รายการเหตุการณ์ด้านความปลอดภัยของบล็อกเชนในปี 2561

ปี 2018 เป็นปีที่มีการพัฒนา blockchain เร็วที่สุด และมูลค่าตลาดรวมของ cryptocurrencies ทั่วโลกครั้งหนึ่งเคยสูงถึง 800 พันล้านดอลลาร์สหรัฐ แต่ช่องโหว่ที่ไม่มีที่สิ้นสุดทำให้ปี 2018 เป็นปีที่แฮ็กเกอร์อาละวาดมากที่สุด

เหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นบ่อยครั้งได้ขัดขวางการพัฒนาที่ดีของบล็อกเชนอย่างจริงจัง ไม่เพียงนำความสูญเสียจำนวนมากมาสู่ผู้ใช้เท่านั้น แต่ยังนำไปสู่การ "สิ้นสุด" ของหลายโครงการโดยตรง

เหตุการณ์ด้านความปลอดภัยใดที่เกิดขึ้นในปี 2561

ภาพรวม

ภาพรวม

ในปี 2561 ทั้งจำนวนเหตุการณ์ด้านความปลอดภัยและการสูญเสียที่เกิดขึ้นเพิ่มขึ้นอย่างทวีคูณ:

รูปที่ 1: แนวโน้มความสูญเสียทางเศรษฐกิจที่เกิดจากเหตุการณ์ด้านความปลอดภัย (10,000 USD) ที่มา: bcsec

รูปที่ 2: สถิติจำนวนเหตุการณ์ด้านความปลอดภัยที่สำคัญ ที่มา: bcsec

ตามสถิติของ Besec ในปี 2018 มีการขโมยเงินรวมมากกว่า 2 พันล้านดอลลาร์สหรัฐและจำนวนเหตุการณ์ขนาดใหญ่เกิน 130 ครั้ง (เฉลี่ย 3 วัน) ผู้ใช้บล็อกเชนและฝ่ายโครงการกลายเป็น แฮกเกอร์ทั่วโลก

รูปที่ 3: สถิติความสูญเสียที่เกิดจากเหตุการณ์ด้านความปลอดภัยในปี 2561 ที่มา: 31QU

ชื่อระดับแรก

การรักษาความปลอดภัยสัญญาอัจฉริยะ

ปัจจุบัน blockchain โดยรวมยังคงอยู่ในภาวะถดถอย แต่การพัฒนา smart contracts นั้นเสถียรมาก ตามข้อมูลของ Cheetah Blockchain Security Center จำนวนสัญญาอัจฉริยะบน Ethereum เพิ่มขึ้นโดยเฉลี่ย 2,000+ ต่อวันในเดือนที่ผ่านมา

แม้ว่าจำนวนของช่องโหว่ของสัญญาอัจฉริยะจะมีจำนวนน้อยแต่ความสูญเสียที่เกิดขึ้นนั้นมหาศาลซึ่งเกี่ยวข้องกับลักษณะของ solidity language และยังเกี่ยวข้องกับโปรโตคอล ERC20 ที่อำนวยความสะดวกในการออกโทเค็น

ประเภทการโจมตี 10 อันดับแรกของช่องโหว่สัญญาอัจฉริยะคือ:การโจมตีย้อนกลับ, การควบคุมสิทธิ์, จำนวนเต็มล้น, ค่าส่งคืนการโทรที่ไม่ได้ตรวจสอบ, การพึ่งพาลำดับธุรกรรม, การพึ่งพาการประทับเวลา, การแข่งขันตามเงื่อนไข, การโจมตีที่อยู่สั้น, การประมวลผลแบบสุ่มที่คาดการณ์ได้ ฯลฯ

ในบรรดางานสมาร์ทคอนแทรค งานที่มีชื่อเสียงที่สุดคืองานเชนของสหรัฐฯ ในช่วงบ่ายของวันที่ 22 เมษายน 2018 สัญญา BEC Meimi ซึ่งเพิ่งออกได้ประมาณสองเดือนมีช่องโหว่ขนาดใหญ่ แฮ็กเกอร์สร้างโทเค็นไม่จำกัดผ่านวิธีการโอนเป็นกลุ่มของสัญญา และ BEC จำนวนมาก ถูกโอนจากที่อยู่สองแห่ง ซึ่งทำให้เกิดกระแสเทขาย ในวันนั้นมูลค่าของ BEC แทบจะเป็นศูนย์ ยอดขาดทุนทะลุ 1 พันล.

เนื่องจากบล็อกเชน"รหัสคือทุกสิ่ง"ด้วยเหตุนี้ ในปัจจุบันจึงยังไม่มีวิธีการป้องกันความปลอดภัยที่มีประสิทธิภาพเพื่อหลีกเลี่ยงปัญหาด้านความปลอดภัยของสัญญาอัจฉริยะได้อย่างสมบูรณ์

สำหรับการพัฒนาสัญญาอัจฉริยะ Xiaobao แนะนำให้ละทิ้งแนวคิดของ "การพัฒนาแบบคล่องตัว" ให้ใช้วิธีการที่ช้าและเป็นระบบในการพัฒนาสัญญาอัจฉริยะด้วยความเอาใจใส่และคำนึงถึงมากที่สุดเท่าที่จะเป็นไปได้เมื่อเริ่มออกแบบและเขียนโค้ด

ผู้จัดการฝ่ายพัฒนาไม่ควรกดดันนักพัฒนามากเกินไป (เช่น การกำหนดเส้นตายที่เข้มงวด ฯลฯ) โดยทั่วไปแล้ว จะมีปัญหาไม่มากก็น้อยกับสิ่งที่ถูกผลักดันออกไป

นอกจากนี้ ก่อนที่จะไปที่เชน การหาบริษัทรักษาความปลอดภัยบล็อกเชนแบบมืออาชีพเป็นพื้นฐานและจำเป็นที่สุดเพื่อดำเนินการตรวจสอบความปลอดภัยของสัญญาอัจฉริยะ

ต่อไปนี้คือเหตุการณ์ใหญ่ของสัญญาอัจฉริยะในปี 2561 และรายละเอียดบางส่วนของเหตุการณ์ที่เกี่ยวข้อง:

(1) เมื่อวันที่ 22 สิงหาคม 2018 สัญญา GOD.GAME ถูกแฮ็ก และจำนวน Ethereum ทั้งหมดใน GOD smart contract กลับเป็นศูนย์

(2) เมื่อวันที่ 25 เมษายน 2018 เกิดการละเมิดความปลอดภัยครั้งใหญ่ใน SmartMesh ส่งผลให้สูญเสียเงิน 140 ล้านดอลลาร์

ชื่อระดับแรก

ความปลอดภัยของการแลกเปลี่ยน

ตามรายงานที่ออกโดยบริษัทรักษาความปลอดภัยเครือข่าย CiferTrace ในเดือนตุลาคม ในช่วง 9 เดือนแรกของปี 2018 สกุลเงินดิจิทัลที่ถูกขโมยผ่านการแฮ็กการแลกเปลี่ยนสูงถึง 927 ล้านดอลลาร์สหรัฐ ซึ่งมากกว่า 2.5 เท่าของปี 2017 ทั้งหมด

รายงานการสอบสวนโดยกระทรวงวิทยาศาสตร์และเทคโนโลยีของเกาหลีใต้ระบุว่า “การแลกเปลี่ยนส่วนใหญ่มีช่องโหว่ด้านความปลอดภัย”

เหตุใดจึงมีปัญหาด้านความปลอดภัยมากมายกับการแลกเปลี่ยน cryptocurrency

ในด้านหนึ่ง ความเป็นนิรนาม ไม่มีการปลอมแปลง และไม่มีการกำกับดูแลของสกุลเงินดิจิทัล นำไปสู่การโอนสินทรัพย์ที่สะดวกและความยากลำบากในการตรวจสอบย้อนกลับและการเรียกคืน ในทางกลับกัน อุตสาหกรรมการซื้อขายสกุลเงินดิจิทัลเพิ่งเกิดขึ้นในช่วงเวลาสั้น ๆ พัฒนาอย่างรวดเร็วและมีผลกำไรสูง ด้วยเหตุนี้ การสร้างความปลอดภัยของข้อมูลจึงยังถูกละเลยเมื่อการสะสมเทคโนโลยีไม่เพียงพอยังมีสิ่งซ่อนอยู่มากมาย ช่องโหว่ด้านความปลอดภัย และค่อนข้างง่ายที่จะโจมตี มีแม้แต่การแลกเปลี่ยนดิจิทัลที่เข้ารหัสซึ่งไม่มีระบบรักษาความปลอดภัยเลย

ภัยคุกคามด้านความปลอดภัยที่การแลกเปลี่ยนสกุลเงินดิจิทัลเผชิญส่วนใหญ่ ได้แก่:ช่องโหว่ของซอฟต์แวร์เซิร์ฟเวอร์ การกำหนดค่าที่ไม่เหมาะสม การโจมตี DDoS ช่องโหว่ของโปรแกรมเว็บฝั่งเซิร์ฟเวอร์ (รวมถึงช่องโหว่ทางเทคนิคและข้อบกพร่องของตรรกะทางธุรกิจ) ปัญหาความปลอดภัยของคอมพิวเตอร์สำนักงาน การโจมตีจากวงใน ฯลฯ

สำหรับการแลกเปลี่ยนที่มีขนาดใหญ่และมีผู้ใช้จำนวนมาก ผู้ใช้จะประสบปัญหาผู้ใช้ถูกหลอกลวงโดยผู้โจมตีเพื่อรับข้อมูลการพิสูจน์ตัวตนผ่านเว็บไซต์ฟิชชิ่งปลอม

เพื่อตอบสนองต่อภัยคุกคามความปลอดภัยเหล่านี้ Xiaobao แนะนำว่าการแลกเปลี่ยนควรให้บริการด้านความปลอดภัย เช่น การทดสอบการเจาะระบบและการตรวจสอบโค้ดเพื่อขุดและซ่อมแซมช่องโหว่ด้านความปลอดภัยในระบบก่อนที่จะเผชิญกับผู้ใช้

นอกจากนี้ ขอแนะนำให้การแลกเปลี่ยนดำเนินการฝึกอบรมความปลอดภัยขั้นพื้นฐานที่จำเป็นสำหรับพนักงานที่ได้รับการว่าจ้างอย่างเป็นทางการทุกคน

สุดท้ายสำหรับชาวเน็ตที่ซื้อขายสกุลเงินเสมือนดิจิทัลขอแนะนำให้ทุกคนริเริ่มเรียนรู้ความรู้ด้านความปลอดภัยและใช้ซอฟต์แวร์รักษาความปลอดภัยบนคอมพิวเตอร์และเทอร์มินัลมือถือ อย่า "วิ่งเปล่า" ด้วยความมั่นใจเพื่อหลีกเลี่ยงการตกหลุมพรางของฟิชชิงและกระเป๋าเงิน ขโมย . .

ต่อไปนี้เป็นการขโมยการแลกเปลี่ยนสกุลเงินดิจิทัลในปี 2018 และรายละเอียดเฉพาะของเหตุการณ์ที่เกี่ยวข้อง

(1) ในเดือนมกราคม Coincheck ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดของญี่ปุ่น ถูกขโมย XEM มูลค่า 534 ล้านดอลลาร์สหรัฐ Coincheck เป็นการแลกเปลี่ยนที่ใหญ่เป็นอันดับ 2 ในญี่ปุ่น ในการแถลงข่าวอย่างเป็นทางการในภายหลัง Coincheck ระบุว่า XEM ถูกขโมยเนื่องจากรหัสส่วนตัวของกระเป๋าเงินร้อนที่เก็บ XEM ถูกแฮ็กเกอร์ขโมย ได้รับผลกระทบจากเหตุการณ์นี้ XEM ลดลง 9.8% ในวันนั้น

(2) เมื่อวันที่ 11 กุมภาพันธ์ BitGrail บริษัทแลกเปลี่ยนสกุลเงินดิจิทัลของอิตาลีถูกโจมตี และสกุลเงินดิจิทัล NANO มูลค่า 170 ล้านดอลลาร์ถูกขโมยไป

(3) เมื่อวันที่ 7 มีนาคม Binance ถูกแฮ็ก แฮ็กเกอร์ควบคุมบางบัญชีของ Binance ขาย bitcoins ที่ถือโดยบัญชีเหล่านี้ และซื้อเหรียญ VIA ซึ่งทำให้ VIA พุ่งขึ้นต่อต้านตลาด Binance ย้อนกลับการทำธุรกรรมที่ผิดปกติ แต่เหตุการณ์นี้ยังคงกระตุ้นความหวาดกลัวในตลาด และ Bitcoin ร่วงลงมากกว่า 15% ในอีกไม่กี่วันข้างหน้า

(4) เมื่อวันที่ 1 เมษายน Bit-Z ถูกแฮ็กและเงินไม่สูญหาย ด้วยเหตุนี้ Bit-Z จึงได้จัดตั้งกองทุนความปลอดภัย 10,000 ETH เป็นพิเศษเพื่อให้รางวัลแก่ผู้ส่งช่องโหว่ด้านความปลอดภัย รางวัลมีมูลค่า 4 ล้านเหรียญในขณะนั้น

(5) เมื่อวันที่ 13 เมษายน Coinsecure ซึ่งเป็นหนึ่งในสามของการแลกเปลี่ยน bitcoin ที่สำคัญในอินเดีย ได้ประกาศบนเว็บไซต์อย่างเป็นทางการว่า 438 BTC มูลค่าประมาณ 3.3 ล้านเหรียญถูกขโมยไปจากการแลกเปลี่ยน Amitabh Saxena หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Exchange ถูกเสนอชื่อให้เป็นผู้ต้องสงสัย นี่คือการขโมย cryptocurrency ที่ใหญ่ที่สุดในอินเดีย

(6) เมื่อวันที่ 5 มิถุนายน Bitfinex ประสบกับการโจมตีแบบ "ปฏิเสธการให้บริการ" และ Bitfinex ระงับธุรกรรมทั้งหมดในการแลกเปลี่ยนทันที

(7) เมื่อวันที่ 10 มิถุนายน Coinrail ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลของเกาหลีใต้ ถูกแฮ็กและสูญเสียเงินไปกว่า 50 ล้านดอลลาร์ 70% ของอุปทาน cryptocurrency ของ Coinrail ถูกเก็บไว้ในห้องเย็น และสองในสามของอุปทานที่ถูกขโมยได้รับการกู้คืนแล้ว

(8) เมื่อวันที่ 20 มิถุนายน Bithumb บริษัทแลกเปลี่ยนสกุลเงินดิจิทัลของเกาหลีใต้ถูกแฮ็ก และเงินดิจิทัลมูลค่า 30 ล้านดอลลาร์ถูกขโมยไป นี่เป็นครั้งที่สามที่ Bithumb ถูกแฮ็ก

ก่อนหน้านี้การแลกเปลี่ยนได้รับความเดือดร้อนจาก "การโจมตีด้วยการแฮ็ก" สองครั้ง

ครั้งแรก: ในเดือนเมษายน 2017 คอมพิวเตอร์ของพนักงานของ Bithumb ถูกแฮ็ก ส่งผลให้มีการขโมยข้อมูลของผู้ใช้มากกว่า 30,000 ราย และ Bithumb ถูกปรับ 55,000 ดอลลาร์โดยหน่วยงานกำกับดูแลของเกาหลีใต้

ครั้งที่สอง: เมื่อวันที่ 22 ธันวาคม 2017 สถานีโทรทัศน์ MBC ของเกาหลีใต้ได้ว่าจ้างบริษัทรักษาความปลอดภัยให้ทำการทดสอบความปลอดภัยในตลาดหุ้นเกาหลีใต้ 5 แห่งรวมถึง Bithumb บริษัทรักษาความปลอดภัยประสบความสำเร็จในการ "แฮ็ก" การแลกเปลี่ยน 5 รายการรวมถึง Bithumb และได้รับข้อมูลผู้ใช้และเงินบางส่วน "แฮ็กเกอร์" ที่ได้รับการว่าจ้างอ้างว่าใช้เพียง "ทักษะการแฮ็กขั้นพื้นฐาน" เท่านั้น

อย่างไรก็ตาม ปัญหาด้านความปลอดภัยไม่ได้รับความสนใจมากพอจากการแลกเปลี่ยน ซึ่งนำไปสู่เหตุการณ์การแฮ็กในเดือนมิถุนายน 2018

ชื่อระดับแรก

ความปลอดภัยของ Dapp

สัญญาอัจฉริยะและการแลกเปลี่ยนเป็นพื้นที่ที่ได้รับผลกระทบหนักที่สุดสำหรับการรักษาความปลอดภัย DApps ซึ่งได้รับความสนใจอย่างมากในปี 2018 ก็ยังไม่รอดพ้นจากเงื้อมมือของแฮ็กเกอร์ แม้ว่าปริมาณการสูญเสียจะค่อนข้างต่ำในเหตุการณ์ด้านความปลอดภัยทั้งหมด แต่เหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นบ่อยครั้งได้ส่งผลกระทบร้ายแรงต่อ ระบบนิเวศ Dapp การลงจอดและการประยุกต์ใช้

จากข้อมูลล่าสุดจาก Dapp.review จำนวนรวมของ DApps ที่ทำงานบนเครือข่ายสาธารณะเช่น Ethereum, EOS และ TRON เกิน 1,900

EOS อยู่ในขั้นตอนการพัฒนาเริ่มต้นของการสร้างระบบนิเวศของ DApp และปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับ DApp ก็เกิดขึ้นอย่างไม่รู้จบ ณ เดือนธันวาคม ความสูญเสียเนื่องจากช่องโหว่ของ DApp สูงถึง 395,000 EOS และ 13,000 ETH เมื่อคำนวณตามมูลค่าตลาดสูงสุดของทั้งสอง การสูญเสียความมั่งคั่งเกินกว่า 27 ล้านเหรียญสหรัฐ

ในช่วงครึ่งหลังของปี 2018 เหตุการณ์ด้านความปลอดภัยของ DApp เกิดขึ้นอย่างเข้มข้น และเหตุการณ์การแฮ็กส่วนใหญ่เกิดขึ้นบน EOS mainnet วิธีการโจมตีก็เต็มไปด้วยเล่ห์เหลี่ยม: การโจมตีด้วยตัวเลขแบบสุ่ม, ช่องโหว่ของเมล็ดพันธุ์, การโจมตีสกุลเงินปลอม...

EOS เป็นระบบปฏิบัติการบล็อกเชนระดับองค์กรที่มีความคาดหวังสูง เหตุใด DApps จึงมีเหตุการณ์การแฮ็กเกิดขึ้นมากมาย

ในเดือนพฤษภาคมปีนี้ BM ผู้ก่อตั้ง EOS เคยกล่าวไว้ว่าการให้บริการช่องโหว่ที่มีค่าสำหรับเครือข่ายหลัก EOS จะได้รับรางวัล 10,000 ดอลลาร์สหรัฐ หลังจากออกคำสั่งให้รางวัล ชาวเน็ตชื่อ "Jon Bottarini" เปิดเผยว่ามีผู้ค้นพบ 8 ช่องโหว่ในเวลาเพียงวันเดียวและได้รับรางวัล 80,000 ดอลลาร์สหรัฐ สิ่งนี้ยังแสดงให้เห็นอย่างชัดเจนว่ามีปัญหาด้านความปลอดภัยมากมายในเครือข่ายหลักของ EOS เอง

อันที่จริงแล้ว การโจมตี DApps บน EOS นั้นมีความเป็นมืออาชีพและทำงานเป็นทีมมากขึ้นเรื่อยๆ

ตั้งแต่เดือนพฤศจิกายน DApps แบบทดสอบ EOS หลักสามรายการ ได้แก่ EOSDice, FFgame และ EOS.WIN ประสบกับการโจมตี "ช่องโหว่หมายเลขสุ่ม" อย่างต่อเนื่อง ตามที่ผู้คนคุ้นเคยกับเรื่องนี้ การโจมตีเหล่านี้กระทำโดยบุคคลคนเดียวหรือทีมเดียวกัน คนที่คุ้นเคยกับเรื่องนี้กล่าวว่าบัญชีของการแลกเปลี่ยนแฮ็กเกอร์ถูกล็อคเรียบร้อยแล้ว

เมื่อเปรียบเทียบกับเครือข่าย EOS แล้ว Ethereum มีเหตุการณ์การแฮ็กน้อยกว่าเล็กน้อย

ต่อไปนี้คือเหตุการณ์การแฮ็กที่เกิดขึ้นบน DApp ตั้งแต่ปี 2018 และรายละเอียดเฉพาะของเหตุการณ์ที่เกี่ยวข้อง:

(1) เมื่อวันที่ 25 กรกฎาคม ช่องโหว่ "ล้น" เกิดขึ้นในเกมมนุษย์หมาป่า (Fomo 3D เวอร์ชัน EOS) ส่งผลให้สูญเสีย 60,686 EOS ในเกม หลังจากการชี้ขาดพฤติกรรมของแฮ็กเกอร์ EOS Core Arbitration Forum (EACF) ได้ออกคำสั่งอนุญาโตตุลาการฉบับใหม่เพื่อระงับบัญชี EOS ของแฮ็กเกอร์: eosfomoplay1

(2) เมื่อวันที่ 22 สิงหาคม Fomo 3D (ผู้ชนะคนสุดท้าย) ถูกแฮ็กและสูญเสีย 10,469 ETH (มูลค่าประมาณ 3 ล้านเหรียญสหรัฐ) ห้องปฏิบัติการ SECBIT ประกาศเป็นครั้งแรกว่าผู้ชนะรางวัล Fomo3D ได้นำ "เทคนิคการโจมตีพิเศษ" มาใช้ ผู้โจมตีใช้ค่าธรรมเนียมสูงเพื่อดึงดูดคนงานเหมืองให้จัดลำดับความสำคัญของบรรจุภัณฑ์ และสุดท้าย บล็อกบล็อกด้วยต้นทุนที่ต่ำกว่าเพื่อเร่งการสิ้นสุดของ เกม เพิ่มโอกาสในการชนะของคุณ

เมื่อวันที่ 24 กันยายน หลังจากรอบที่สองของเกม Fomo 3D เริ่มขึ้น แฮกเกอร์ใช้วิธีการโจมตีที่คล้ายกันและได้รับรางวัล 3264.668 Ethereum

(3) เมื่อวันที่ 27 สิงหาคม เกมเป่ายิ้งฉุบภายใต้ Luckyos ถูกแฮ็ก และไม่ทราบการสูญเสีย

(4) ในวันที่ 2 กันยายน EOS.win "หมายเลขสุ่ม" ถูกแฮ็ก ส่งผลให้สูญเสีย 2,000ESO

(5) ในวันที่ 10 กันยายน EOSBet ถูกโจมตีโดยแฮ็กเกอร์และสูญเสีย EOS ไปทั้งหมด 4,000 EOS 4 วันต่อมา EOSBet ถูกโจมตีอีกครั้งโดยแฮ็กเกอร์ด้วย "การแจ้งเตือนที่ผิดพลาด" และสูญเสีย 145,321 EOS การสูญเสียได้รับการกู้คืนแล้ว

(6) เมื่อวันที่ 12 กันยายน LuckyGo ถูกบังคับให้ออฟไลน์โดยผู้โจมตี iloveloveeos (สัญญาที่เป็นอันตราย) คืนนั้น iloveloveeos โจมตีเกม LuckyGo ที่เพิ่งเปิดตัวอย่างรวดเร็ว การโจมตีทั้งสองนี้เป็นของ "การโจมตีข้อบกพร่องจำนวนสุ่ม"

(7) ในวันที่ 12 กันยายน EOS Happy Slot ถูกแฮ็กเกอร์เล่นซ้ำและสูญเสีย 5,000 EOS แฮ็กเกอร์ที่มีบัญชี imeosmainnet ใช้ "การโจมตีซ้ำ" ทำให้ฝ่ายโครงการสูญเสีย 5,000 EOS

(8) เมื่อวันที่ 14 กันยายน Newdex การแลกเปลี่ยนแบบกระจายอำนาจถูกแฮ็ก แฮ็กเกอร์ใช้สกุลเงินปลอมเพื่อแลกเปลี่ยนสกุลเงินจริงในพื้นที่แลกเปลี่ยน ทำกำไรทั้งหมด 11,803 EOS

ขั้นตอนการโจมตีมีดังนี้: ผู้โจมตีสร้างโทเค็นใหม่ที่มียอดหมุนเวียน 1 พันล้าน (ยอดหมุนเวียนของ EOS คือ 1 พันล้าน) และตั้งชื่อว่า "EOS" ผู้โจมตีใช้วิธีพิเศษในการแลกเปลี่ยน EOS ปลอม 11,800 เหรียญเป็นเหรียญจริงจำนวนมากใน Newdex

(9) ในวันที่ 15 กันยายน EOS.Win ถูกโจมตีโดยแฮ็กเกอร์ด้วยเหรียญปลอม และ EOS.Win หายไปทั้งหมดกว่า 4,000 เหรียญ

ในวันที่ 11 พฤศจิกายน EOS.Win ก็ถูกโจมตีครั้งที่สองเช่นกันในวันที่ 11 พฤศจิกายน ในการโจมตีครั้งนี้ แฮ็กเกอร์ได้โจมตีสัญญาเกม EOS.WIN (eosluckydice) ทั้งหมด 10 ครั้งภายในหนึ่งนาที สร้างรายได้มากกว่า 9180 EOS

(10) ในวันที่ 16 ตุลาคม World Conquest ถูกโจมตีโดยแฮ็กเกอร์ด้วย "กฎการจ่ายภาษี" และปฏิเสธผู้เล่นรายอื่นที่จะเข้าร่วม ดังนั้นจึงทำกำไรได้ 4555 EOS;

(11) เมื่อวันที่ 26 ตุลาคม EOS Royale ประสบกับการโจมตี "ตัวเลขสุ่ม" โดยแฮ็กเกอร์ และทำให้ EOS หายไป 10,800 ตัว กระบวนการมีดังนี้: แฮ็กเกอร์คำนวณข้อมูลของบล็อกก่อนหน้าโดยเรียกตัวสร้างตัวเลขสุ่ม จากนั้นรับหมายเลขสุ่มของเกม ดังนั้นจึงถอดรหัสกระเป๋าเงิน EosRoyale และขโมยโทเค็น EOS มูลค่า 60,000 ดอลลาร์สหรัฐ

(12) เมื่อวันที่ 28 ตุลาคม EOS Poker ถูกโจมตีโดยแฮ็กเกอร์ด้วย "ช่องโหว่" และสูญเสีย 1374 EOS

(13) เมื่อวันที่ 31 ตุลาคม EOSCast ถูกโจมตีโดยแฮ็กเกอร์ด้วยเหรียญปลอม ส่งผลให้ 72,912 EOS ถูกแฮกเกอร์โอน ตามกฎของเกม แฮกเกอร์ใช้โทเค็น EOS ปลอม 100, 1,000 และ 10,000 เพื่อโจมตี และการโจมตีแต่ละครั้งจะได้รับ 198, 9,800 และ 19,600 EOS ในระหว่างการโจมตีครั้งล่าสุด ฝ่ายเกมสังเกตเห็นการโจมตีที่ผิดปกติและโอน EOS 8,000 ที่เหลือออกไปในคลังโบนัสทันเวลา

ECAF (คณะกรรมการอนุญาโตตุลาการหลักของ EOS ซึ่งมีอำนาจอนุญาโตตุลาการสำหรับสัญญาอัจฉริยะ) ตอบสนองต่อเหตุการณ์นี้ทันทีและออกคำสั่งอนุญาโตตุลาการเพื่ออายัดบัญชีที่เกี่ยวข้อง

(14) เมื่อวันที่ 4 พฤศจิกายน EOSDice ประกาศว่าสัญญาอัจฉริยะถูกโจมตี แต่เนื่องจากฟังก์ชันการตรวจจับโดยอัตโนมัติ หลังจากการโจมตี สัญญาจะโอนเงินที่เหลือไปยังที่อยู่ที่ปลอดภัยโดยอัตโนมัติ เหตุการณ์นี้ทำให้ EOSDice สูญเสีย 2545 EOS

(15) เมื่อวันที่ 8 พฤศจิกายน FFgame ประสบกับการโจมตีของแฮ็กเกอร์ บัญชีแฮ็กเกอร์ jk2uslllkjfd ทำการโจมตีมากถึง 304 ครั้งในสัญญาเกม FFgame (eoswallet415) ซึ่งทำรายได้ทั้งหมด 1331.2922 EOS

(16) เมื่อวันที่ 10 พฤศจิกายน แฮ็กเกอร์ได้ทำการโจมตีมากกว่า 700 ครั้งในสัญญาเกม MyEosVegas (eosvegasjack) ซึ่งทำรายได้มากกว่า 9,000 EOS

(17) ในวันที่ 26 พฤศจิกายน DApps ที่แข่งขันกันพบกับการโจมตีแบบย้อนกลับรูปแบบใหม่ที่ไม่เคยเกิดขึ้นมาก่อน

ชื่อระดับแรก

ความปลอดภัยของกระเป๋าเงิน

กระเป๋าเงินดิจิทัลสามารถแบ่งออกเป็นกระเป๋าเงินร้อนและกระเป๋าเงินเย็น กระเป๋าเงินเย็นค่อนข้างปลอดภัยเนื่องจากรหัสส่วนตัวไม่สัมผัสกับเครือข่าย อย่างไรก็ตาม ด้วยเทคโนโลยีที่ทำซ้ำอย่างรวดเร็ว ทั้งกระเป๋าเงินร้อนและกระเป๋าเงินเย็นก็ถูกโจมตีโดยแฮ็กเกอร์หลังจากนั้น อื่น.

ในปี 2018 จำนวนเงินที่สูญเสียเนื่องจากการรักษาความปลอดภัยกระเป๋าเงินอยู่ที่ประมาณ 40 ล้านดอลลาร์ ในหมู่พวกเขา แฮ็กเกอร์ส่วนใหญ่ได้รับคีย์ส่วนตัวของผู้ใช้ด้วยวิธีการต่างๆ ทำให้เกิดการขโมยทรัพย์สิน อีกส่วนเกิดจากข้อบกพร่องในการออกแบบกระเป๋าสตางค์

เนื่องจากลักษณะการกระจายอำนาจของบล็อกเชน เป้าหมายของแฮ็กเกอร์คือพยายามรับรหัสส่วนตัวของผู้ใช้ หากผู้ใช้จัดเก็บไม่ถูกต้อง ผู้ใช้อาจถูกโจมตีด้วยอีเมลฟิชชิ่ง ไวรัสม้าโทรจัน ฯลฯ ส่งผลให้เกิดทรัพย์สิน ขโมย

ดังนั้น ขอแนะนำให้ผู้ใช้ส่วนใหญ่คัดลอกคีย์ส่วนตัวลงบนกระดาษหรือเก็บไว้ในรูปแบบทางกายภาพ คัดลอกอย่างถูกต้อง แล้ววางไว้ในที่ที่จะไม่มีวันลืม ห้ามเก็บไว้บนอินเทอร์เน็ต อย่าทำ รวมรหัสส่วนตัวและกระเป๋าเงินเข้าด้วยกัน นอกจากนี้ พยายามเลือกกระเป๋าเงินที่มีฐานผู้ใช้จำนวนมากและเหตุการณ์ด้านความปลอดภัยที่น้อยลง สุดท้าย ไม่ว่าจะบนเว็บหรือเทอร์มินัลมือถือ คุณต้องติดตั้งซอฟต์แวร์รักษาความปลอดภัย และคุณต้องไม่เรียกใช้ "เปล่า" ".

ข้อบกพร่องในการออกแบบกระเป๋าเงินยังสามารถกระตุ้นการโจมตีได้ และเมื่อมันแตกออก อิทธิพลและการสูญเสียจะขยายวงกว้าง

มันจะสร้างกระเป๋าเงินใหม่สำหรับผู้ใช้ตามค่าเริ่มต้นและจัดเก็บไฟล์กระเป๋าเงินที่ไม่ได้เข้ารหัสไว้ในระบบ ผู้โจมตี สามารถอ่านไฟล์กระเป๋าเงินที่เก็บไว้และใช้วิธีการทางเทคนิค เช่น การวิเคราะห์ย้อนกลับ ไปยังกระเป๋าเงิน กู้คืนลอจิก อัลกอริทึมของกระเป๋าเงินและกู้คืนข้อมูลที่ละเอียดอ่อนโดยตรง เช่น ตัวช่วยจำและรูทคีย์ของผู้ใช้

สำหรับปัญหาด้านความปลอดภัยในส่วนนี้ เราสามารถแนะนำได้เพียงว่าโครงการกระเป๋าเงินควรหาทีมรักษาความปลอดภัยมืออาชีพเพื่อทำการตรวจสอบความปลอดภัยก่อนที่จะเผชิญหน้ากับผู้ใช้

ต่อไปนี้คือรายการเหตุการณ์การแฮ็กที่เกี่ยวข้องกับกระเป๋าเงินตั้งแต่ปี 2018:

(1) เมื่อวันที่ 8 มกราคม ผู้ใช้ Reddit Tippr ถูกแฮ็กและขโมย BCH (Bitcoin Cash) หลายพันรายการ

(2) เมื่อวันที่ 17 มกราคม กระเป๋าเงิน XLM ถูกโจมตีและเงินกว่า 400,000 ดอลลาร์ใน XLM ถูกขโมย ต้นตอของเหตุการณ์คือแฮกเกอร์เจาะเซิร์ฟเวอร์ DNS ของ BlackWallet.co คาดว่าเกือบ 700,000 XLM ถูกขโมยจากการโจมตีครั้งนี้ มูลค่ากว่า 400,000 ดอลลาร์สหรัฐ

(3) เมื่อวันที่ 22 มกราคม แฮ็กเกอร์เจาะเข้าไปในกระเป๋าเงิน IOTA และขโมย IOTA มูลค่า 4 ล้านดอลลาร์สหรัฐ จากข้อมูลของ CCN เหตุผลก็คือเว็บไซต์ที่ผู้ใช้ใช้เพื่อสร้างคีย์ส่วนตัวสำหรับกระเป๋าเงิน IOTA ถูกแฮ็ก

(4) เมื่อวันที่ 4 มีนาคม Titanium Alloy Blockchain (TBIS) ทวีตว่าถูกแฮ็กและโทเค็น BAR 18.7 ล้าน (ประมาณ 900,000 ดอลลาร์) ถูกขโมยจากกระเป๋าสตางค์ของบริษัท

(5) เมื่อวันที่ 17 เมษายน Ian Balina นักลงทุนสกุลเงินดิจิทัลและบล็อกเกอร์ YouTube ถูกแฮ็กเมื่อคืนนี้ขณะแสดงความคิดเห็นเกี่ยวกับโครงการ ICO สด แฮ็กเกอร์โอนเงินสกุลเงินดิจิทัลมากกว่า 2 ล้านดอลลาร์จากกระเป๋าเงิน Etherscan ของเขา

(6) เมื่อวันที่ 25 เมษายน MyEtherWallet ถูกไฮแจ็ก และสูญเสีย ETH ไปทั้งหมดประมาณ 500 ETH

(7) เมื่อวันที่ 6 มิถุนายน กระเป๋าเงิน MEW ของร้านค้าปลีกญี่ปุ่น Shopin ถูกแฮ็กและเงินดิจิทัลมูลค่ากว่า 10 ล้านเหรียญหายไป ซึ่งรวมถึง Ethereum, Level Up, Orbs และ Shopin

(8) เมื่อวันที่ 15 สิงหาคม ตำรวจในเมืองซีอาน มณฑลส่านซี ได้จับกุมผู้ต้องสงสัยแฮ็กเกอร์ระดับสูง 3 คน ทั้งสามทำงานร่วมกันเพื่อขโมยเงินดิจิทัลมูลค่า 600 ล้านหยวน

เมื่อวันที่ 30 มีนาคมปีนี้ หลังจากการโจรกรรม เหยื่อซึ่งเป็นชายแซ่จาง แจ้งความกับตำรวจว่าคอมพิวเตอร์ของเขาถูกโจมตีอย่างผิดกฎหมาย และสกุลเงินเสมือนมูลค่าหลายร้อยล้านดอลลาร์ถูกขโมยไป จากนั้นตำรวจก็เริ่มตามล่า เมื่อวันที่ 15 สิงหาคมปีนี้ แฮ็กเกอร์สามคนถูกตำรวจจับกุม

(9) เมื่อวันที่ 25 กันยายน บัญชีของ gm3dcnqgenes ซึ่งเป็นผู้ถือกล้อง EOS ขนาดใหญ่ถูกขโมย และสูญเสียเงินจำนวน 2.09 ล้าน EOS (ประมาณ 10.8 ล้านเหรียญสหรัฐ)

(10) เมื่อวันที่ 22 ตุลาคม Trade.io บริษัท blockchain ของสวิสระบุว่า TIO 50 ล้านรายการมูลค่า 7.5 ล้านดอลลาร์ถูกขโมยจากกระเป๋าเงินเย็น ซึ่ง 1.3 ล้าน TIO ถูกโอนไปยังการแลกเปลี่ยนสองแห่งคือ Kucoin และ Bancor Kucoin ได้ระงับการซื้อขาย TIO ในขณะที่ Bancor ได้ลบ TIO อย่างถาวร

(11) เมื่อวันที่ 25 ตุลาคม บัญชีผู้ใช้ Reddit ถูกแฮ็ก และแฮ็กเกอร์ได้ขโมย 14 bitcoins ($89,500), 22 ETH ($4,400) และประมาณ 11.7 ล้าน COSS tokens ($770,000) จากกระเป๋าเงินของเขา cryptocurrencies เหล่านี้มีมูลค่า รวมเป็นเงินทั้งสิ้น 864,000 เหรียญสหรัฐ

เมื่อมองย้อนกลับไปถึงเหตุการณ์ด้านความปลอดภัยตลอดปี 2018 บางคนมีทัศนคติในแง่ร้ายและเชื่อว่าบล็อกเชนเป็นอุตสาหกรรมที่มีความเสี่ยงสูงมากและควรหลีกเลี่ยง

แต่ก็มีผู้ที่เชื่อว่าเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นบ่อยครั้งสะท้อนให้เห็นถึงความสนใจอย่างไม่เคยปรากฏมาก่อนต่ออุตสาหกรรมนี้จากด้านข้าง เนื่องจากแฮ็กเกอร์ใช้เวลาโจมตีสิ่งที่มีค่าเท่านั้น

ในมุมมองของ Cheetah Blockchain Security Xiaobao แม้ว่าแฮ็กเกอร์จะอาละวาดในปี 2018 แต่บริษัทรักษาความปลอดภัยบล็อกเชนทั่วโลกก็เพิ่มขึ้นอย่างเงียบ ๆ ทั้งอุตสาหกรรมจะเพิ่มการลงทุนและการก่อสร้างด้านความปลอดภัยเพราะจ่ายในราคาที่เจ็บปวด การศึกษาด้านความปลอดภัยของผู้ใช้ก็ค่อยๆ ดำเนินการเช่นกัน อย่างจริงจัง. การพัฒนาที่แข็งแกร่งของอุตสาหกรรมบล็อกเชนในอนาคตยังคงมีแนวโน้มที่ดี