블록체인 산업에서 보안 문제는 가장 근본적인 문제입니다."코드 한 줄에 수십억이 손실됩니다", "해커가 1년 동안 작업한 후 하룻밤 사이에 제거했습니다"와 같은 말을 들어 보셨을 것입니다. 아직은 초기 단계로 초기에는 체인에 한번 걸리면 위변조가 불가능하다는 특성과 함께 해커의 공격에 가장 취약한 영역이다.
첫 번째 레벨 제목
이벤트 배경
이벤트 배경
DEOS Games는 EOS 블록체인에서 실행되는 탈중앙화 도박 게임 응용 플랫폼입니다.9월 9일 RunningSnail이라는 DEOSGames 사용자가 겉보기에 성공적인 내기를 하고 $1,000 수십 번을 지불하고 10 EOS를 예치하고 30초 후에 잭팟을 터뜨렸습니다.
손실 규모: ~$24,000 상당의 EOS
이벤트 이력 및 보안 분석
이벤트 이력 및 보안 분석
◆ DEOS는 생성 후 1시간 이내에 EOS 계정으로 24건의 이체를 했으며, 이들 계정은 모두 하루도 안 되는 컨트랙트에 의해 생성된 것입니다. DEOS Games 계약 금액의 약 20배. 즉, 해커들은 모든 도박에서 대박이 나는 도박 게임의 허점을 악용했으며 공격에 대한 전체 보상은 비용의 약 20배였습니다.
◆ DEOS Games는 공식 트위터를 통해 "좋은 스트레스 테스트이며 계약 수준에서 우리 프로젝트가 크게 개선되었습니다."라고 말했습니다.
세이프 팬더스 뷰
세이프 팬더스 뷰
◆ 공격 후 DEOS Games 팀의 반응은 어리둥절했습니다. 커뮤니티에 해커 공격을 모니터링하는 방법을 공개하지 않았습니다. 상식적으로 간단한 모니터링 스크립트로 이러한 비정상적인 현상을 감지할 수 있습니다.
◆ DEOS 게임에 이러한 탐지 도구가 있다고 가정하면 이 공격에 대한 심층적인 이유를 조사할 가치가 있으며 팀이 속임수를 쓰고 있다는 의심을 배제할 수 없습니다.
◆ 현재 이러한 종류의 도박 게임의 위험이 너무 높기 때문에 대다수의 사용자가 합리적으로 투자하고 신중하게 선택하는 것이 좋습니다.
2018년 9월 18일 - NewDex
NewDex는 EOS 블록체인을 기반으로 한 세계 최초의 탈중앙화 거래소로 8월 8일에 출시되었으며 플랫폼의 성능을 완벽하게 지원할 수 있다고 주장하며 거래 속도는 중앙화 거래소와 비교할 수 있어 자산의 안전을 보장합니다. . 하지만 온라인에 오른 지 한 달여 만에 EOS가 위조화폐를 훔치는 사건을 접했고, 이 사건을 통해 외부 세계는 뉴덱스가 진정한 탈중앙화 거래소인지 의문을 갖기 시작했다.
손실 규모:58,이벤트 이력 및 보안 분석
이벤트 이력 및 보안 분석
◆ 악성 계정 EOS 계정 "oo1122334455"는 2018년 9월 14일 14시 1분 45초에 10억 개의 가짜 EOS를 발행하고 전액을 dapphub12345 계정에 할당했습니다.
◆ dapphub12345에서 iambillgates 계정(공격을 수행한 계정)으로 즉시 이체 14:21:37에 iambillgates 계정은 가짜 EOS 보류 주문으로 IPOS, ADD 매수를 수차례 시도했고 IPOS, ADD 매수 성공 가짜 EOS ADD로 BLACK, IQ, ADD 매수 성공 후, iambillgates 계정은 불법적으로 획득한 토큰을 xx1234512345 및 x12345x12345 계정으로 즉시 이체했고, 최종적으로 xx1234512345는 불법적으로 획득한 토큰 중 일부를 Newdex 시장 가격 목록에서 판매하여 총 4028개의 실화를 판매했습니다. 이오스
◆ 그런 다음 실제 EOS 네이티브 통화를 Bitfinex로 보내 다른 암호화폐와 거래합니다.
◆ 가짜 EOS 스와이핑 이벤트로 인해 Newdex 사용자들에게 총 11,803 EOS의 손실이 발생했으며, NewDex 팀은 이 이벤트에 대해 사과하고 책임 있는 방식으로 모든 손실을 부담하기로 결정했습니다. 정상 운영을 재개하십시오.
세이프 팬더스 뷰
세이프 팬더스 뷰
◆ 이 사건에서 해커들은 EOS 네이티브 통화를 사용하여 가짜 토큰을 거래하여 NewDex 시스템에서 심각한 EOS 가치 하락을 초래했습니다.
◆ 해커가 성공할 수 있었던 것은 NewDex가 스마트 컨트랙트를 통해 토큰의 사실성을 검증하지 않았기 때문에 다음과 같이 결론을 내릴 수 있습니다. 본질적으로 NewDex는 거래 시 사용자가 사용하는 계정 주문을 처리하는 중앙 집중식 오프 익스체인지 거래소일 뿐입니다. .그 자신이 주장한 탈중앙화 거래소가 아닙니다!
◆ NewDex가 탈중앙화 거래소인 것처럼 가장하고 있다는 사실을 여러 가지 징후가 지적하고 있습니다. 그들은 중앙 서버에서 거래 매칭을 할 뿐이며 시스템은 거래를 처리하는 동안 예치된 토큰의 진위 여부를 확인하지도 않습니다.
◆ 여기에서 거래를 위한 디지털 화폐 거래소를 선택할 때 자세한 실사를 수행하고 언론 홍보에 혼동하지 말 것을 제안합니다.등급 토큰과 같은첫 번째 레벨 제목
이벤트 배경:
이벤트 배경:
2018년 9월 19일, 오사카에 본사를 둔 Tech Bureau Corp.에 본사를 둔 Zaif 거래소에서 Bitcoin, MonaCoin 및 Bitcoin Cash가 도난당했습니다. 도난당한 암호화폐는 거래소 소유였고 나머지는 고객 자금이었다.
손실 규모: 6000만 달러
이벤트 이력 및 보안 분석
이벤트 이력 및 보안 분석
◆ 2018년 9월 14일 이후 zaif exchange는 사용자의 입출금 서비스를 종료했습니다.
◆ 자이프거래소에 따르면 서비스 종료 사유는 9월 14일 17시~19시 사이 누군가 핫월렛을 불법 해킹해
◆ 해커의 불법 행위로 인해 USD 5,900 상당의 BTC, 비트코인 캐시, 모나코인이 손실된 것으로 확인되었습니다.
◆ 자이프는 공보에 공격 내용을 공개하지 않고 일본 당국에 절도 조사를 요청했다.
◆ 이번 공격에 앞서 일본 금융청(FSA)이 3월 8일과 6월 22일 각각 내부 관리 시스템과 보안 대책에 대해 zaif에 조기 경보를 발령한 사실이 입증됐다.
◆ 도난 직후 일본 금융청(FSA)은 자이프의 모회사인 테크뷰로에 올해 세 번째 업무 개선 명령을 내렸다. 그러나 Zaif Exchange는 FSA 조언에 아무런 조치도 취하지 않았습니다.
◆ 자이프가 당국에 공개한 바에 따르면 사건의 원인은 거래소 직원의 컴퓨터가 해킹된 것이었다.
◆ 자이프거래소는 11월 22일 가상화폐 관련 사업을 FISCO그룹에 양도했으며, 피스코그룹은 자이프를 인수하고 도난당한 자금을 사용자들에게 배상할 예정이다.
세이프 팬더스 뷰
세이프 팬더스 뷰
◆ 각종 지적에 따르면 자이프 직원의 컴퓨터가 피싱사이트를 이용한 해커의 공격에 성공한 것이 사건의 원인일 가능성이 높다.
◆ 디지털화폐 거래소의 경우 이런 사소한 실수를 저지르는 것이 그리 무리가 아닙니다.
보조 제목
기타 유사한 공격
2017년 7월 빗썸 해킹에도 같은 수법 사용
이벤트 배경
이벤트 배경
SpankChain은 이더리움 퍼블릭 체인을 기반으로 하는 성인 엔터테인먼트 블록체인 프로젝트입니다. 팀은 10월 9일 블로그에 지난 토요일(10월 6일) 해킹을 당해 165.38 ETH(당시 약 38,000달러 상당)를 잃었다고 밝혔습니다. 또 다른 $4,000 상당의 BOOTY 코인이 동결되었습니다.
손실 규모: $40,000 이상 (당시 잃어버린 ETH와 BOOTY 토큰 가격 합산)
공격 방법이벤트 이력 및 보안 분석
이벤트 이력 및 보안 분석
◆ 해커는 The DAO 사건에서 잘 알려진 취약점과 유사한 SpankChain 스마트 계약의 재진입 취약점을 악용했습니다.
◆ 기술팀은 공격 24시간 후 계약이 해킹된 것을 발견했고, SpankChain 팀은 즉시 공식 사이트를 폐쇄했습니다.
◆ 공격 후, 회사는 공격으로 자금을 잃은 사용자에게 보상하기 위해 ETH 에어드랍에 노력할 것이라고 밝혔습니다.
◆ 10월 12일, 해커는 SpankChain의 CEO에게 연락하여 165.38 ETH를 팀에 반환했으며, 공격으로 동결된 약 4,000개의 BOOTY 토큰을 SpankChain이 복구하도록 도왔습니다. 그 대가로 SpankChain 팀은 해커에게 약간의 보상을 제공했습니다.
세이프 팬더스 뷰
세이프 팬더스 뷰
◆ 스팽크체인 블록체인 커뮤니티는 이번 사건에 격렬하게 반응했는데, 이는 유명한 재진입 취약점을 악용한 해커들의 공격을 용인하기 어려웠기 때문일 것이다.
◆ Reentrancy는 사실상 재귀, 즉 함수를 주기적으로 호출하고 자신을 순환적으로 호출하는 것인데 재진입 취약점에 대한 가장 근본적인 해결책은 전송 후가 아니라 전송 전에 변경해야 하는 상태를 모두 업데이트하는 것입니다. 업데이트합니다.
◆ 여기에서 블록체인 산업에서 보안 감사의 중요성을 다시 한 번 상기시켜 드립니다. 체인으로 이동하기 전에 스마트 계약에 대한 보안 감사를 수행하기 위해 약간의 수수료만 투자하면 이런 일을 피할 수 있습니다.
◆ 블록체인에는 삭제와 수정의 개념이 없고 일단 퍼블릭 체인에 컨트랙트가 배치되면 위변조가 불가능하며 전 세계 수만 명의 해커들이 천천히 위의 허점을 한 줄씩 찾아낼 수 있습니다. 블록체인 산업에서 보안 감사는 필수적인 프로세스입니다.
◆ 다행히 당시 해커는 수백만 달러 상당의 이더를 돌려줬다. 해커들이 훔친 자금을 돌려준 이유는 불명확하지만 피해자들에게 위안이 될 수 있지만 자주 있는 일은 아니다. 그러나 CoinDash ICO 사건에서 해커가 훔친 자금을 반환한 것은 이번이 처음이 아닙니다.
보조 제목
기타 유사한 공격
DAO 해킹 - 이더리움 블록체인 역사상 가장 악명 높은 사건 중 하나로, 이더리움 블록체인의 하드 포크를 일으켜 이더리움과 이더리움 클래식으로 분리되었습니다.
EOSBet 카지노 (2018년 9월 14일 및 10월 15일)
EOSBet은 EOS의 게임 플랫폼으로, 9월 14일과 10월 15일 각각 두 차례 해커의 공격을 받아 각각 44427.4302 EOS와 138,319.7995 EOS의 손실을 입었습니다.
손실 규모:200,000 USD + USD 338,000 (모두 손실된 EOS)
공격 방법이벤트 이력 및 보안 분석
이벤트 이력 및 보안 분석
첫 번째 해킹:
◆ 9월 14일, EOSBet이 해커의 공격을 받음 EOSBet 팀 공식 발표: 이 공격은 단순하지 않다.
◆ 더넥스트웹의 분석에 따르면 "해커의 공격 방식은 가짜 해시를 이용해 외부에서 '전송' 기능을 호출하는 것"
◆ 공격 후 공식 EOSBet 계정과 매우 유사한 이름을 가진 EOS 계정이 공격자의 주소로 소량의 EOS를 보냈고, 상대방에게 도난당한 자금을 반환하지 않으면 반환하지 않을 것을 요구하는 메시지를 보냈습니다. 그들은 변호사 팀을 고용하여 공격자를 사냥하고 기소합니다.
◆ 9월 16일, EOSBet은 다시 온라인에 접속하여 해커 공격에 대한 자세한 보고서를 공식 발표했으며 계약이 모든 허점을 패치했으며 현재 매우 안전하다고 약속했습니다.
두 번째 공격:
◆ 한 달 후, 해커는 EOSBet 계약의 허점을 이용하여 수취인을 확인하고 송금 알림을 위조하여 eosbetdice11에서 총 138,319.7995 EOS의 이익을 얻었습니다.
◆ 이 중 Bitfinex로 72,150 EOS, Poloniex로 65,100 EOS가 유입되었습니다. 현재 EOS 시장 가격 37위안에 따르면 EOSBet 플랫폼은 이번에 500만 위안 이상의 손실을 입었다.
세이프 팬더스 뷰
세이프 팬더스 뷰
발문
발문
9월과 10월 두 달 동안 발생한 주요 보안 사고는 주로 EOS 스마트 컨트랙트 취약점과 거래소 관련 취약점에 집중되어 손실액이 매우 높다고 할 수 있습니다. 그러나 이러한 사고 중 상당수는 완전히 피할 수 있으며 보안 사고가 자주 발생하는 이유는 우리의 보안 인식이 너무 약하기 때문입니다.
보안 사고의 빈번한 발생과 업계의 급격한 하락은 블록체인 참여자들의 신뢰를 지속적으로 타격하고 있지만, 우리는 관점을 바꿔 전체 산업의 발전을 바라볼 수도 있습니다. 보안 사고의 막대한 손실 경계하고 과거 교훈에서 배우고 보안 구축에 더 많은 관심을 기울이십시오.번창하는 블록 체인 산업에 매우 좋다고 생각합니다.
Cheetah 블록체인 보안은 Kingsoft Internet Security의 기술을 기반으로 인공 지능, nlp 및 기타 기술과 결합하여 블록체인 사용자에게 계약 감사 및 감정 분석과 같은 생태 보안 서비스를 제공합니다.제품 Ratingtoken은 디지털 통화 및 ICO 등급 전용입니다. 가장 인기 있는 블록체인 평가 기관입니다.
레이팅토큰 공식 홈페이지레이팅토큰 공식 홈페이지
