CertiK:简析 7 月至今区块链领域黑客攻击事件
勒索攻击是 7 月至今发生的黑客攻击事件的主要方式,黑客不需要了解区块链就可以发起攻击,而代码漏洞攻击需要理解智能合约等技术。
原文标题:《安全分析:7 月至今数字货币及加密领域相关黑客攻击事件》
撰文:CertiK
黑客勒索攻击
传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击,是 7 月至今发生的黑客勒索攻击事件中的主要攻击方式。
此类攻击行为,攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击,尤其是 twitter 攻击(利用了社会工程的方法),其攻击者是三名青少年,其中最大年龄仅有 22 岁,这起事件在 7 月以来的安全事件中较典型的一例,产生的影响范围极广。
7 月 2 日,MongoDB 遭受到攻击,约 22900 个数据库被清空,攻击者要求以 BTC 作为赎金赎回被清空数据库的备份。
7 月 11 日, Cashaa 交易所发生交易异常,攻击者通过控制受害者电脑,操作受害者在 Blockchain.info 上的比特币钱包,向攻击者账户转移约合 9800 美元的 BTC。
7 月 15 日, twitter 遭受社会工程攻击,员工管理账号被盗,造成多个组织和个人的推特上发布欺诈信息,诱使受害者向攻击者比特币账户转账。
7 月 22 日,约克大学信息被盗取,攻击者要求约合 114 万美金的 BTC 作为赎金。
7 月 23 日,英国足球联盟信息被盗取,攻击者要求 BTC 作为赎金。
7 月 25 日,西班牙铁路基础建设管理局约 800gb 信息被盗,攻击者要求 BTC 作为赎金。
7 月 30 日,佳能遭受到黑客攻击,约 10tb 照片和其他类型数据被盗,用户要求以数字货币作为赎金。
7 月 31 日,数字货币交易所 2gether 遭受到黑客攻击,约 139 万美金的 BTC 被盗。
代码漏洞攻击
对于代码漏洞攻击相关事件,攻击者则必须要理解区块链 51% 攻击并且能够找到可以利用的条件(租用庞大的算力)来完成攻击,并且需要对智能合约的技术有深刻的了解,找到其中的逻辑漏洞并加以利用。
8 月 4 日,DeFi 项目 Opyn 被攻击者通过代码漏洞,获得数目等于存入数目两倍的代币,最终造成了约 37 万美金的损失。
攻击类型及危险
攻击事件类型及危险程序:
勒索攻击——攻击的方法和媒介如下:
代码漏洞攻击的方法和媒介如下:
因勒索攻击门槛低,攻击方式大同小异,因此可供分析程度有限,下文将为大家具体分析 8 月 Opyn 代码漏洞攻击事件。
代码漏洞攻击事件分析
此次事件发生于 DeFi 项目 Opyn 中,攻击产生的原因是 Opyn 在智能合约 oToken 中的 exercise 函数出现漏洞。
攻击者在向智能合约中发送某一数量的 ETH 时候,智能合约仅仅检查了该 ETH 的数量是否与完成该次期货买卖需要的数量一致,并没有动态的检查攻击者发送的 ETH 数量是否在每一次交易之后,仍旧等于完成该次期货买卖所需要的数量。
也就是说,攻击者可以用一笔 ETH 进行抵押,并再赎回两次交易,最终获得自身发送数量两倍的 ETH。
CertiK 安全研究团队认为,Opyn 没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行,从而造成了其智能合约中的程序代码漏洞没有被及时发现,是此次事件发生的主要原因。
总结
在此,CertiK 安全团队建议如下 :
- 做好区块链项目运行的硬件以及平台软件的安全漏洞筛查,在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。
- 做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的「支配」情况,对于特定区块链项目中的防护,可以考虑采用提高交易确认必须次数或者优化共识算法。
- 做好对区块链项目中链代码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务来审计代码,并在每次更新代码后进行重新审计。
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。