Trong ngành công nghiệp blockchain, vấn đề bảo mật là vấn đề cơ bản nhất, tôi tin rằng bạn hẳn đã từng nghe những nhận xét như “một dòng mã mất hàng tỷ đô la” và “tin tặc đã lấy đi nó chỉ sau một đêm sau khi làm việc cả năm”, bởi vì sự phát triển của blockchain vẫn còn ở giai đoạn sơ khai Trong những ngày đầu, cùng với các đặc điểm mà một khi đã ở trên chuỗi, nó không thể bị giả mạo, khiến nó trở thành khu vực bị tin tặc tấn công nặng nề nhất.

tiêu đề cấp đầu tiên

bối cảnh sự kiện

bối cảnh sự kiện

DEOS Games là một nền tảng ứng dụng trò chơi cờ bạc phi tập trung chạy trên chuỗi khối EOS. Vào ngày 9 tháng 9, một người dùng DEOSGames có tên RunningSnail đã đặt cược có vẻ thành công và trả 1.000 đô la hàng chục lần, gửi 10 EOS và giành được giải độc đắc 30 giây sau đó.

Quy mô tổn thất: EOS trị giá ~24.000 đô la

Lịch sử sự kiện và phân tích bảo mật

Lịch sử sự kiện và phân tích bảo mật

◆ DEOS đã thực hiện 24 lần chuyển vào tài khoản EOS trong vòng chưa đầy một giờ sau khi tạo và các tài khoản này đều được tạo theo hợp đồng trong vòng chưa đầy một ngày.Theo hồ sơ giao dịch của EOS, mỗi tài khoản độc hại khi gửi 10 EOS, nó sẽ nhận được khoảng 20 lần số tiền hợp đồng DEOS Games. Nói cách khác, các tin tặc đã khai thác một lỗ hổng trong trò chơi cờ bạc giúp giành được giải độc đắc trong mỗi lần đánh bạc và tổng số tiền phải trả cho cuộc tấn công gấp khoảng 20 lần chi phí bỏ ra.

◆ DEOS Games đã chính thức tweet, "Đây là một bài kiểm tra căng thẳng tốt và dự án của chúng tôi đã được cải thiện đáng kể ở cấp độ hợp đồng."

Chế độ xem an toàn của Panther

Chế độ xem an toàn của Panther

◆ Sau vụ tấn công, phản ứng của đội ngũ DEOS Games rất khó hiểu, họ không tuyên bố với cộng đồng về cách họ theo dõi các cuộc tấn công của hacker, theo lẽ thường, một kịch bản giám sát đơn giản có thể phát hiện ra hiện tượng bất thường này.

◆ Chúng tôi cho rằng trò chơi DEOS có một công cụ phát hiện như vậy, thì nguyên nhân sâu xa của cuộc tấn công này đáng được điều tra và không thể loại trừ nghi ngờ rằng nhóm đang chơi trò gian lận.

◆ Hiện tại, rủi ro của loại trò chơi đánh bạc này quá cao, phần lớn người dùng nên đầu tư hợp lý và lựa chọn cẩn thận.

Ngày 18 tháng 9 năm 2018 - NewDex

NewDex là sàn giao dịch phi tập trung đầu tiên trên thế giới dựa trên chuỗi khối EOS. Nó được ra mắt vào ngày 8 tháng 8. Nó tuyên bố có thể hỗ trợ hoàn hảo hiệu suất của nền tảng và tốc độ giao dịch tương đương với tốc độ của các sàn giao dịch tập trung. Điều này đảm bảo an toàn cho tài sản . Tuy nhiên, hơn một tháng sau khi lên mạng, nó đã gặp phải sự cố EOS quẹt phải tiền giả, qua sự cố này, thế giới bên ngoài bắt đầu đặt câu hỏi liệu NewDex có phải là một sàn giao dịch phi tập trung thực sự hay không.

quy mô tổn thất：58,Lịch sử sự kiện và phân tích bảo mật

Lịch sử sự kiện và phân tích bảo mật

◆ Tài khoản độc hại Tài khoản EOS "oo1122334455" đã phát hành 1 tỷ EOS giả vào lúc 14:01:45 ngày 14 tháng 9 năm 2018 và phân bổ toàn bộ số tiền vào tài khoản dapphub12345.

◆ Ngay lập tức được chuyển từ dapphub12345 sang tài khoản iambillgates (tài khoản đã thực hiện vụ tấn công) Vào lúc 14:21:37, tài khoản iambillgates đã cố gắng mua IPOS và ADD bằng lệnh chờ EOS giả nhiều lần và đã mua thành công IPOS và ADD với EOS ADD giả. Sau khi mua thành công BLACK, IQ và ADD, tài khoản iambillgates đã ngay lập tức chuyển các Token thu được bất hợp pháp sang tài khoản xx1234512345 và x12345x12345, cuối cùng xx1234512345 đã bán một số Token thu được bất hợp pháp trên bảng giá thị trường Newdex và bán được tổng cộng 4028 real EOS

◆ Sau đó, tiền tệ thực của EOS được gửi đến Bitfinex để giao dịch với các loại tiền điện tử khác

◆ Sự kiện quẹt EOS giả mạo đã gây thiệt hại tổng cộng 11.803 EOS cho người dùng Newdex. Nhóm NewDex đã xin lỗi về sự kiện này và quyết định chịu mọi tổn thất một cách có trách nhiệm. Tiếp tục hoạt động bình thường.

Chế độ xem an toàn của Panther

Chế độ xem an toàn của Panther

◆ Trong sự cố này, tin tặc đã sử dụng tiền tệ bản địa của EOS để giao dịch mã thông báo giả, dẫn đến sự mất giá nghiêm trọng của EOS trong hệ thống NewDex

◆ Hacker có thể thành công vì NewDex đã không xác minh tính xác thực của mã thông báo thông qua hợp đồng thông minh của mình, vì vậy chúng tôi có thể kết luận rằng: về bản chất, NewDex chỉ là một sàn giao dịch ngoại hối tập trung xử lý các lệnh tài khoản được người dùng sử dụng khi giao dịch .Đó không phải là một sàn giao dịch phi tập trung như chính anh ấy đã tuyên bố!

◆ Nhiều dấu hiệu cho thấy NewDex đang giả vờ là một sàn giao dịch phi tập trung. Họ chỉ khớp giao dịch trên máy chủ trung tâm của họ, hệ thống thậm chí không kiểm tra tính xác thực của các mã thông báo đã gửi trong khi xử lý giao dịch.

◆ Tại đây, chúng tôi khuyên bạn nên tiến hành thẩm định chi tiết khi chọn một sàn giao dịch tiền kỹ thuật số để giao dịch và không bị nhầm lẫn bởi các phương tiện truyền thông đại chúng.Chẳng hạn như mã thông báo xếp hạngtiêu đề cấp đầu tiên

Bối cảnh sự kiện:

Bối cảnh sự kiện:

Vào ngày 19 tháng 9 năm 2018, Bitcoin, MonaCoin và Bitcoin Cash đã bị đánh cắp từ sàn giao dịch Zaif có trụ sở tại Tech Bureau Corp có trụ sở tại Osaka. Tổng số tiền bị đánh cắp là Trong số tiền kỹ thuật số trị giá 60 triệu đô la, khoảng 2,2 tỷ yên (19,6 triệu đô la) dưới dạng tiền điện tử bị đánh cắp thuộc về sàn giao dịch và phần còn lại là tiền của khách hàng.

Quy mô thiệt hại: 60 triệu USD

Lịch sử sự kiện và phân tích bảo mật

Lịch sử sự kiện và phân tích bảo mật

◆ Sau ngày 14 tháng 9 năm 2018, sàn giao dịch zaif đã đóng dịch vụ gửi và rút tiền cho người dùng.

◆ Theo Zaif Exchange, lý do đóng cửa dịch vụ là từ 17:00 đến 19:00 ngày 14 tháng 9, ai đó đã xâm nhập trái phép vào ví nóng của họ

◆ Người ta đã xác minh rằng hành vi bất hợp pháp của tin tặc đã dẫn đến việc mất BTC, Bitcoin Cash và Monacoin trị giá 5.900 USD

◆ Zaif không tiết lộ chi tiết về vụ tấn công trong bản tin, nó đã tìm kiếm sự giúp đỡ của chính quyền Nhật Bản để điều tra vụ trộm

◆ Thực tế đã chứng minh rằng trước cuộc tấn công này, Cơ quan Dịch vụ Tài chính Nhật Bản (FSA) đã đưa ra cảnh báo sớm cho zaif về hệ thống quản lý nội bộ và các biện pháp bảo mật vào ngày 8 tháng 3 và ngày 22 tháng 6 tương ứng.

◆ Ngay sau vụ trộm, Cơ quan Dịch vụ Tài chính Nhật Bản (FSA) đã ban hành lệnh cải thiện hoạt động kinh doanh thứ ba trong năm nay cho Tech Bureau, công ty mẹ của Zaif. Nhưng Sàn giao dịch Zaif đã không hành động theo lời khuyên của FSA

◆ Theo tiết lộ của Zaif với cơ quan chức năng, nguyên nhân vụ việc là do máy tính của một nhân viên của sàn giao dịch bị hack

◆ Vào ngày 22 tháng 11, Zaif Exchange đã chuyển giao hoạt động kinh doanh liên quan đến tiền ảo cho Tập đoàn FISCO và Tập đoàn Fisco sẽ tiếp quản Zaif và bồi thường cho người dùng số tiền bị đánh cắp.

Chế độ xem an toàn của Panther

Chế độ xem an toàn của Panther

◆ Theo nhiều dấu hiệu khác nhau, nguyên nhân của sự cố có thể là do máy tính của nhân viên Zaif đã bị tin tặc tấn công thành công bằng các trang web lừa đảo

◆ Đối với các sàn giao dịch tiền kỹ thuật số, việc mắc phải những sai lầm cấp thấp như vậy không phải là điều vô lý.

tiêu đề phụ

Các cuộc tấn công tương tự khác

Vào tháng 7 năm 2017, phương pháp tương tự đã được sử dụng trong vụ hack Bithumb trong đó hàng triệu đô la tiền điện tử đã bị đánh cắp và dữ liệu khách hàng bị rò rỉ

bối cảnh sự kiện

bối cảnh sự kiện

SpankChain là một dự án chuỗi khối giải trí dành cho người lớn dựa trên chuỗi công khai Ethereum. Nhóm đã viết blog vào ngày 9 tháng 10 rằng họ đã bị hack vào thứ Bảy tuần trước (ngày 6 tháng 10) và mất 165,38 ETH (trị giá khoảng 38.000 USD vào thời điểm đó). Một số tiền BOOTY trị giá 4.000 đô la khác đã bị đóng băng.

quy mô tổn thất: Hơn 40.000 đô la (được kết hợp theo giá của các mã thông báo ETH và BOOTY bị mất vào thời điểm đó)

phương pháp tấn côngLịch sử sự kiện và phân tích bảo mật

Lịch sử sự kiện và phân tích bảo mật

◆ Tin tặc đã khai thác lỗ hổng đăng nhập lại trong hợp đồng thông minh SpankChain, lỗ hổng này tương tự như lỗ hổng nổi tiếng trong sự cố The DAO

◆ Nhóm kỹ thuật phát hiện ra rằng hợp đồng đã bị hack 24 giờ sau vụ tấn công và nhóm SpankChain đã ngay lập tức đóng cửa trang web chính thức của mình

◆ Sau cuộc tấn công, công ty đã tuyên bố rằng họ sẽ làm việc trên airdrop ETH để hoàn trả cho những người dùng bị mất tiền trong cuộc tấn công

◆ Vào ngày 12 tháng 10, hacker đã liên hệ với Giám đốc điều hành của SpankChain và trả lại 165,38 ETH cho nhóm, ngoài ra, hacker đã giúp SpankChain khôi phục khoảng 4.000 mã thông báo BOOTY đã bị đóng băng do cuộc tấn công. Đổi lại, nhóm SpankChain đã trao cho hacker một số phần thưởng.

Chế độ xem an toàn của Panther

Chế độ xem an toàn của Panther

◆ Cộng đồng blockchain SpankChain đã phản ứng gay gắt với sự cố này, có thể là do khó chấp nhận việc tin tặc sử dụng lỗ hổng reentrancy nổi tiếng để tấn công.

◆ Reentrancy thực sự là đệ quy, nghĩa là, một lệnh gọi theo chu kỳ đến một chức năng và một lệnh gọi theo chu kỳ đến chính nó. Giải pháp cơ bản nhất cho lỗ hổng reentrancy là cập nhật tất cả các trạng thái nên được thay đổi trước khi chuyển, thay vì sau khi chuyển. cập nhật.

◆ Ở đây, tôi xin nhắc lại với mọi người về tầm quan trọng của việc kiểm tra bảo mật trong ngành công nghiệp chuỗi khối. Trước khi vào chuỗi, bạn chỉ cần đầu tư một khoản phí nhỏ để tiến hành kiểm toán bảo mật trên hợp đồng thông minh, điều này có thể tránh được những điều này.

◆ Trong chuỗi khối không có khái niệm xóa và sửa đổi, một khi hợp đồng được triển khai trên chuỗi công khai thì không thể bị giả mạo, hàng chục nghìn tin tặc trên toàn thế giới có thể từ từ tìm ra từng dòng sơ hở trên. Đối với ngành công nghiệp blockchain, kiểm toán bảo mật là một quy trình thiết yếu.

◆ May mắn thay, hacker đã trả lại Ether trị giá hàng triệu đô la vào thời điểm đó. Không rõ tại sao tin tặc trả lại số tiền bị đánh cắp, đây có thể là một sự an ủi cho nạn nhân, nhưng nó không xảy ra thường xuyên. Nhưng đây không phải là lần đầu tiên, đã có tin tặc trả lại số tiền bị đánh cắp trong sự cố ICO của CoinDash.

tiêu đề phụ

Các cuộc tấn công tương tự khác

DAO Hack - Một trong những sự kiện khét tiếng nhất trong lịch sử chuỗi khối Ethereum, đã gây ra một đợt hard fork chuỗi khối Ethereum, tách thành Ethereum và Ethereum Classic.

Sòng bạc EOSBet (14 tháng 9 và 15 tháng 10 năm 2018)

EOSBet là một nền tảng chơi game trên EOS. Nó đã bị tin tặc tấn công hai lần vào ngày 14 tháng 9 và ngày 15 tháng 10, với thiệt hại lần lượt là 44427.4302 EOS và 138.319.7995 EOS.

quy mô tổn thất：200,000 USD + 338.000 USD (cả hai đều mất EOS)

phương pháp tấn côngLịch sử sự kiện và phân tích bảo mật

Lịch sử sự kiện và phân tích bảo mật

Lần hack đầu tiên:

◆ Ngày 14/09 EOSBet bị hacker tấn công Đội ngũ EOSBet chính thức thông báo: Cuộc tấn công này không hề đơn giản Chúng tôi đang tiến hành thu thập chứng cứ và xâu chuỗi những gì đã xảy ra để tìm ra manh mối

◆ Theo phân tích của TheNextWeb, "phương thức tấn công của tin tặc là sử dụng hàm băm giả để gọi hàm 'chuyển' ra bên ngoài"

◆ Sau cuộc tấn công, một tài khoản EOS có tên rất giống với tài khoản EOSBet chính thức đã gửi một lượng nhỏ EOS đến địa chỉ của kẻ tấn công, với thông báo yêu cầu bên kia trả lại số tiền bị đánh cắp, tuyên bố rằng nếu họ không trả lại, họ sẽ thuê một nhóm luật sư Săn lùng và truy tố những kẻ tấn công.

◆ Vào ngày 16 tháng 9, EOSBet đã trực tuyến trở lại và chính thức đưa ra một báo cáo chi tiết về vụ tấn công của hacker, hứa hẹn rằng hợp đồng của họ đã vá tất cả các lỗ hổng và hiện rất an toàn

Lần tấn công thứ hai:

◆ Một tháng sau, tin tặc đã sử dụng các lỗ hổng trong hợp đồng EOSBet khi xác minh người nhận tiền, giả mạo thông báo chuyển khoản và kiếm được tổng lợi nhuận là 138.319,7995 EOS từ eosbetdice11.

◆ Trong số đó, 72.150 EOS chảy vào Bitfinex và 65.100 EOS chảy vào Poloniex. Theo giá thị trường hiện tại của EOS là 37 nhân dân tệ, nền tảng EOSBet đã lỗ hơn 5 triệu nhân dân tệ lần này.

Chế độ xem an toàn của Panther

Chế độ xem an toàn của Panther

phần kết

phần kết

Các sự cố bảo mật lớn trong hai tháng 9 và 10 chủ yếu tập trung vào các lỗ hổng hợp đồng thông minh của EOS và các lỗ hổng liên quan đến sàn giao dịch, mức độ thiệt hại có thể nói là rất cao. Tuy nhiên, nhiều sự cố trong số này hoàn toàn có thể tránh được, sở dĩ các sự cố bảo mật xảy ra thường xuyên phần lớn là do nhận thức về bảo mật của chúng ta còn quá yếu.

Sự cố bảo mật thường xuyên xảy ra, cùng với sự sụt giảm mạnh trong ngành, liên tục đánh vào niềm tin của những người tham gia blockchain, nhưng chúng ta cũng có thể thay đổi quan điểm của mình và nhìn vào sự phát triển của toàn ngành. tổn thất lớn trong các sự cố bảo mật Hãy cảnh giác, rút ​​kinh nghiệm từ những bài học trong quá khứ và chú ý hơn đến việc xây dựng bảo mật. Tôi tin rằng điều này rất tốt cho ngành công nghiệp blockchain đang phát triển mạnh.

Bảo mật chuỗi khối Cheetah dựa trên công nghệ của Kingsoft Internet Security, kết hợp với trí tuệ nhân tạo, nlp và các công nghệ khác, để cung cấp cho người dùng chuỗi khối các dịch vụ bảo mật sinh thái như kiểm toán hợp đồng và phân tích tình cảm. và xếp hạng. Cơ quan xếp hạng blockchain phổ biến nhất.

Trang web chính thức của RatingtokenTrang web chính thức của Ratingtoken