经流入市场,因此无法进行回滚等操作。
2)Polkadot 联合创始人Gavin Wood称雪崩协议类似一个中心化的Cosmos,由选出来的重叠的验证人组充当了子网安全性。这将导致整个系统内各个链间的安全性有极大的不均。跨分片攻击是可行的,因为来自一个(低安全性)链的消息可以导致另一个(更安全的)子网上的状态迁移。这样一来整个网络的安全性就等同于安全性最差的那个链。综上,雪崩协议并不安全,也不具备可拓展性。
3)Bitcoin Gold的开发人员团队已经阻止了针对网络的“极长的攻击链”。根据开发团队的说法,攻击者于7月1日从采矿服务提供商NiceHash租用了哈希功能,并秘密开采了一条替代链(本质上为网络创建了新的交易记录)持续了近10天,在此过程中挖掘了1,300多个区块。7月10日,攻击者发布了秘密链,以试图收集8,000多枚比特币黄金,但是,由于比特币黄金团队及早发现了攻击,并就潜在的攻击向矿池和交易所发出了警告,从而挫败了攻击者。
PeckShield 点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。
交易所相关
7月份共发生 2 起交易所相关安全事件:
1) OKCoin官方发推称,OKCoin网站遭遇两波DoS攻击,致使用户近四小时无法登入网站。所幸,所有客户资产是安全的,移动应用程序和API正常运行。
2)英国加密货币交易所Cashaa表示,黑客从其中一个钱包中窃取了超过336枚比特币。目前,该交易所已停止所有与加密有关的交易。
PeckShield 点评:黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。详情可访问www.coinholmes.com 了解。
勒索相关
7月份共发生 4 起勒索相关安全事件:
1)跨国科技公司 Garmin 被俄罗斯网络犯罪团伙 Evil Corp 勒索了1000万美元的赎金,需以加密货币支付。Garmin 匿名员工证实,WastedLocker勒索软件破坏了该公司的客户支持服务、导航解决方案等。
2)跨平台数据库公司MongoDB遭受了网络攻击,黑客团伙通过擦除其内容渗透了22,900个不安全的数据库。黑客要求每个数据库支付0.015 BTC(约合140美元),因此要求的总金额超过320万美元。
3)英国足球联赛俱乐部被勒索软件盯上,其公司安全系统被破坏。攻击者要求的赎金金额为400 BTC(约366万美元)。据悉,由于俱乐部拒绝付款,导致其存储的数据丢失。根据该研究,对英国体育组织的攻击中约有40%与恶意软件有关,其中四分之一与勒索软件有关。
4)乌克兰安全局(SSU)拘留了两名要求获得比特币,否则将炸毁该国首都建筑物的恐怖分子。根据SSU的帖子,两名60岁男子在基辅的一栋公寓楼上张贴了纸条,扬言如果其比特币地址未收到50枚比特币,就会炸毁该建筑物或另一栋建筑。
PeckShield 点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗。
诈骗跑路事件
除上述之外,7 月份还发生了多起诈骗跑路事件值得警惕,例如:
1)四年前攻击 Bitfinex 交易所的黑客再次出现,从当时偷走的加密货币中转移了448.72枚 BTC,价值近500万美元。当时Bitfinex被黑损失近7200万美元。
2)7月22日,加密公司 Veritaseum 首席执行官 Reggie Middleton 对电信运营商 T-Mobile 发起诉讼,指控其通过一系列“交换SIM卡(simo -swap)”攻击,窃取了价值870万美元的加密货币。
3) 7月16日,包括比尔·盖茨,奥巴马,埃隆马斯克,苹果官方账号等在内的诸多推特账号被黑客攻击并发布比特币钓鱼信息。经查询黑客留在推特上的地址发现,该地址目前已经收到了12.86枚比特币。
4)白帽黑客Harry Denley在成功侵入了一个加密货币网络钓鱼骗局的数据库后,成功截获了价值1.6万美元的ETH和DEC,并已将这些加密货币返还给其合法所有者。
5)区块链公司Veritaseum首席执行官ReggieMiddleton已起诉美国电信运营商T-Mobile,称该公司因严重过失并未能保护其客户,使得黑客进行了一系列SIM劫持攻击,导致价值870万美元的加密货币失窃。
6)黑龙江省牡丹江市公安局反诈中心与海林市公安局经过两个多月缜密侦查,成功侦破涉案金额100余万元的特大虚拟货币电信诈骗案,跨省抓获7名犯罪嫌疑人。
7)近日,灌云警方深挖彻查、快速出击,先后抓获利用区块链投资诈骗嫌疑人杨某等人,成功捣毁该团伙位于河南郑州的犯罪窝点,查扣电脑、手机、硬盘等作案电子设备,涉案金额达29万元。据调查,2019年期间,杨某通过其所购买“百业链”APP,诱骗会员在软件上投资区块链,承诺购买“矿机”后,可通过挖币、兑币、交易的方式获取高额回报。
8)韩国蔚山地方法院刑事审判员金正锡14日表示,涉嫌谎称“人工智能(AI)通过交易比特币获得收益”,从投资者处骗取68亿韩元的5人犯罪团伙被判处有期徒刑和罚款。2018年1月至9月期间,他们以投资名义共获得了944次共计68亿多韩元赃款。
9)虚构柬埔寨“西港特区”投资项目,虚构亚泰坊“数字货币”,引诱他人加入传销组织。短短6个月,就发展下线层级108层,吸纳会员注册账号67万个,涉案金额达8.14亿元。
10)浙江温州瓯海警方破获全国首例利用区块链“智能合约”犯罪案件,捣毁两处作案窝点,抓获犯罪嫌疑人10名,扣押查封迈凯伦、法拉利等豪华轿车及房产,涉案金额高达亿余元。
11)一个名为“Keeper”的黑客团伙建立了一个互连网络,从570多个电子商务网站窃取信用卡数据。自2017年以来,该组织通过在暗网出售信用卡信息而获得了超过700万美元的加密货币。
12)云算力平台Miningzoo疑似跑路。该平台伪造大量信息,包括伪造获得知名VC策源创投投资的信息。截止到7月6日,仍然大量投资者无法提取在平台投资云算力获得的加密货币,一些投资者准备报案处理。
13)黑客利用游戏Runescape的漏洞进行双花攻击获取了数万亿的游戏币,价值超25万美元,并利用这些资金购买比特币。
14)亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。此次攻击传播的母体文件为dota3.tar.gz,推测为亡命徒(Outlaw)僵尸网络木马的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。
15)有假冒Ripple CEO Brad Garlinghouse的非法人员在Change.org上发起请愿,该请愿包含了假冒的XRP空投内容。这个“请愿”分享了一个到可疑网站的链接,该网站邀请所有空投参与者将他们的XRP发送到一个可以保证获得100%利润的特殊地址。
16)近日,按照公安部统一指挥部署,公安机关立案侦办“Plus Token平台”网络传销案,先后将潜逃境外的全部27名主要犯罪嫌疑人和该案82名骨干成员抓捕归案,彻底摧毁了这一盘踞境内外的特大跨国网络传销组织。该案系公安机关侦破的首起以比特币等数字货币为交易媒介的网络传销案,涉及参与人员200余万人,层级关系多达3000余层,涉案数字货币总值逾400亿元。
PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場