รายการเหตุการณ์ด้านความปลอดภัยของบล็อกเชน (กันยายน ตุลาคม)

ในอุตสาหกรรมบล็อกเชน ปัญหาด้านความปลอดภัยเป็นปัญหาพื้นฐานที่สุด ฉันเชื่อว่าคุณต้องเคยได้ยินคำพูด เช่น "โค้ดบรรทัดเดียวสูญเสียหลายพันล้าน" และ "แฮ็กเกอร์นำมันไปในชั่วข้ามคืนหลังจากทำงานเป็นเวลาหนึ่งปี" เนื่องจากการพัฒนาบล็อกเชน ยังอยู่ในช่วงเริ่มต้น ในช่วงแรก ประกอบกับลักษณะที่เมื่ออยู่บนห่วงโซ่แล้วจะไม่สามารถแก้ไขได้ทำให้เป็นพื้นที่ที่โจมตีได้ยากที่สุดสำหรับการโจมตีของแฮ็กเกอร์

ชื่อระดับแรก

พื้นหลังเหตุการณ์

พื้นหลังเหตุการณ์

DEOS Games เป็นแพลตฟอร์มแอปพลิเคชันเกมการพนันแบบกระจายอำนาจที่ทำงานบน EOS blockchain เมื่อวันที่ 9 กันยายน ผู้ใช้ DEOSGames ชื่อ RunningSnail ทำการเดิมพันที่ดูเหมือนจะประสบความสำเร็จและจ่ายเงิน 1,000 ดอลลาร์หลายครั้ง ฝาก 10 EOS และชนะแจ็คพอตใน 30 วินาทีต่อมา

ขนาดของการสูญเสีย: ~ $24,000 มูลค่าของ EOS

ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

◆ DEOS ทำการโอน 24 ครั้งไปยังบัญชี EOS ภายในเวลาน้อยกว่าหนึ่งชั่วโมงของการสร้างและบัญชีเหล่านี้ทั้งหมดถูกสร้างขึ้นโดยสัญญาภายในเวลาไม่ถึงหนึ่งวัน ตามบันทึกการทำธุรกรรมของ EOS บัญชีที่เป็นอันตรายแต่ละบัญชี เมื่อฝาก EOS 10 บัญชีจะได้รับ ประมาณ 20 เท่าของมูลค่าสัญญา DEOS Games กล่าวอีกนัยหนึ่ง แฮ็กเกอร์ใช้ช่องโหว่ในเกมการพนันที่จะชนะแจ็คพอตในทุกการเดิมพัน และผลตอบแทนโดยรวมสำหรับการโจมตีประมาณ 20 เท่าของค่าใช้จ่าย

◆ DEOS Games ทวีตอย่างเป็นทางการว่า "นี่เป็นการทดสอบความเครียดที่ดีและโครงการของเราได้รับการปรับปรุงอย่างมีนัยสำคัญในระดับสัญญา"

มุมมองของเสือดำที่ปลอดภัย

มุมมองของเสือดำที่ปลอดภัย

◆ หลังจากการโจมตี ปฏิกิริยาของทีม DEOS Games ทำให้งง พวกเขาไม่ได้ประกาศต่อชุมชนว่าพวกเขาติดตามการโจมตีของแฮ็กเกอร์อย่างไร ตามสามัญสำนึก สคริปต์การตรวจสอบอย่างง่ายสามารถตรวจจับปรากฏการณ์ที่ผิดปกตินี้ได้

◆ เราคิดว่าเกม DEOS มีเครื่องมือตรวจจับดังกล่าว ดังนั้นเหตุผลที่ฝังลึกสำหรับการโจมตีครั้งนี้จึงคุ้มค่าที่จะตรวจสอบ และข้อสงสัยที่ว่าทีมกำลังเล่นกลไม่สามารถตัดออกได้

◆ ในปัจจุบัน ความเสี่ยงของเกมการพนันประเภทนี้สูงเกินไป ขอแนะนำให้ผู้ใช้ส่วนใหญ่ลงทุนอย่างมีเหตุผลและเลือกอย่างรอบคอบ

18 กันยายน 2018 - NewDex

NewDex เป็นการแลกเปลี่ยนแบบกระจายศูนย์แห่งแรกของโลกที่ใช้ EOS blockchain เปิดตัวเมื่อวันที่ 8 สิงหาคม โดยอ้างว่าสามารถรองรับประสิทธิภาพของแพลตฟอร์มได้อย่างสมบูรณ์แบบและความเร็วในการทำธุรกรรมเทียบได้กับการแลกเปลี่ยนแบบรวมศูนย์ซึ่งรับประกันความปลอดภัยของทรัพย์สิน . อย่างไรก็ตาม กว่าหนึ่งเดือนหลังจากออนไลน์ก็พบเหตุการณ์ที่ EOS รูดสกุลเงินปลอม จากเหตุการณ์นี้ โลกภายนอกเริ่มตั้งคำถามว่า NewDex เป็นการแลกเปลี่ยนที่กระจายอำนาจอย่างแท้จริงหรือไม่

ระดับการสูญเสีย：58,ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

◆ บัญชีที่เป็นอันตราย บัญชี EOS "oo1122334455" ออก EOS ปลอม 1 พันล้านรายการ เมื่อเวลา 14:01:45 น. ของวันที่ 14 กันยายน 2018 และจัดสรรเงินเต็มจำนวนไปยังบัญชี dapphub12345

◆ โอนทันทีจาก dapphub12345 ไปยังบัญชี iambilgates (บัญชีที่ใช้โจมตี) เมื่อเวลา 14:21:37 น. บัญชี iambilgates พยายามซื้อ IPOS และ ADD ด้วย EOS ปลอมที่รอดำเนินการหลายครั้ง และซื้อ IPOS และ ADD ได้สำเร็จ ด้วย EOS ADD ปลอม หลังจากประสบความสำเร็จในการซื้อ BLACK, IQ และ ADD บัญชี iambilgates ได้โอนโทเค็นที่ได้มาอย่างผิดกฎหมายไปยังบัญชี xx1234512345 และ x12345x12345 ทันที และในที่สุด xx1234512345 ก็ขายโทเค็นที่ได้มาอย่างผิดกฎหมายบางส่วนในรายการราคาตลาดของ Newdex และขายได้ทั้งหมด 4028 เรียล อีโอเอส

◆ จากนั้น สกุลเงินดั้งเดิมของ EOS จริงจะถูกส่งไปยัง Bitfinex เพื่อแลกเปลี่ยนกับสกุลเงินดิจิทัลอื่นๆ

◆ เหตุการณ์การรูด EOS ปลอมทำให้ผู้ใช้ Newdex สูญเสีย EOS ไปทั้งหมด 11,803 ราย ทีมงาน NewDex ขอโทษสำหรับเหตุการณ์นี้และตัดสินใจที่จะแบกรับการสูญเสียทั้งหมดอย่างรับผิดชอบ กลับมาดำเนินการตามปกติ

มุมมองของเสือดำที่ปลอดภัย

มุมมองของเสือดำที่ปลอดภัย

◆ ในเหตุการณ์นี้ แฮ็กเกอร์ใช้สกุลเงินพื้นเมืองของ EOS เพื่อแลกเปลี่ยนโทเค็นปลอม ส่งผลให้ EOS ในระบบ NewDex มีค่าเสื่อมราคาอย่างรุนแรง

◆ แฮ็กเกอร์สามารถประสบความสำเร็จได้เนื่องจาก NewDex ไม่ได้ตรวจสอบข้อเท็จจริงของโทเค็นผ่านสัญญาอัจฉริยะ ดังนั้นเราสรุปได้ว่า: โดยพื้นฐานแล้ว NewDex เป็นเพียงการแลกเปลี่ยนนอกการแลกเปลี่ยนแบบรวมศูนย์ที่จัดการคำสั่งบัญชีที่ผู้ใช้ใช้เมื่อทำการซื้อขาย มันไม่ใช่การแลกเปลี่ยนแบบกระจายอำนาจอย่างที่เขาอ้าง!

◆ สัญญาณต่างๆ บ่งชี้ว่า NewDex กำลังแสร้งทำเป็นการแลกเปลี่ยนแบบกระจายอำนาจ พวกเขาเพียงแค่ทำการจับคู่การค้าบนเซิร์ฟเวอร์กลางของพวกเขา ระบบไม่ได้ตรวจสอบความถูกต้องของโทเค็นที่ฝากไว้ในขณะที่ดำเนินการซื้อขาย

◆ ที่นี่ เราขอแนะนำให้คุณดำเนินการตรวจสอบสถานะโดยละเอียดเมื่อเลือกการแลกเปลี่ยนสกุลเงินดิจิทัลสำหรับการซื้อขาย และอย่าสับสนกับการประชาสัมพันธ์ทางสื่อเช่นโทเค็นการให้คะแนนชื่อระดับแรก

เบื้องหลังเหตุการณ์:

เบื้องหลังเหตุการณ์:

เมื่อวันที่ 19 กันยายน 2018 Bitcoin, MonaCoin และ Bitcoin Cash ถูกขโมยจากการแลกเปลี่ยน Zaif ซึ่งมีสำนักงานใหญ่ในโอซาก้า Tech Bureau Corp. จำนวนเงินทั้งหมดที่ถูกขโมยเป็นของสกุลเงินดิจิทัลมูลค่า 60 ล้านดอลลาร์ ประมาณ 2.2 พันล้านเยน (19.6 ล้านดอลลาร์) ใน cryptocurrency ที่ถูกขโมยเป็นของการแลกเปลี่ยนและส่วนที่เหลือเป็นเงินของลูกค้า

ขนาดการสูญเสีย: 60 ล้านเหรียญ

ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

◆ หลังจากวันที่ 14 กันยายน 2018 zaif exchange ได้ปิดบริการฝากและถอนสำหรับผู้ใช้

◆ จากข้อมูลของ Zaif Exchange เหตุผลในการปิดบริการคือระหว่างเวลา 17:00 น. ถึง 19:00 น. ของวันที่ 14 กันยายน มีคนแฮ็กเข้าไปในกระเป๋าเงินร้อนอย่างผิดกฎหมาย

◆ ได้รับการยืนยันแล้วว่าพฤติกรรมที่ผิดกฎหมายของแฮ็กเกอร์ส่งผลให้ BTC, Bitcoin Cash และ Monacoin มูลค่า 5,900 ดอลลาร์สหรัฐสูญหาย

◆ Zaif ไม่ได้เปิดเผยรายละเอียดของการโจมตีในแถลงการณ์ แต่ขอความช่วยเหลือจากทางการญี่ปุ่นในการสอบสวนการโจรกรรม

◆ ข้อเท็จจริงได้พิสูจน์แล้วว่า ก่อนการโจมตีครั้งนี้ Financial Services Agency (FSA) ของญี่ปุ่นได้ออกคำเตือนล่วงหน้าถึง zaif เกี่ยวกับระบบการจัดการภายในและมาตรการรักษาความปลอดภัยในวันที่ 8 มีนาคมและ 22 มิถุนายนตามลำดับ

◆ ทันทีหลังการโจรกรรม สำนักงานบริการทางการเงินของญี่ปุ่น (FSA) ได้ออกคำสั่งปรับปรุงธุรกิจฉบับที่สามในปีนี้ให้แก่ Tech Bureau ซึ่งเป็นบริษัทแม่ของ Zaif แต่ Zaif Exchange ไม่ดำเนินการตามคำแนะนำของ FSA

◆ จากการเปิดเผยของ Zaif ต่อทางการ สาเหตุของเหตุการณ์คือคอมพิวเตอร์ของพนักงานของการแลกเปลี่ยนถูกแฮ็ก

◆ ในวันที่ 22 พฤศจิกายน Zaif Exchange ได้โอนธุรกิจที่เกี่ยวข้องกับสกุลเงินเสมือนจริงให้กับ FISCO Group และ Fisco Group จะเข้าครอบครอง Zaif และชดเชยเงินที่ถูกขโมยไปให้กับผู้ใช้

มุมมองของเสือดำที่ปลอดภัย

มุมมองของเสือดำที่ปลอดภัย

◆ ตามข้อบ่งชี้ต่างๆ สาเหตุของเหตุการณ์น่าจะเป็นไปได้ว่าคอมพิวเตอร์ของพนักงาน Zaif ถูกโจมตีสำเร็จโดยแฮกเกอร์โดยใช้เว็บไซต์ฟิชชิ่ง

◆ สำหรับการแลกเปลี่ยนสกุลเงินดิจิทัล ไม่ใช่เรื่องที่ไม่สมควรอย่างยิ่งที่จะทำผิดพลาดในระดับต่ำเช่นนี้

ชื่อเรื่องรอง

การโจมตีอื่นที่คล้ายกัน

ในเดือนกรกฎาคม 2017 วิธีการเดียวกันนี้ถูกนำมาใช้ในการแฮ็ก Bithumb ซึ่งเงินดิจิทัลหลายล้านดอลลาร์ถูกขโมยไป และข้อมูลลูกค้ารั่วไหล

พื้นหลังเหตุการณ์

พื้นหลังเหตุการณ์

SpankChain เป็นโครงการบล็อกเชนเพื่อความบันเทิงสำหรับผู้ใหญ่ที่อิงตามเชนสาธารณะของ Ethereum ทีมงานบล็อกเมื่อวันที่ 9 ตุลาคมว่าถูกแฮ็กเมื่อวันเสาร์ที่ผ่านมา (6 ตุลาคม) และสูญเสีย 165.38 ETH (มูลค่าประมาณ 38,000 ดอลลาร์ในขณะนั้น) เหรียญ BOOTY มูลค่า 4,000 ดอลลาร์ถูกแช่แข็งอีก

ระดับการสูญเสีย: มากกว่า $40,000 (รวมกับราคาของโทเค็น ETH และ BOOTY ที่หายไปในขณะนั้น)

วิธีการโจมตีประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

◆ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่การกลับเข้ามาใหม่ในสัญญาอัจฉริยะของ SpankChain ซึ่งคล้ายกับช่องโหว่ที่รู้จักกันดีในเหตุการณ์ DAO

◆ ทีมเทคนิคค้นพบว่าสัญญาถูกแฮ็กหลังจากการโจมตี 24 ชั่วโมง และทีม SpankChain ปิดเว็บไซต์ทางการทันที

◆ หลังจากการโจมตี บริษัทระบุว่าพวกเขาจะทำงานบน ETH airdrop เพื่อคืนเงินให้กับผู้ใช้ที่สูญเสียเงินในการโจมตี

◆ เมื่อวันที่ 12 ตุลาคม แฮ็กเกอร์ได้ติดต่อ CEO ของ SpankChain และส่งคืน 165.38 ETH ให้กับทีม นอกจากนี้ แฮ็กเกอร์ยังช่วยให้ SpankChain กู้คืนโทเค็น BOOTY ประมาณ 4,000 รายการที่ถูกแช่แข็งเนื่องจากการโจมตี เพื่อเป็นการตอบแทน ทีมงาน SpankChain ได้ให้รางวัลแก่แฮ็กเกอร์

มุมมองของเสือดำที่ปลอดภัย

มุมมองของเสือดำที่ปลอดภัย

◆ ชุมชนบล็อกเชนของ SpankChain ตอบโต้อย่างรุนแรงต่อเหตุการณ์นี้ อาจเป็นเพราะเป็นการยากที่จะยอมรับแฮ็กเกอร์ที่ใช้ช่องโหว่การกลับเข้าระบบที่มีชื่อเสียงในการโจมตี

◆ Reentrancy คือการเรียกซ้ำ กล่าวคือ การเรียกซ้ำไปยังฟังก์ชันและการเรียกซ้ำไปยังตัวเอง วิธีแก้ปัญหาพื้นฐานที่สุดสำหรับช่องโหว่ reentrancy คือการอัปเดตสถานะทั้งหมดที่ควรเปลี่ยนแปลงก่อนการโอนย้าย แทนที่จะเป็นหลังการโอน เพื่ออัปเดต

◆ ในที่นี้ ฉันเตือนทุกคนอีกครั้งถึงความสำคัญของการตรวจสอบความปลอดภัยในอุตสาหกรรมบล็อกเชน ก่อนที่จะไปที่ห่วงโซ่ คุณจะต้องลงทุนค่าธรรมเนียมเล็กน้อยเพื่อดำเนินการตรวจสอบความปลอดภัยบนสัญญาอัจฉริยะ ซึ่งสามารถหลีกเลี่ยงสิ่งนี้ได้เป็นอย่างดี

◆ ใน blockchain ไม่มีแนวคิดของการลบและการแก้ไข เมื่อสัญญาถูกนำไปใช้กับ public chain แล้ว จะไม่สามารถแก้ไขได้ แฮ็กเกอร์หลายหมื่นคนทั่วโลกสามารถหาช่องโหว่ด้านบนทีละบรรทัดอย่างช้าๆ สำหรับอุตสาหกรรมบล็อกเชน การตรวจสอบความปลอดภัยเป็นกระบวนการที่สำคัญ

◆ โชคดีที่แฮ็กเกอร์ได้คืนอีเธอร์มูลค่าหลายล้านดอลลาร์ในขณะนั้น ยังไม่ชัดเจนว่าทำไมแฮ็กเกอร์จึงคืนเงินที่ถูกขโมยมา ซึ่งอาจเป็นการปลอบใจเหยื่อ แต่ก็ไม่ได้เกิดขึ้นบ่อยนัก แต่นี่ไม่ใช่ครั้งแรกที่มีแฮ็กเกอร์คืนเงินที่ถูกขโมยไปในเหตุการณ์ CoinDash ICO

ชื่อเรื่องรอง

การโจมตีอื่นที่คล้ายกัน

DAO Hack - หนึ่งในเหตุการณ์ที่โด่งดังที่สุดในประวัติศาสตร์ของ Ethereum blockchain ซึ่งทำให้เกิดการ hard fork ของ Ethereum blockchain โดยแยกออกเป็น Ethereum และ Ethereum Classic

EOSBet Casino (14 กันยายน และ 15 ตุลาคม 2018)

EOSBet เป็นแพลตฟอร์มเกมบน EOS ถูกแฮ็กเกอร์โจมตีสองครั้งในวันที่ 14 กันยายนและ 15 ตุลาคมตามลำดับ โดยขาดทุน 44,427.4302 EOS และ 138,319.7995 EOS ตามลำดับ

ระดับการสูญเสีย：200,000 USD + USD 338,000 (กล้อง EOS เสียทั้งคู่)

วิธีการโจมตีประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

ประวัติเหตุการณ์และการวิเคราะห์ความปลอดภัย

แฮ็คครั้งแรก:

◆ เมื่อวันที่ 14 กันยายน EOSBet ถูกโจมตีโดยแฮ็กเกอร์ ทีมงาน EOSBet ประกาศอย่างเป็นทางการ: การโจมตีครั้งนี้ไม่ง่าย เรากำลังดำเนินการรวบรวมหลักฐานและรวบรวมสิ่งที่เกิดขึ้นเพื่อหาเบาะแส

◆ จากการวิเคราะห์ของ TheNextWeb "วิธีโจมตีของแฮ็กเกอร์คือการใช้แฮชปลอมเพื่อเรียกฟังก์ชัน 'ถ่ายโอน' จากภายนอก"

◆ หลังจากการโจมตี บัญชี EOS ที่มีชื่อคล้ายกับบัญชี EOSBet อย่างเป็นทางการได้ส่ง EOS จำนวนเล็กน้อยไปยังที่อยู่ของผู้โจมตี พร้อมข้อความขอให้อีกฝ่ายคืนเงินที่ถูกขโมยไป โดยอ้างว่าหากไม่คืน พวกเขาจะจ้างทีมทนายความตามล่าและดำเนินคดีกับผู้โจมตี

◆ ในวันที่ 16 กันยายน EOSBet ออนไลน์อีกครั้งและเผยแพร่รายงานโดยละเอียดเกี่ยวกับการโจมตีของแฮ็กเกอร์อย่างเป็นทางการ โดยสัญญาว่าสัญญาของพวกเขาได้แก้ไขช่องโหว่ทั้งหมดแล้วและปัจจุบันปลอดภัยมาก

การโจมตีครั้งที่สอง:

◆ หนึ่งเดือนต่อมา แฮ็กเกอร์ใช้ช่องโหว่ในสัญญา EOSBet เมื่อตรวจสอบผู้รับเงิน ปลอมแปลงการแจ้งเตือนการโอน และทำกำไรรวม 138,319.7995 EOS จาก eosbetdice11

◆ ในหมู่พวกเขา 72,150 EOS ไหลเข้าสู่ Bitfinex และ 65,100 EOS ไหลเข้าสู่ Poloniex ตามราคาตลาด EOS ปัจจุบันที่ 37 หยวน แพลตฟอร์ม EOSBet สูญเสียมากกว่า 5 ล้านหยวนในครั้งนี้

มุมมองของเสือดำที่ปลอดภัย

มุมมองของเสือดำที่ปลอดภัย

บทส่งท้าย

บทส่งท้าย

เหตุการณ์ด้านความปลอดภัยที่สำคัญในช่วงสองเดือนของเดือนกันยายนและตุลาคมส่วนใหญ่มุ่งเน้นไปที่ช่องโหว่ของ EOS smart contract และช่องโหว่ที่เกี่ยวข้องกับการแลกเปลี่ยน และจำนวนการสูญเสียอาจกล่าวได้ว่าสูงมาก อย่างไรก็ตาม เหตุการณ์เหล่านี้จำนวนมากสามารถหลีกเลี่ยงได้โดยสิ้นเชิง สาเหตุที่ เหตุการณ์ด้านความปลอดภัยเกิดขึ้นบ่อยครั้งส่วนใหญ่มาจากความตระหนักด้านความปลอดภัยของเราที่อ่อนแอเกินไป

เหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นบ่อยครั้งควบคู่ไปกับการตกต่ำของอุตสาหกรรมได้ส่งผลกระทบต่อความเชื่อมั่นของผู้เข้าร่วม blockchain อย่างต่อเนื่องแต่เราอาจเปลี่ยนมุมมองของเราและมองไปที่การพัฒนาของอุตสาหกรรมทั้งหมดหากผู้เข้าร่วมในอุตสาหกรรมสามารถฟื้นตัวจากการสูญเสียครั้งใหญ่เหล่านี้ได้ใน เหตุการณ์ด้านความปลอดภัย จงระแวดระวัง เรียนรู้จากบทเรียนที่ผ่านมาและให้ความสำคัญกับการสร้างความปลอดภัยมากขึ้น ฉันเชื่อว่า สิ่งนี้เป็นสิ่งที่ดีมากสำหรับอุตสาหกรรมบล็อกเชนที่เฟื่องฟู

Cheetah blockchain security ใช้เทคโนโลยีของ Kingsoft Internet Security ร่วมกับปัญญาประดิษฐ์, nlp และเทคโนโลยีอื่น ๆ เพื่อให้ผู้ใช้ blockchain ได้รับบริการความปลอดภัยทางระบบนิเวศ เช่น การตรวจสอบสัญญาและการวิเคราะห์อารมณ์ Ratingtoken ผลิตภัณฑ์ของบริษัทมีไว้สำหรับสกุลเงินดิจิทัลและการจัดอันดับ ICO และการจัดอันดับ สถาบันจัดอันดับ blockchain ที่ได้รับความนิยมสูงสุด

เว็บไซต์อย่างเป็นทางการของ Ratingtokenเว็บไซต์อย่างเป็นทางการของ Ratingtoken