선두:선두:
따라서 Cheetah Blockchain Security는 매월 보안 사건을 조사할 것을 주장하고 정리하는 동안 모든 사람 및 전체 블록체인 산업과 함께 성장을 경험할 것입니다.
2019년 1월 16일 - ETH 콘스탄티노플 업그레이드 연기
보조 제목
이벤트 배경
계획에 따르면 이더리움 커뮤니티는 원래 중국에서 2019년 1월 16일경 블록 높이 7,080,000에서 콘스탄티노플 포크를 수행할 예정이었습니다. 그러나 업그레이드 직전(1월 15일)에 ChainSecurity는 콘스탄티노플 업그레이드와 관련된 잠재적인 문제를 게시했습니다. 이더리움 재단은 많은 주의를 기울여 이 포크를 연기하기로 결정했습니다.재진입 취약점
보조 제목
이벤트 이력 및 보안 분석
· 향후 POS 모델로 더 잘 전환하기 위해 이더리움 재단은 전환 업그레이드 계획인 콘스탄티노플 업그레이드를 시작하기로 결정했습니다. 이더리움 커뮤니티 내에서 논란이 많지 않기 때문에 하드포크로 이어지지 않고 소프트포크로 다음 단계로 원활하게 넘어가게 됩니다.
· 콘스탄티노플 업그레이드에는 광부 보상 감소와 같은 일련의 개선 사항이 포함되어 있으며, 그 중 EIP 1283은 원래 1087을 대체하고 SSTORE 작업 코드의 순 가스 계량을 조정합니다.
· 이것은 개발자에게 매우 친숙한 솔루션으로 보이지만 ChainSecurity는 숨겨진 위험을 발견했습니다: 공격자는 updateSplit을 사용하여 현재 분할을 설정하고 첫 번째 주소(계약 주소)로 모든 자금을 받을 수 있으며 splitFunds 함수를 호출할 수 있습니다. 이 기능은 확인*을 수행하고 이체를 사용하여 이 주소 쌍의 전체 예금을 계약으로 보냅니다.) 공격자는 콜백 기능에서 분할을 다시 업데이트할 수 있으며 이번에는 모든 자금을 공격자의 두 번째 계정에 할당합니다. splitFunds 실행이 계속되고 전체 보증금도 두 번째 공격자 계정으로 이체됩니다.
· 가스 요금의 감소로 인해. 업그레이드 전에 각 저장 작업에는 최소 5000 가스가 필요했습니다. 전송 또는 전송을 사용하여 계약을 호출할 때 전송되는 2300 가스 요금보다 훨씬 많습니다.
업그레이드 후 공격자 계약은 2300 가스 수수료를 사용하여 취약한 계약의 변수를 성공적으로 조작할 수 있습니다.
· 보안 고려 사항을 기반으로 심도 있는 논의 후 이더리움은 태평양 표준시 오전 12시에 콘스탄티노플 업그레이드 계획의 연기를 발표했습니다.
보조 제목
첫 번째 레벨 제목
2019년 1월 6일 - ETC는 51%의 공격을 받았습니다.
보조 제목
이벤트 배경
The Dao 이벤트의 하드 포크 제품으로 시가 기준으로 세계에서 두 번째로 큰 포크 체인입니다. 포크 이후 ETC는 POW 알고리즘을 사용해왔지만 전체 네트워크의 컴퓨팅 파워가 상대적으로 낮은 수준이어서 지난 1월 6일 ETC 메인넷에서 51% 이중지불 공격이 발생했다.
취약점 유형: 51% 공격(이중지불)
보조 제목
이벤트 이력 및 보안 분석
· 2019년 1월 6일 보안팀은 ETC팀에 ETC가 51%의 공격을 받을 가능성이 있다고 경고했습니다. 다음날 Coinbase는 ETC에 대한 15건의 공격이 있었으며 그 중 12건은 이중 지출을 포함하여 총 219,500 ETC(약 110만 달러)의 손실을 입었다고 공식적으로 확인했습니다. Coinbase도 ETC 거래를 일시적으로 중단했습니다.
· 분석 결과 이번 사건의 피해자는 주로 Biture와 Gate.io 두 거래소인 것으로 파악됐다.
· 1월 14일 Gate.io는 $100,000 상당의 ETC가 반환되었다고 밝혔습니다.
보조 제목
본질적으로 51% 공격을 미리 모니터링할 수 있는 방법은 없으며, 51% 공격을 완전히 제거하려면 전체 네트워크의 컴퓨팅 성능을 높이거나 단순히 합의 알고리즘을 수정하는 방법을 찾을 수밖에 없습니다. 보안업체 입장에서는 컴퓨팅파워 구매비용과 공격으로 얻을 수 있는 토큰을 계산하여 퍼블릭 체인이 특정 시점에 51% 해킹 가능성을 종합적으로 판단할 수 있으며, 그런 다음 현재 통화 가격을 참조하십시오. 완전히 제거할 수는 없지만 51% 공격이 발생하면 거래당 확인된 블록 수를 늘리고 이 통화의 입출금을 중단하여 손실을 최소화할 수 있습니다.
2019년 2월——EOS DAPP의 대규모 공격
보조 제목
이벤트 배경
2019년 1월, EOS 퍼블릭 체인의 일련의 추측 게임이 새로운 유형의 트랜잭션 차단 공격에 의해 공격을 받았습니다. 모집된 애플리케이션에는 EOS.Win, FarmEOS, Shadow Dice, LuckBet, GameBet, EOSDice, STACK DICE 및 기타 인기 있는 DAPP가 포함됩니다.손실 규모:
약 20건, 500만 달러차단 공격 등
보조 제목
이벤트 이력 및 보안 분석
· 이전의 빈번한 난수 또는 트랜잭션 롤백 공격 및 기타 계약 계층 공격과 달리 이는 기본 퍼블릭 체인의 결함을 악용하여 시작된 공격입니다. 심층 분석 결과 이는 메인 네트워크 계층에 존재하는 치명적인 서비스 거부 취약점으로 공격자는 대량의 가비지 지연 트랜잭션을 시작할 수 있으며 이는 EOS 네트워크 전체의 슈퍼노드(BP)를 만듭니다. 즉, 일반 사용자의 트랜잭션을 차단하여 다른 정상적인 트랜잭션을 패키징할 수 없게 되면 EOS 네트워크가 마비됩니다.
· 이것이 1월에 많은 수의 EOS DApp이 공격을 받은 이유입니다.
보조 제목
세이프 팬더스 뷰
현재 EOS 개발자는 많지 않으며 성숙한 개발자는 더 적습니다. 하지만 EOS와 같은 퍼블릭 체인의 경우 반드시 거쳐야 하는 단계이며, 작년과 비교하여 EOS의 Dapp 및 사용자 수는 급증했으며 보안 회사의 노력과 함께 향후 전망은 여전히 매우 밝습니다. .
2019년 1월 14일 - Cryptopia Exchange 해킹
보조 제목
이벤트 배경
크립토피아는 뉴질랜드에 위치한 작은 거래소로 원내에서는 C네트워크로 불리며 하루 평균 거래량은 약 300만 달러, 500개 이상의 통화가 거래되고 있습니다.손실 규모:
취약점 유형: 개인 키 공개
보조 제목
이벤트 이력 및 보안 분석
· 2019년 1월 15일(현지시각) 크립토피아 거래소는 거래소 해킹 사실을 공식적으로 발표하였으며, 크립토피아 거래소는 거래소 서비스를 종료하고 경찰 수사에 적극 협조하며 도난 자금 회수를 위해 노력할 예정입니다.
공개 정보에 따르면 도난당한 디지털 통화는 주로 ETH와 이더리움 블록체인의 다양한 ERC-20 토큰으로 총 가치는 약 1,600만 달러입니다.
· 다양한 지적에 따르면 C 네트워크가 단순히 개인 키를 특정 서버에 저장하고 해커가 서버를 해킹하여 C 네트워크가 서버에서 개인 키를 얻을 수 없게 되었기 때문일 가능성이 높습니다.
보조 제목
세이프 팬더스 뷰
또한 우리 모두가 알고 있듯이 씨넷은 업계에서 다양한 통화로 유명합니다 그 이유 중 하나는 씨넷에 알트코인을 상장하는 것이 매우 간단하고 무례하기 때문입니다. Cnet에서 대부분의 코인으로 이어지는 투표 이런 종류의 거래량은 매우 적고 주로 벽돌 이동 파티의 천국이 됩니다. 저자는 이런 종류의 상장 모델이 매우 나쁘다고 생각하며 크고 작은 거래소가 상장하기 전에 프로젝트에 대한 보안 감사 프로세스가 있어야 한다고 제안합니다.
보조 제목
거래소의 기타 보안 사고:
· 2월 13일, Coinbase는 $30,000 상당의 버그 바운티를 발행했는데, 그 금액으로 보아 해당 버그는 시스템의 핵심 버그임을 알 수 있습니다. 이러한 현상금은 업계에 매우 가치가 있으며, 모든 거래소와 퍼블릭 체인은 보안 분야의 발전을 촉진하기 위해 유사한 인센티브를 제공해야 합니다.
2019년 1월 - Ryuk 랜섬웨어 만연
보조 제목
이벤트 배경
미국 사이버 보안 회사는 인터넷을 통해 확산되고, 컴퓨터 파일을 잠그고, 피해자에게 비트코인을 요구하고, 참가자가 바이러스를 퍼뜨리도록 인센티브를 제공하는 악명 높은 Ryuk 랜섬웨어를 추적했습니다.손실 규모:
취약점 유형: 랜섬웨어
보조 제목
· 이벤트 이력 및 보안 분석
지난 5개월 동안 GRIM SPIDER의 해커 그룹은 랜섬웨어를 통해 370만 달러에 해당하는 705개 이상의 BTC를 받았습니다.
· 랜섬웨어 바이러스의 특징은 일단 컴퓨터가 바이러스에 감염되면 피해자가 해커에게 연락해 비트코인을 지불할 때까지 모든 하드디스크 파일을 암호화해 잠근다는 점이다.
로스앤젤레스 타임스, 샌디에고 유니온-트리뷴, 월스트리트저널, 뉴욕타임스 등 미국 주요 언론사들이 새해 연휴를 맞아 서비스를 중단하는 사태가 벌어졌다.
첫 번째 레벨 제목
요약하다
요약하다
현재 상황을 보면 블록체인 업계의 기술 표준과 사양이 획일적이지 않고, 각 회사마다 자체 인프라가 있고, 개발자와 사용자의 보안 인식 충분하지 않고 기업 팀과 개발 팀 모두 이 분야에 대한 교육을 강화해야 합니다. 마지막으로 업계에는 여전히 보안 기관과 전문 보안 인력이 너무 적고 끝없는 해커 공격, 더 많은 보안 인력이 긴급히 필요합니다.
