慢霧：2019年度區塊鏈安全與隱私生態大事記_VAULT:MINUTE Vault (NFTX)

2019年區塊鏈行業發展迅猛，中心化交易所/去中心化交易所、DApp、Staking、CeFi/DeFi、Web3.0等概念逐漸變得耳熟能詳，大量資金的涌入，不斷吸引地下黑客的視線往區塊鏈行業轉移。據慢霧區塊鏈被黑檔案庫(hacked.slowmist.io)數據統計，2019年全年區塊鏈行業發生安全事件超130起，累計損失資金超50億美金，交易所、錢包、DApp成黑客攻擊重災區。慢霧科技將通過這篇文章梳理2019年區塊鏈安全與隱私生態發生的影響重大的事件，為讀者回顧事件詳情，同時對每個事件附上慢霧觀點。雖然本文列舉的僅是冰山一角，但具有很大的代表性。No.1ETC遭受51%攻擊

發生日期：2019-01-05事件描述：1月5日下午，ETC高度為7245623的區塊發生異動，1月7日慢霧安全團隊披露稱，ETC疑似發生了51%攻擊，有不少區塊發生回滾，在短短兩天之間，ETC網絡共遭受了至少11次疑似雙花攻擊，損失約值46萬美元的ETC，1月8日，Gate.io研究院發布公告稱，已確認ETC網絡遭受51%攻擊并定位到攻擊者的ETC地址。

慢霧觀點沒經過真實攻擊洗禮且保持進化的公鏈都不是安全的公鏈。當雙花攻擊變得常見時，公鏈需要將防控雙花攻擊作為風控機制的一部分。作為加密貨幣生態的參與者，防范雙花攻擊可能并不僅僅是公鏈的責任，交易所、錢包、投資人都有必要提高警惕。No.2Cryptopia遭攻擊后破產

慢霧：近期出現新的流行惡意盜幣軟件Mystic Stealer，可針對40款瀏覽器、70款瀏覽器擴展進行攻擊:6月20日消息，慢霧首席信息安全官@IM_23pds在社交媒體上發文表示，近期已出現新的加密貨幣盜竊軟件Mystic Stealer，該軟件可針對40款瀏覽器、70款瀏覽器擴展、加密貨幣錢包進行攻擊，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名錢包，是目前最流行的惡意軟件，請用戶注意風險。[2023/6/20 21:49:05]

發生日期：2019-01-14事件描述：1月14日，新西蘭加密貨幣交易所Cryptopia遭受黑客攻擊，黑客共偷走了價值1600萬美元的以太坊和ERC20代幣，隨后暫停了其平臺服務，早在推文發出之前的13個小時，該公司曾對外表示“平臺正在進行計劃外的維護”，暗示交易所已經受到黑客攻擊。隨后參與了對黑客攻擊事件的調查，而Cryptopia交易所無力繼續運營。今年5月，Cryptopia交易所宣布關閉并申請破產保護，該交易所欠債權人超過270萬美元。慢霧觀點Cryptopia被黑事件成為交易所2019新年第一“盜”，地下黑客將攻擊的重點目標轉向了加密貨幣交易所，加密貨幣交易所側的攻防戰場開始火熱起來。跟隨加密貨幣大生態的發展，地下黑客職業軍團相繼踏入區塊鏈攻防世界。No.3眾多EOSDApp遭遇交易排擠攻擊

發生日期：2019年1月開始事件描述：2019年1月11日凌晨，EOS.WIN遭遇黑客攻擊。EOS.WIN的攻擊者采用的是新型攻擊手法，為“交易排擠攻擊”，這種攻擊手法與之前攻擊bocai.game的攻擊手法為同一種攻擊手法。攻擊者首先是發起正常的轉賬交易，然后使用另一個合約帳號檢測中獎行為。如果不中獎，則發起大量的defer交易，將項目方的開獎交易“擠”到下一個區塊中。該類攻擊源于項目方的隨機數算法使用了時間種子，使攻擊者提升了中獎幾率，導致攻擊成功。慢霧觀點區塊鏈上沒有完美的隨機數方案，只要是采用鏈上的變量作為隨機數因子，都存在被黑客攻破的可能。建議開發者采用EOS官方推薦的隨機數安全實踐“RandomizationinContracts”，或者引入預言機。同時在合約設計時加上風控機制，比如獎池大額轉出超過某個閾值自動暫停。No.4DragonEx遭入侵損失超600萬美元加密貨幣

慢霧：Ribbon Finance遭遇DNS攻擊，某用戶損失16.5 WBTC:6月24日消息，Ribbon Finance 發推表示遭遇 DNS 攻擊，慢霧MistTrack通過鏈上分析發現攻擊者與今天早前的Convex Finance 攻擊者是同一個，地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻擊者共用的用來調用惡意合約的錢包地址。同時分析發現，Ribbon Finance某用戶在攻擊中損失了 16.5 WBTC，具體交易為：https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

發生日期：2019-03-24事件描述：加密貨幣交易所DragonEx發布公告稱平臺錢包遭受黑客入侵，導致用戶和平臺的數字資產被盜，涉及BTC、ETH、EOS、XRP、TRX等20余種主流數字資產，總損失超600萬美元。慢霧觀點在攻擊事件發生后，國內外多家安全公司證實該事件是黑客組織Lazarus所為。該組織通過運營和模擬正常的量化軟件，以高利潤和高收益通過交易所對外的客服誘惑交易所高層使用。量化軟件中隱藏有后門，一旦軟件被傳遞到關鍵人電腦上運行就會進行一序列滲透和黑客動作。隨著加密貨幣的發展，黑客組織Lazarus對加密貨幣的興趣已經越來越濃厚，黑客攻擊也越來越多，呈現出APT(高級持續性威脅)性質，只有交易所自身做好防護措施，才能讓黑客不再有機可乘。No.5Bithumb被盜3百萬EOS和2千萬XRP

慢霧：Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息，6 月 7 日，Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約，FlashLoanProvider 合約提供閃電貸服務，用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金，Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除，流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作，FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者，隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中，向 WBNB Vault 提供流動性，由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者，因此流動性余額少于預期，則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸，然后從 WBNB Vault 中移除流動性，此時由于 WBNB Vault 中的流動性已恢復正常，因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約，耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

發生日期：2019-03-29事件描述：3月29日，韓國加密貨幣交易所Bithumb承認遭到黑客攻擊。一名管理人員表示，當地時間3月29日晚10點15分左右，檢測到熱錢包出現異常取款。黑客盜走約300萬枚EOS，價值約1340萬美元，以及2000萬枚XRP，價值600萬美元。早在2018年6月，該交易所就因黑客攻擊損失了價值達3100萬美元的加密貨幣，不到1年的時間里Bithumb接連出現2次被黑事件。慢霧觀點加密貨幣交易所遭受二次攻擊，不排除內鬼作案。確實在金錢魔力面前，人性經不住考驗，而許多交易所的內部安全風控建設工作又過于缺失，這促使了內鬼有足夠動機作案，導致交易所被盜幣。No.6幣安被盜7074枚比特幣

慢霧：Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日，慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。

1.在Cover協議的Blacksmith合約中，用戶可以通過deposit函數抵押BPT代幣；

2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子，并使用accRewardsPerToken來記錄累計獎勵；

3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄；

4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押；

5.此時攻擊者將第二次進行deposit，并通過claimRewards提取獎勵；

6.問題出在rewardWriteoff的具體計算，在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory，此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值；

7.由于memory中獲取的Pool值是舊的，其對應記錄的accRewardsPerToken也是舊的會賦值到miner；

8.之后再進行新的一次updatePool時，由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小，所以最后獲得的accRewardsPerToken將變大；

9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值，在進行rewardWriteoff計算時獲得的值也將偏小，但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值；

10.因此在進行具體獎勵計算時由于這個新舊參數之前差值，會導致計算出一個偏大的數值；

11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣，導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[2020/12/29 15:58:07]

發生日期：2019-05-08事件描述：5月8日，加密貨幣交易所幣安發布安全公告稱，5月7日17:15:24，黑客在區塊高度575012處從幣安熱錢包中盜取7074枚比特幣，黑客此前已發現系統存在的安全漏洞，但一直很耐心，直到系統出現大額交易才出手。慢霧觀點隨著地下黑客職業軍團相繼進場，職業的地下黑客通過高級釣魚及木馬植入，層層滲透最終拿到交易所的私鑰權限，導致加密貨幣交易所被盜幣。面對地下黑客職業軍團的攻勢，交易所側安全防御表現極其無力。交易所可以與可信且職業的安全團隊進行深入合作，部署因地制宜的安全建議，做到默認一切不可信的心態去接觸這個世界。No.7TokenStore被爆跑路，卷走用戶數十億資產

慢霧：nanotron安全審計報告是偽造的:慢霧科技發推表示：團隊并沒有對于nanotron進行審計，項目的安全審計報告是偽造的，請注意防范風險。[2020/10/8]

發生日期：2019-06-10事件描述：5月31日，TokenStore發布公告稱由于受到黑客攻擊，系統將全面升級維護10天，并強調不管發生什么，平臺會堅持運行。6月10日，社區多位用戶反映，TokenStore在升級公告發布10天之后疑似跑路，投資人數十億資金被一卷而空。慢霧觀點資金盤跑路還不忘把鍋甩給黑客攻擊，真是花樣百出……類似項目經常使用“高收益”、“最新區塊鏈科技”等名詞進行包裝，實則是龐氏騙局，投資者們要仔細分辨，切莫參與。No.8PlusToken跑路卷走約20億美元加密貨幣

發生日期：2019-06-27事件描述：6月27日晚上，有投資者發現，自己的PlusToken錢包無法提現了，遇到同樣問題的人不在少數。有人發現，以往少則10分鐘、最多3小時的提現時間，已經連續好幾日沒有任何反應，并且App無法登陸，客服也不在線。后被證實PlusToken跑路，騙局共吸納了價值超過20億美元的加密貨幣，包括180,000BTC、6,400,000ETH、111,000USDT等。慢霧觀點PlusToken是同類資金盤項目里涉案金額最大、受害用戶最多的一個，給區塊鏈生態帶來嚴重的負面影響。慢霧AML系統對PlusToken錢包的鏈上交易進行了持續地追蹤與溯源，從統計數據發現，絕大部分加密貨幣已經被利用Mixer、免KYC的幣幣兌換平臺進行清洗，進而轉化為法幣離場。No.9Bitrue被盜930萬枚XRP

發生日期：2019-06-27事件描述：6月27日凌晨1點，總部位于新加坡的加密資產交易所Bitrue遭遇重大黑客攻擊，其熱錢包損失了930萬枚XRP和250萬枚ADA，被盜的XRP和ADA價值分別超過450萬美元和23.75萬美元。慢霧觀點Bitrue官方表示，黑客利用風控系統的漏洞來訪問用戶的個人資金和Bitrue熱錢包，進而實施盜幣。由于交易所內部人員的安全意識缺失，本不該暴露的系統缺陷暴露了，給了地下黑客可乘之機，導致被盜幣。在區塊鏈世界攻防差距明顯，以現在大多數交易所的防御能力不足以抵擋職業地下黑客的入侵。安全體系化建設工作很復雜，防御工作需要面面俱到，而入侵工作卻可以單點突破。No.10BitPoint被盜價值約3200萬美元的加密貨幣

發生日期：2019-07-11事件描述：Bitpoint在7月11日發生黑客攻擊事件。黑客攻擊了該交易所的熱錢包和冷錢包，竊取了價值約3200萬美元的比特幣、比特幣現金、萊特幣、瑞波幣和以太坊，其中約2300萬美元的數字貨幣屬于該交易所的用戶。BitPoint表示，受害用戶數量接近該交易所用戶總數的一半，高達5萬人。該交易所表示將承擔用戶的所有損失。慢霧觀點三分之二的被盜資金屬于客戶，金融廳面子全毀。手法雖然未公開，但是不排除APT類攻擊行為。地下黑客攻擊愈加激烈，加密貨幣交易所側安全防御面臨新挑戰。No.11第三方問題導致平臺遭受攻擊

發生日期：2019年7月事件描述：7月5日，NPM官方博客發布文章稱，NPM安全團隊與Komodo合作發現并阻止了針對名為Agama的加密貨幣錢包所有用戶的惡意投威脅。攻擊者將惡意程序包放入Agama的構建鏈中，用這種手法來竊取錢包應用程序中使用的錢包私鑰和其他登錄密碼。慢霧觀點在當下的技術架構中脫離不了第三方JavaScript庫，所有項目方技術團隊都應該強制至少一名核心技術完整review一遍所有第三方模塊，看看是否存在可疑代碼，也可以抓包看看是否存在可疑請求。No.12BitMEX、幣安用戶身份信息遭泄露

發生日期：2019年8月、11月事件描述：2019年11月1日，BitMEX在發送平臺郵件通知時，由于沒有采用密送設置，導致該郵件所有接收人的郵箱地址被泄露。事后有研究人員在推特上發布消息稱，已收集到的郵箱地址超過2.3萬個。幣安用戶KYC資料泄露事件發生于2019年8月，有人通過Telegram群「FINDYOURBINANCEKYC」公開發布幣安用戶KYC資料，之后幣安發布消息稱：Telegram群傳播的KYC資料和幣安系統信息不符，圖片沒有幣安特定的電子水印，尚不能證明來自幣安。慢霧觀點用戶身份信息應得到高強度的加密和保護，平臺在早期架構設計時應貫徹落實這個策略，規避此類敏感信息泄露事件的發生。No.13Upbit被盜34.2萬枚ETH

發生日期：2019-11-27事件描述：韓國交易所Upbit公告稱，有34.2萬個以太坊被盜，已轉移至一個未知的以太坊地址，總價值約5000萬美元。此前據WhaleAlert監測的鏈上數據顯示，Upbit頻繁轉出大額加密貨幣，包括SNT、EOS、OMG、XLM、TRX、ETH等，總價值超過1億美元。隨后官方發布公告澄清，只有ETH是被黑客盜走的，其余資產均是交易所為了安全自行轉移到冷錢包。慢霧觀點目前懷疑和之前一直在活動的APT(高級持續性威脅)攻擊有關，這種攻擊的特點是長期潛伏，直到碰到可操作的大資金，一次性大筆盜走。當然也不能排除內鬼可能性。被盜的是Upbit的ETH熱錢包，冷錢包應該無風險。附：交易所安全攻防總結

2019年交易所領域發生了大量的安全事件，且每個都造成了巨額的損失。慢霧科技在交易所安全攻防方面有深厚的沉淀，我們總結發現主要有如下幾個攻擊手法：1.內鬼作案。確實在金錢魔力面前，人性經不住考驗，而許多交易所的內部安全風控建設工作又過于缺失，這促使了內鬼有足夠動機作案，導致被盜幣；2.假充值漏洞攻擊。一些交易所在對接的各種公鏈或代幣上的安全經驗不足，導致充值環節中出現假資金情況，但交易所系統卻認為是真的，導致被盜幣；3.APT攻擊。職業的地下黑客通過高級釣魚及木馬植入，層層滲透最終拿到交易所的私鑰權限，導致被盜幣；4.供應鏈攻擊。交易所使用的第三方組件被黑植入了惡意代碼，從而間接影響了交易所的安全防線，導致被盜幣；5.粗心大意。由于交易所內部人員的安全意識缺失，本不該暴露的系統缺陷暴露了，給了地下黑客可乘之機，導致被盜幣。從這些主要的攻擊手法來看，可以總結出兩個主要特點：1.內部人員人性之惡及安全意識、安全經驗缺失；2.攻防差距明顯，以現在大多數交易所的防御能力不足以抵擋職業地下黑客的入侵。

Tags：加密貨幣BITULTVAULT加密貨幣最新消息與新聞BitStashMINUTE Vault (NFTX)Vault-S

ADA