根据成都联安“区块链安全态势感知平台”(beosin鹰眼)的数据监测,显示:
2020年11月,在区块链领域,各种安全事件发生频率更高。与10月份安全事件的缓和趋势相比,本月的情况有所恶化。据不完全统计,11月份发生的典安全事件超过27起。
本月,特别是在DeFi领域,黑客们上演了一系列协议“攻击戏”,仿佛是在中心化排练。其中,借助闪电贷款的再入攻击、预言攻击等手段显示出较强的杀伤力。不得不说,11月的DIC市场就像一场“大灾难”,多次袭击,屡次“轰炸”,造成巨额资产损失。
在此期间,成都联安曾呼吁闪电出击,但其背后的真相不容忽视。Defi项目方应特别关注预言机的控制问题,以防止数据危机带来无法弥补的后果。
因此,成都联安再次郑重建议,DFI开发者应加强预言机机的针对性测试,特别是在项目上线前,要尽可能模拟各种价格操纵攻击的场景,及时发现问题,找到解决方案,有效提高项目抵御预言机攻击的能力,提前规避此类风险。
交换
共发生“6”起典安全事故
01
常州警方龙湖塘派出所近日接到报案,称部分用户在“罗马货币兑换”平台上进行虚拟货币投资被骗。该平台推出了两种应用程序供用户聊天和交易。手术成功后,他们可以得到回扣。目前,交易平台已无法登录。
02
波卡去中心化的金融平台阿克罗波利斯(Akropolis)正受到攻击。黑客利用衍生品平台dydx上的闪贷发动重返攻击,造成200万美元损失。
03
泉州不少市民透露,他们被数字货币交易所欺骗。涉及的交易所称为马克兑换,总金额约25亿元人民币。据怀疑,大约有10万人参与了职位管理。
04
11月13日,发生了液体交换的入侵。黑客更改了DNS记录,然后控制了大量内部电子邮件帐户。最终,他们部分摧毁了exchange的基础设施并访问了存储的文档。
05
pickle finance的pdai picklejar被黑客攻击,导致19759355 Dai耗尽。此攻击还涉及许多pickle协议组件。
06
知名安全博客Krebs on security报道,受欢迎的托管提供商GoDaddy托管的多个加密货币平台在11月13日左右遭到攻击,其中包括加密货币交易平台Liquid.com网站。
关于DeFi
共发生“5”起典安全事故
01
十一月,香港时间02号06:14,波场的主要网络受到恶意合同的攻击。在这次攻击中,黑客利用授予合同作者的权限展开恶意交易,致使“超级代表”停产牟利。
02
11月4日,DeFi贷款平台pERCent finance写道,一些货币市场遇到的问题可能导致用户资金**锁定。结果,该团队冻结了专门针对美元、欧洲标准普尔和世界银行的货币市场。
03
11月14日,value DeFi协议的value DeFi multistables保险库遭到黑客的预言机控制攻击,损失超过700万美元。
04
贷款的来源降到了13.0美元。此后,Uniswap的流动资金从16日的35万美元降至12万美元。
05
来自Web3去中心化API服务api3的Kiyo tweets说,DFI固定速率生成协议88mph(MPH)中似乎存在漏洞,攻击者利用该协议伪造价值10万美元的MPH代币。从那时起,这个漏洞就被修复了。
A602A603
贝奥辛评论
这个月,DeFi项目的安全令人担忧。这可能是由于对协议的核心环节缺乏足够的重视。”弥补漏洞还不算晚”。看来黑客的攻击不会停止。面对严峻的安全形势,积极防范的心态和行动非常重要。
成都联安认为,安全问题始终需要放在首位。事实上,在项目上线前做好安全审计是远远不够的。一些案例反映了审计只是安全工作的第一步的问题。
在项目开发过程中,要时刻梳理制度问题,防止出现“致命”漏洞。否则,当黑客早于内部发现时,资产的安全可能会受到威胁。
路上诈骗/加密诈骗
共发生“5”起典安全事故
01
印度社会名流Harpret Singh Sahni承认,她参与了一个规模庞大的加密货币诈骗案,并向澳大利亚一家加密公司的投资者出售加密软件,并推销pguc代币。该公司网站经常出现故障,导致用户无法提取现金。三喜可能面临大约24年的监禁。
02
非盈利组织欧洲基金回收倡议(efri)对ing控股payvision提起诉讼,声称该公司推广欺诈性投资计划,并为加密货币公司提供服务,导致投资者损失超过7500万美元。该组织代表数百名受害者要求赔偿。根据efri提供的文件,cryptopoint涉嫌与诈骗有关。
03
北京时间11月5日有报道称,一名伪装成埃隆·马斯克的黑客在回复特朗普推特时欺骗了虚拟货币用户。黑客使用的账户经过twitter认证,用户名显示为“Elon Musk”。他回复特朗普有关总统大选的推特,几个小时内赚了25万美元。
04
11月9日,有报道称,欺诈者使用假域名盗取了不同用户的约110万个XRP,目前价值超过28万美元。
05
11月17日,澳大利亚证券投资委员会(ASIC)宣布,bitconnect前创始人约翰·路易斯·安东尼·比格顿(John-Louis Anthony bigaton)被控参与一个加密货币项目,被控诈骗投资者数百万美元。
勒索软件/挖矿木马
共发生“5”起典安全事故
01
11月3日,腾讯主机安全(cloud mirror)抓获了一个挖矿木马组织z0miner利用Weblogic的未授权命令执行漏洞(cve-2020-14882/14883)发动的攻击。通过对云服务器的批量扫描,该团伙发现具有Weblogic漏洞的机器植入了Monroe coin mining木马。
02
11月初,游戏巨头Capcom遭到一个名为“Ragnar locker”的组织开发的勒索软件的攻击。安全专家pancak3lullz说,Ragnar locker使用加密技术锁定了Capcom网络上的2000台设备,并要求支付1100万美元赎金购买比特币,包括文件夹、护照、销售报告、银行对账单、合同和一个大战略信息数据库。
03
11月1日,意大利**葡萄酒生产商坎帕里集团遭到黑客勒索。公司的重要文件、合同和银行信息被盗。黑客敲诈了1500万美元的比特币。
04
以色列Payransey攻击了数家Payransey公司。据悉,每一家受害公司泄露的数据都被上传到网站上的特定文件夹,信息由攻击者定制。
05
“BCH爱好者李小龙”说,bcha公链受到攻击。这种攻击是一种双管齐下的攻击(可能是同一个人),而bcha网络中会产生大量的空块。
黑暗网络
共发生“1”起典安全事故
01
美国司法部查获了10亿美元与黑暗网络“丝绸之路”有关的比特币。它在一份声明中说,被没收的加密货币与美国查获的**加密货币“黑暗丝绸之路”有关。当局从一名黑客手中缴获了比特币,该黑客在一份声明中被命名为个人X。
其他方面
共发生“5”起典安全事故
01
就在11月2日上市后几个小时,Axion网络合同出现铸造漏洞,50万美元被盗。他们甚至建议用户避免立即购买axn代币,远离网络仪表板。一位twitter用户指出,790亿axn是意外投下并出售的。
02
针对账本钱包所有者的网络钓鱼和欺诈行为正在增加。其中一个骗局从受害者那里得到了超过115万的XRP。该诈骗利用网络钓鱼邮件,将用户引向一个伪造的账本网站,诱使受害人下载冒充安全更新的恶意软件,导致账本钱包余额被盗。
03
根据reddit的说法,一群“主动管理”的恶意节点试图通过Sybil攻击来干扰和破坏monero网络,以获取monero区块链上用户的信息。
04
格林在11月9日遭受了51%的攻击。一个未知实体控制着超过57%的网络算力。根据grin的网站,研究小组建议人们等待“最终结果的进一步确认”。
05
最近,币安与美国司法部合作,起诉了两名涉嫌在2018年3月对币安网站发动攻击的人。
针对当前区块链安全领域的新形势
“成都连锁安全”温馨提示
整体来看,11月份区块链安全事件数高于10月份,整体安全事件数处于中等水平。
就本月的DeFi项目而言,与上月相比,安全事件有所增加。在一次又一次的黑客攻击下,DeFi领域的整体安全形势不容乐观。
成都链家安全在此呼吁广大项目方在项目上线前做好一整套安全排查工作,并在项目上线后进行定期检查,以减少代码漏洞等问题,避免不必要的损失。
文章标题:盘点:11月典型安全事件超过27起,整体风险评级为“高”
文章链接:https://www.btchangqing.cn/152379.html
更新时间:2020年12月01日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
现货交易,不是不会爆的吗?
这么多人赚钱~和我看到的不一样呀。。