據 PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生 14 起較為突出的安全事件,危害程度評級為「中級」,受損金額近 1,800萬美元,涉及 DApp 6 起、智能合約 2 起,以及資金盤跑路、釣魚詐騙等等。
DApp 生態
9月份共發生 6 起 DApp 安全事件。其中 EOS 和 TRON 生態各發生3起。
1)EOS DApp
EOS 遊戲合約 flagshipladd 遭受假 EOS 攻擊,損失近2千 EOS;SKReos 遊戲持續遭受交易阻塞攻擊,損失近千 EOS;EOSPlay 遭受新型交易阻塞攻擊,損失近3 萬 EOS。3起攻擊事件,共計損失31,935個 EOS,其他2起攻擊皆為已知的攻擊方式,而 EOSPlay 所遭受的為一種「新型」攻擊方式。
下面重點介紹 EOSPlay 遭受的新型交易阻塞攻擊:
09月14日,EOSPlay 官方電報群發布公告稱其發現異常的玩家下注行為並伴隨有 EOS 網絡 CPU 價格的飆升。
PeckShield 安全人員隨即對此展開分析,不同於已知的交易阻塞攻擊(CVE-2019-6199),這是一種新型的交易阻塞攻擊方式。
具體而言:攻擊者藉助 REX 平台以較低成本租用了大量 CPU,之後創建大量交易來提高 CPU 的價格,這樣其他帳戶發起的交易就會因為 CPU 不足而執行失敗。由於 EOSPlay 使用未來區塊哈希進行開獎,攻擊者通過此種方式來阻塞網絡,使得只有自己發起的交易能被成功執行,從而破解 EOSPlay 的隨機數算法進行獲利。
如下圖所示,09月14日至09月16日期間 CPU 價格有兩個高峰點,而這兩個時間點正是攻擊者發動攻擊的時刻,除了 EOSPlay,攻擊者還嘗試對另一款 DApp Spinach 進行攻擊,不過並沒有獲利。
2)TRON DApp
TRON 生態 發生的3起安全事件皆為交易回滾攻擊。
PeckShield 安全人員發現 TUfAGY 和 TChuwC 開頭的兩個攻擊者帳戶,撒網式測試 TRON 各個 DApp 是否存在交易回滾漏洞,並成功對多個 DApp 合約發起攻擊,共計獲利 16,654 TRX。
PeckShield點評:DApp 生態各類安全事件暴發的頻次和危害較以往有明顯的降低。
智能合約
9月份,共發生 2 起智能合約安全事件,涉及 DEX 智能合約和最近較為火爆的資金盤遊戲 FairWin。
1)AirSwap
09月13日 AirSwap 團隊公布了其智能合約中存在的一個致命漏洞。PeckShield 安全人員獨立分析了該漏洞細節,將其命名為 ItchySwap 並與 AirSwap 團隊溝通確認了漏洞細節和修復⽅案。
這一漏洞可致使用戶的資產可被攻擊者惡意偷盜,影響較為嚴重,且受此次影響的帳號共有18個,涉及數萬乃至數十萬美元的數字資產安全。PeckShield 提醒相關帳號應儘快完成升級,避免造成數字資產損失。
2)FairWin
近一段時間以來,一個名為 FairWin 的資金盤項目尤為引人矚目,其每日 Gas 利用率占比達到以太坊網絡可承載 Gas 總量的近半數。
09月27日,PeckShield 安全人員深入分析時發現,FairWin 智能合約存在一些因管理權限問題引發的致命缺陷,舊合約中的餘額可被用戶任意操作並轉移,且在升級後的新合約又存在一個新問題,使得用戶可以製造虛假投注來撈取獎池剩餘資金。
PeckShield 發起提醒,雖然尚沒有已知攻擊發生,且 FairWin 智能合約潛在的威脅暫時也得以排除,但以太坊網絡上尚存在類 FairWin 仿盤,均可能存在此類漏洞威脅。
PeckShield 點評:隨著 DeFi 應用在以太坊網絡的持續發展,各類智能合約相關的安全事件也會趨於頻繁,由於此類智能合約離數字資產較近,其安全性更不容忽視。
跑路事件
9月份,經媒體報道出現了多起資金盤項目跑路事件,例如華登區塊狗,B91,ICC 等。
針對愈加頻繁的跑路事件,PeckShield 旗下的 CoinHolmes 推出了可視化的數字資產追蹤服務。過去一個月,經 CoinHolmes 監測數據顯示:
1)ICC 跑路項目共有1,705萬枚 USDT 轉入火幣交易所;
2)華登區塊狗項目共計138萬 USDT 流入交易所,其中103萬枚 USDT 轉入 Gate交易所,35萬枚 USDT 轉入 ZB 交易所。
3)Cryptopia 被盜資產關鍵地址中,有1,410個 ETH 通過中轉流入 Yobit 交易所;
4)EOS ECAF 凍結的 黑名單 craigspys211 帳號出現異動,轉走19.9萬 EOS,最終轉移至 ChangeNow 交易所;
5)PlusToken 跑路資金 ETH 部分 則有20,008枚發生首次異動後分散轉移。
以 craigspys211 黑名單帳號為例,其被盜資產流向示意圖如下:
PeckShield 點評:PlusToken 等各類以高回報投資為噱頭的資金盤項目,吸引了大量用戶參與投資,但隨著該類項目相繼暴雷跑路,也給廣大投資者帶來了巨大的損失和傷害。鑒於區塊鏈的鏈上可追蹤特性,如何幫助用戶追蹤還原資產轉移路徑,協同各方力量幫用戶追蹤和挽回數字資產損失,是 我們正在努力做的事。
釣魚攻擊等其他類安全事件
除上述之外,9月份還有一些安全事件同樣值得警惕:
1)比特幣錢包 Electrum 錢包遭受黑客釣魚攻擊,損失了1,450個 BTC;
2)Coinhouse 交易所遭黑客釣魚攻擊;
3)Fusion 錢包被盜,其項目代幣 FSN 大量被盜,損失557萬美元。
PeckShield 點評:因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、冒充客服詐騙等各類事件就是典型。在此提醒,參與數字資產投資的用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
來源:PeckShield