ブロックチェーン業界では、セキュリティの問題が最も基本的な問題であり、ブロックチェーンの開発が進んでいることから、「1行のコードで数十億ドルが失われる」「ハッカーが1年かけてコードを一夜にして持ち去った」といった発言を聞いたことがあると思います。初期の段階では、一度チェーンに接続されると改ざんできないという特性と相まって、ハッカーの攻撃が最も受けやすい領域となっていました。
最初のレベルのタイトル
イベントの背景
イベントの背景
DEOS Games は EOS ブロックチェーン上で動作する分散型ギャンブル ゲーム アプリケーション プラットフォームです。9 月 9 日、RunningSnail という名前の DEOSGames ユーザーが一見成功した賭けをし、1,000 ドルを何十回も支払い、10 EOS をデポジットし、30 秒後にジャックポットを獲得しました。
損失の規模: EOS で約 24,000 ドル相当
イベント履歴とセキュリティ分析
イベント履歴とセキュリティ分析
◆ DEOS は、作成後 1 時間以内に EOS アカウントに 24 件の送金を行い、これらのアカウントはすべて 1 日以内に契約により作成されたものであった EOS の取引記録によると、それぞれの悪意のあるアカウントに 10 EOS を入金すると、 DEOS Gamesの契約金額の約20倍。言い換えれば、ハッカーはすべてのギャンブルでジャックポットを獲得できるギャンブル ゲームの抜け穴を悪用し、攻撃による総利益はコストの約 20 倍でした。
◆DEOS Gamesは公式ツイートで「これは良いストレステストであり、我々のプロジェクトは契約レベルで大幅に改善された」とツイートした。
セーフパンサーの視点
セーフパンサーの視点
◆ 攻撃後の DEOS Games チームの反応は不可解で、ハッカー攻撃をどのように監視したかをコミュニティに公表していませんでしたが、常識的に考えれば、単純な監視スクリプトでこの異常現象を検出できるはずです。
◆ DEOS ゲームにそのような検出ツールがあると仮定すると、この攻撃の根深い理由は調査する価値があり、チームがいたずらをしているという疑いも排除できません。
◆ 現時点では、この種のギャンブル ゲームのリスクは高すぎるため、大多数のユーザーは合理的に投資し、慎重に選択することをお勧めします。
2018 年 9 月 18 日 - NewDex
NewDex は、EOS ブロックチェーンに基づく世界初の分散型取引所です。8 月 8 日に開始されました。プラットフォームのパフォーマンスを完全にサポートでき、トランザクション速度は集中型取引所に匹敵すると主張しています。これにより、資産の安全性が保証されます。 。しかし、オンラインになってから 1 か月以上が経過した後、EOS が偽造通貨をスワイプする事件が発生し、この事件を通じて外部の世界は NewDex が本当に分散型取引所であるかどうか疑問視するようになりました。
損失スケール:58,イベント履歴とセキュリティ分析
イベント履歴とセキュリティ分析
◆不正アカウントEOSアカウント「oo1122334455」は、2018年9月14日14時01分45秒に10億の偽EOSを発行し、全額をdapphub12345アカウントに割り当てました。
◆ dapphub12345 から iambillgates アカウント(攻撃を実行したアカウント)に直ちに転送され、14:21:37 に、iambillgates アカウントは偽の EOS 指値注文で IPOS と ADD の購入を数回試み、IPOS と ADD の購入に成功しました。偽のEOS ADDを使用。 BLACK、IQ、および ADD の購入に成功した後、iambillgates アカウントは直ちに違法に入手したトークンを xx1234512345 および x12345x12345 アカウントに転送し、最終的に xx1234512345 は違法に入手したトークンの一部を Newdex 市場価格リストで販売し、合計 4028 レアルを販売しました。イオス
◆ その後、実際の EOS ネイティブ通貨が Bitfinex に送信され、他の暗号通貨と取引されます。
◆ 偽の EOS スワイプ イベントにより、Newdex ユーザーに合計 11,803 EOS の損失が発生しました。NewDex チームはこのイベントについて謝罪し、すべての損失を責任を持って負担することを決定しました。通常の操作を再開します。
セーフパンサーの視点
セーフパンサーの視点
◆ この事件では、ハッカーが EOS のネイティブ通貨を使用して偽のトークンを取引したため、NewDex システムで EOS が大幅に下落しました。
◆ ハッカーが成功できたのは、NewDex がスマート コントラクトを通じてトークンの真実性を検証しなかったためです。したがって、次のように結論付けることができます。本質的に、NewDex は、ユーザーが取引する際に使用する口座注文を処理する集中型の取引所外取引所にすぎません。 . 彼自身が主張したように、それは分散型取引所ではありません!
◆ さまざまな兆候は、NewDex が分散型取引所のふりをしているという事実を示しています。彼らは中央サーバー上で取引照合を行うだけで、システムは取引処理中に預けられたトークンの信頼性さえチェックしません。
◆ ここでは、取引用のデジタル通貨取引所を選択する際には詳細なデューデリジェンスを実施し、メディアの宣伝に惑わされないようにする必要があることを提案します。評価トークンなど最初のレベルのタイトル
イベントの背景:
イベントの背景:
2018年9月19日、大阪に本社を置くテックビューロ株式会社に本社を置くZaif取引所からビットコイン、モナコイン、ビットコインキャッシュが盗まれた。盗まれた総額は6,000万ドル相当のデジタル通貨のうち、約22億円(1,960万ドル)だった。盗まれた仮想通貨は取引所のもので、残りは顧客の資金だった。
損失の規模: 6,000万ドル
イベント履歴とセキュリティ分析
イベント履歴とセキュリティ分析
◆2018年9月14日をもちまして、zaif取引所は利用者向けの入出金サービスを終了いたしました。
◆ Zaif Exchangeによると、サービス停止の理由は、9月14日17時から19時にかけて、何者かによってホットウォレットが不正にハッキングされたためとのこと。
◆ハッカーの違法行為により、5,900米ドル相当のBTC、ビットコインキャッシュ、モナコインが損失されたことが確認された
◆Zaifは速報では襲撃の詳細を明らかにせず、窃盗事件の捜査に日本当局の協力を求めた
◆ この攻撃の前に、日本の金融庁(FSA)がそれぞれ3月8日と6月22日にザイフに対し、内部管理体制とセキュリティ対策について早期警告を発していたことが事実で証明されている。
◆金融庁は窃盗事件直後、Zaifの親会社であるテックビューロに対し、今年3度目となる業務改善命令を出した。しかしZaif取引所は金融庁の勧告に何も行動しなかった
◆Zaifの当局への開示によると、事件の原因は取引所従業員のコンピューターがハッキングされたこと
◆11月22日、Zaif取引所は仮想通貨関連事業をフィスコグループに譲渡し、フィスコグループはZaifを引き継ぎ、盗まれた資金を利用者に補償することになる。
セーフパンサーの視点
セーフパンサーの視点
◆さまざまな指摘によると、事件の原因は、Zaif従業員のコンピュータがフィッシングサイトを利用したハッカーによる攻撃に成功したことである可能性が高い
◆ デジタル通貨取引所にとって、このような低レベルの間違いを犯すことはそれほど不合理ではありません。
副題
その他の同様の攻撃
2017 年 7 月、同じ手口が Bithumb ハッキングで使用され、数百万ドルの仮想通貨が盗まれ、顧客データが漏洩しました。
イベントの背景
イベントの背景
SpankChain は、イーサリアム パブリック チェーンに基づくアダルト エンターテイメント ブロックチェーン プロジェクトです。同チームは10月9日、先週土曜日(10月6日)にハッキングを受け、165.38ETH(当時約3万8000ドル相当)を失ったとブログで発表した。さらに 4,000 ドル相当の Booty コインが凍結されました。
損失スケール:40,000ドル以上(当時失われたETHとBootyトークンの価格を合計)
攻撃方法イベント履歴とセキュリティ分析
イベント履歴とセキュリティ分析
◆ ハッカーは、SpankChain スマート コントラクトの再入脆弱性を悪用しました。これは、DAO 事件のよく知られた脆弱性と類似しています。
◆技術チームは攻撃から24時間後に契約がハッキングされたことを発見し、SpankChainチームはただちに公式ウェブサイトを閉鎖した
◆攻撃後、同社は攻撃で資金を失ったユーザーに返金するためにETHエアドロップに取り組むと述べた
◆ 10月12日、ハッカーはSpankChainのCEOに連絡し、165.38ETHをチームに返還するとともに、攻撃により凍結された約4,000個のBOOTYトークンをSpankChainが回収するのに協力した。その見返りとして、SpankChain チームはハッカーにいくつかの報酬を与えました。
セーフパンサーの視点
セーフパンサーの視点
◆ SpankChain ブロックチェーン コミュニティはこの事件に激しく反応しました。これはおそらく、有名なリエントランシーの脆弱性を利用して攻撃するハッカーを受け入れることが困難だったためでしょう。
◆ 再入可能性は実際には再帰、つまり関数への循環呼び出しとそれ自体への循環呼び出しです 再入可能性の脆弱性に対する最も根本的な解決策は、変更する必要があるすべての状態を転送後ではなく、転送前に更新することです。更新します。
◆ ここで、ブロックチェーン業界におけるセキュリティ監査の重要性を改めて皆さんに思い出していただきます。チェーンに行く前に、スマート コントラクトのセキュリティ監査を実施するために少額の手数料を投資するだけで済み、この種の事態を十分に回避できます。
◆ ブロックチェーンには削除や変更の概念がなく、一度コントラクトがパブリックチェーンに展開されると改ざんすることはできず、世界中の何万人ものハッカーが上記の抜け穴を一行ずつゆっくりと見つけ出すことができる。ブロックチェーン業界にとって、セキュリティ監査は不可欠なプロセスです。
◆ 幸いなことに、ハッカーは当時数百万ドル相当のイーサを返してくれました。ハッカーがなぜ盗んだ資金を返したのかは不明で、被害者にとっては慰めになるかもしれないが、そんなことは頻繁に起こることではない。しかし、これが初めてではなく、CoinDash ICO事件で盗まれた資金を返したハッカーがいた。
副題
その他の同様の攻撃
DAO ハック - イーサリアム ブロックチェーンの歴史の中で最も悪名高いイベントの 1 つで、イーサリアム ブロックチェーンのハード フォークを引き起こし、イーサリアムとイーサリアム クラシックに分割されました。
EOSBet カジノ (2018 年 9 月 14 日および 10 月 15 日)
EOSBet は EOS 上のゲーム プラットフォームで、9 月 14 日と 10 月 15 日に 2 回ハッカー攻撃を受け、それぞれ 44427.4302 EOS と 138,319.7995 EOS の損失を出しました。
損失スケール:200,000 USD + 338,000 USD (両方とも EOS を損失)
攻撃方法イベント履歴とセキュリティ分析
イベント履歴とセキュリティ分析
最初のハック:
◆ 9 月 14 日、EOSBet がハッカーに攻撃され、EOSBet チームは公式に「この攻撃は単純なものではありません。私たちは証拠を収集し、手がかりを見つけるために何が起こったのかをつなぎ合わせています」と公式に発表しました。
◆TheNextWebの分析によると、「ハッカーの攻撃方法は、偽のハッシュを使用して外部から『転送』関数を呼び出すこと」
◆ 攻撃後、EOSBet の公式アカウントによく似た名前の EOS アカウントが、相手方に盗まれた資金の返還を求めるメッセージを添えて、攻撃者のアドレスに少額の EOS を送信し、返さない場合は次のように主張しました。彼らは弁護士チームを雇って攻撃者を追い詰めて起訴するだろう。
◆ 9 月 16 日、EOSBet は再びオンラインになり、ハッカー攻撃に関する詳細なレポートを正式に発表し、契約はすべての抜け穴を修正し、現在は非常に安全であると約束しました。
2回目の攻撃:
◆ 1 か月後、ハッカーは受取人の確認時に EOSBet 契約の抜け穴を利用し、送金通知書を偽造し、eosbetdice11 から合計 138,319.7995 EOS の利益を得ました。
◆ このうち、Bitfinexには72,150EOSが流入し、Poloniexには65,100EOSが流入した。現在のEOS市場価格37元によると、今回EOSBetプラットフォームは500万元以上を失った。
セーフパンサーの視点
セーフパンサーの視点
エピローグ
エピローグ
9月と10月の2か月間で発生した主なセキュリティインシデントは、EOSスマートコントラクトの脆弱性や取引所関連の脆弱性が中心であり、被害額は非常に高額と言える。しかし、これらのインシデントの多くは完全に回避可能であり、セキュリティインシデントが多発するのは、私たちのセキュリティ意識が低すぎることが大きな原因です。
セキュリティインシデントの多発と業界の急落は、ブロックチェーン参加者の信頼を常に傷つけていますが、視点を変えて業界全体の発展に目を向けてみるのもいいかもしれません。セキュリティインシデントによる巨額の損失 用心深く、過去の教訓から学び、セキュリティの構築にもっと注意を払う これは、繁栄するブロックチェーン業界にとって非常に良いことだと私は信じています。
Cheetah ブロックチェーン セキュリティは、Kingsoft Internet Security のテクノロジーに基づいており、人工知能、NLP、その他のテクノロジーと組み合わせて、契約監査やセンチメント分析などのエコロジー セキュリティ サービスをブロックチェーン ユーザーに提供します。その製品である Ratingtoken は、デジタル通貨と ICO の格付けに特化しています。最も人気のあるブロックチェーン評価機関。
レーティングトークン公式サイトレーティングトークン公式サイト
