块连线
有态度/有深度/有温度
关注
文 | 鸽子
来源 | 区块链兄弟
来看3个数字:
区块链自身机制安全12.5亿美金;
生态安全14.2亿美金;
使用者安全0.56亿美金;
这3个数字加起来,共造成27亿美金的经济损失。
这就是这些年来,区块链行业所遭受的剧痛。
这个数字,来自近日刚刚出炉的《2018上半年区块链安全报告》,由知道创宇和腾讯安全联合发布。
这3个数字,狠狠地抽打着区块链这个行业,抽打着人们的脸。
这3个数字的损失,归结来看,来自3个方面:区块链自身机制、生态安全、使用者安全。
以下分别来跟大家说说这3类安全。以下内容主要来自《2018上半年区块链安全报告》的解读内容。
三类安全事故
第一个,区块链自身机制。
说到自身机制,不得不提以太坊。以以太坊为代表的区块链智能合约,设计是存在漏洞的,由此带来的经济损失也是相当严重。
举个例子,2016年6月,以太坊最大众筹项目The DAO被攻击,黑客获得超过350万个以太币,最终导致以太坊分叉为ETH和ETC。
同时,由于真实的区块链网络是自由开放的,若黑客控制绝大多数计算机资源,就能重改共有账本,最终实现51%“双花攻击”。
这样的后果,十分严重。
第二个,生态安全。
区块链生态,说起来可就杂了:
包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、软硬钱包、数据跟踪浏览器、DApp应用,以及面向未来DApp应用的区块链网关系统等。
在所有所有的这些生态中,交易所类安全事件最为惨烈:交易所被盗、交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等。果然,最有钱的地方,就是最危险的地方。
总的来说,对于生态安全的攻击,无论是损失金额,还是攻击类型,在攻击事件中,统统排名第一。
说完生态安全,再说说使用者安全。从数字上可以看出,来自使用者安全造成的损失最少,但也高达0.56亿美金。
第三个,使用者安全。
一般来说,用户要搞清楚钱包等工具的使用,还是没那么容易的,因为这是需要懂点计算机、懂点加密原理、并对网络安全有较高的认知才行的。
然而呢,许多人,根本就没这个能力,所以呢,只能自认倒霉。话说,东莞曾有一名叫imToken的用户发现自己账户的100多个ETH(以太坊币)被盗,最终发现其实是身边的熟人作案。当时就傻了…
OK,那我们就从两个方面,给大家多一些学习资料。
首先,让我们详细来看看,区块链行业的风险,到底来自哪些方面?
答案,6个方面。
六大风险
1.智能合约安全风险
智能合约(Smart Contract)是“执行合约条款的计算机交易协议”。因为区块链公链以及智能合约的开源属性,所以智能合约一经发布,在区块链上的所有用户都可以看到该智能合约,同时这会导致包括安全漏洞在内的所有漏洞都可见,并且可能无法迅速修复。
2.应用平台安全风险
应用平台(交易所、矿池)作为对外提供服务的中心化的节点,大量的加密数字货币会沉淀在应用平台中,为恶意黑客作恶提供了合适的攻击目标。通过DDoS攻击、CC攻击、安全漏洞审计、Web应用安全攻击等手段对应用平台的Web网站、APP、API接口等进行攻击和渗透,给应用平台的正常稳定运行造成威胁,影响应用平台的社群及声誉。
恶意黑客及黑产通过“猫池”、“接码平台”批量的注册账号,并利用这些账号在应用平台或项目方的各个渠道中“抢糖果”使应用平台及项目方用于推广获客的资金“打水漂”。
3.矿机、矿场安全风险
矿机、矿场通过计算算力的积累进行“挖矿”来获取加密数字货币,使得矿场能够相对稳定持续的积累加密数字货币资产,恶意黑客可以通过渗透的方式控制矿机甚至矿场的管理权限,从而实现“窃取算力挖矿”的目标,给个人矿工和矿场造成了较大的经济损失,同时恶意黑客还通过后门程序、病毒、木马等恶意代码远程控制一些暴露在互联网的服务器、主机、物联网设备等占用设备的正常资源实现“挖矿”。
4.数字钱包安全风险
数字钱包作为保存加密数字货币的载体,被广泛的用户和组织所认可,通过“热钱包”和“冷钱包”的存储方式,在便利使用加密数字货币的同时提供更安全的防护。“热钱包”和“冷钱包”也是恶意黑客关注的重点,通过篡改钱包地址、恢复助记词以及窃取“根密钥”等方式窃取用户和机构的加密数字货币。
5.社会工程学安全风险
恶意黑客通过钓鱼网站、钓鱼邮件、密码暴力破解等方式尝试获取用户的账号和密码,并通过收集到的账号密码盗取用户在应用平台中的数字货币或通过短时间用高价值的数字货币买入低价值的数字货币,利用数字货币交易平台的价格差甚至数字货币期货套现,非法获利。而普通用户普遍难以意识到钓鱼网站、钓鱼邮件带来的安全威胁,一旦访问到钓鱼网站受骗,往往会在舆论上对正常的应用平台进行谴责,对应用平台的良好信誉带来巨大的损失。
6.办公环境安全风险
由于区块链行业的快速发展,项目方均在同时间赛跑,务求用最短的时间让公链、平台、项目上线运营,从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。根据知道创宇威胁及敏感信息泄漏监测中心的观察和统计,在GitHub、GitLab、CSDN等国际知名的开发者网站及平台上,大量项目方的核心源码及账户名和密码存在敏感信息泄漏的情况,恶意黑客可以利用这些账号密码对办公环境进行内网渗透。在安全防护较薄弱的办公设备及服务器上面部署恶意代码程序,并潜伏,等待时机发起“致命一击”。
说完了6大风险,再来看看,这些年,都有哪8件典型的安全大事故狠狠抽了你的脸。
1.以太坊“蜜罐”智能合约
知道创宇“404”安全实验室的区块链安全研究团队在研究过程中发现了基于以太坊的蜜罐智能合约,【Smart-Contract-Honeypots】和【Solidlity-Vulnerable】,黑客可以基于上述的两类蜜罐智能合约,通过多种欺骗手段诱导智能合约的开发人员将数字货币转账到合约地址,这类蜜罐智能合约的目的性更强,显著区别与普通钓鱼的行为。
相较于钓鱼行为面向大众,蜜罐智能合约主要面向的是“智能合约开发者”、“智能合约代码审计人员”或“拥有一定技术背景的黑客”。因为蜜罐智能合约门槛更高,需要能够看懂智能合约才可能会上当,非常有针对性。
目前发现的蜜罐智能合约的欺骗手段有以下几个方面:
- 古老的欺骗手段
- 神奇的逻辑漏洞
- 新颖的赌博游戏
- 黑客的漏洞利用
由于篇幅原因,关于“蜜罐智能合约”的描述,可参看Seebug漏洞社区的Paper,链接:https://paper.seebug.org/631/。
2.BeautyChain智能合约漏洞
2018年4月25日,美图公司声明,即日起公司旗下海外产品BeautyPlus终止与Beauty Chain(BEC美链)的海外推广合作。然而在2018年2月美图曾公开表示,BeautyPlus与Beauty Chain(BEC美链)在海外有推广合作,此外美图并不涉及(BEC美链)其他相关业务。合作终止后,美图与Beauty Chain(BEC美链)将无任何合作。同时,美图重申没有、也不会发行任何数字货币。
图 1 巴比特资讯,美图官方声明
图 2 BEC美蜜官方公告
事件的起因是:在2018年4月23日,有安全研究人员发现在BeautyChain的智能合约中发现了漏洞,并利用该漏洞获得了巨额的BEC代币,数值为:57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968。如此高额的代币数量,引发恐慌,导致市场上海量BEC被抛售,价值直接归零。事件发生时,BEC 官方团队立刻暂停了一切交易和转账,并且和交易所合作将所有交易回滚到黑客攻击之前,以求挽回损失。
图 3 BEC交易记录查询
事件还原:
(1)在BEC的智能合约中,存在一个批量转账的函数:BatchOverFlow
图 4 BEC智能合约批量转账方法
(2)黑客利用以太坊 ERC-20 智能合约中该函数数据溢出的漏洞攻击BEC的智能合约。
(3)该漏洞的详细利用方式及说明详见:https://paper.seebug.org/615/
3.EXMO遭遇DDoS攻击
英国比特币交易所EXMO在2017年12月28日发布官方公告,公告称正在遭受DDoS攻击,预计在半小时内恢复正常业务。
图 5 EXMO官方Twitter公告称遭受到DDoS攻击
于此同时,EXMO的CEO Pavel Lerner在位于基辅的办公室外被绑架。EXMO通过BBCNEWS发表声明:“将尽一切努力找到Pavel Lerner,同时向用户保证交易所能够正常运行,并承诺保证用户的个人数据安全和资金安全。”
图 6 EXMO官方发言人通过BBCNEWS发表声明
4.Bithumb被黑客攻击
韩国加密货币交易所bithumb在2018年6月20日称,遭黑客盗走价值350亿韩元(3150万美元)的虚拟货币。
图 7 Bithumb官方Twitter公告
这是2018年6月以来被攻击的第二家韩国交易所,暴露出加密货币交易的高风险。根据CoinMarketCap.com的数据,bithumb是亚洲最大加密货币交易所之一,管理近3.6亿美元资产。bithumb在网站发布公告称,已停止所有交易,此前查明“价值约350亿韩元的加密货币于昨日晚间至今日早间失窃。”
bithumb称已将“全部客户资产存在安全的冷钱包(cold wallet)里”,这些钱包的运行平台并未直接与互联网相连。据Coinmarketcap.com,bithumb为全球第六繁忙的加密货币交易所。
5.Coinsecure“内鬼”盗窃
印度三大比特币交易所之一,在coinsecure在官网发布公告称,该交易所在2018年4月9日发生数字货币失窃,一共被盗取了438个BTC,按照当日价格计算,价值约330万美元。
该交易所首席执行官(CEO)Mohit Kalra认为Amitabh Saxena(CSO)为首要嫌疑人,并已向新德里警方对其提起指控。该案成为印度最大的数字货币盗窃案。据悉,coinsecure在印度有超过20万用户。根据报警记录,Amitabh Saxena告诉coinsecure团队这笔资金是由于一场外部攻击才从该公司的比特币钱包中失窃的。但是coinsecure的CEO不相信这个说法,他告诉警方,他的合伙人“在编故事试图分散其注意力,他很可能参与了这场失窃事件”。
图 8 coinsecure announcement
6.Nicehash矿池被入侵
位于斯洛文尼亚的“世界上最大的加密货币挖矿算力市场”NiceHash就陷入了一场噩梦,于2017年12月6日发布官方公告称大量比特币被盗。
图 9 NiceHash官方公告被盗事件
NiceHash与2017年12月7日在Facebook采用livestream的方式向用户发布事件说明及最新进展情况。
图 10 NiceHash官方Twitter公告
事件发生后,NiceHash平台停摆超过14天,于2017年12月20号NiceHash平台才正式恢复正常业务。
图 11 NiceHash官方Twitter公告,平台业务恢复
在本次事件中,NiceHash共计被盗的比特币达到了4000 BTC,后来透露是因为一位内部员工的电脑被攻击,致使攻击者可以获得这个市场的系统的访问权限并将比特币从该公司转走。
NiceHash于2018年2月5日正式宣布启动偿还项目,官方公告链接:https://www.nicehash.com/news/256
图 12 NiceHash偿还项目官方公告
截止2018年6月29日项目偿还计划完成过半,官方公告链接:https://www.nicehash.com/news/nicehash-repayment-program-more-than-half-way-through
图 13 NiceHash偿还项目进度官方公告
7.Parity电子钱包被盗
Parity Multi-Sig电子钱包版本1.5+的漏洞被发现,使得攻击者从三个高安全的多重签名合约中窃取到超过15万ETH(约3000万美元)。
图 14 Security Alert Parity Wallet(Multi-Sig Wallet)
一位用户名为“devops199”的黑客,Github的用户名为“empty”,以太坊收款地址为“0xae7168Deb525862f4FEe37d987A971b385b96952”。
图 15 黑客“devops199”确认导致了本次事件
事件还原:
(1)所有的Parity Multisig Wallets都是使用了一个函数库,地址是:“0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4”;
(2)智能合约的函数库中,初始化产生了一个用户权限的问题,“任何人都可以成为这个合约的所有者,并具备自删除的权限。”(Library contract was not initialized properly. That allowed anyone to become its owner and self-destruct it.)
(3)devops199声称在调用“initWallet()”方法时,意外的发现可以修改智能合约的所有者;
(4)并且尝试的执行了“kill()”方法,从而导致该智能合约失效,所有版本的Parity都失效了,并且存储在其中的所有加密数字货币将无法找回。
8.Binance遭遇钓鱼网站
2018年3月7日22:58-22:59两分钟内,数字货币交易所Binance的交易风控系统监测到“VIA/BTC交易对”异动,触发了Binance的交易风控策略,并自动停止提币行为。据Binance官网公告内容:“所有资金安全,无任何资金逃离”。官方公告链接:
https://support.binance.com/hc/zh-cn/articles/360001547431
图 16 Binance官方公告
但是由于黑客在Binance交易所使用10000个BTC拉升小众币种VIA市值,导致VIA从市值0.000225 美元直接拉升 100 倍到 0.025 美元,同时黑客通过全世界各个数字货币交易所上挂出的【数字货币和代币做空单】,大赚10亿美元。
事件还原:
(1)黑客从2018年2月开始,筹备针对Binance欧美用户的钓鱼网站【binanceweb.com】,并在社交网络中发布消息,误导用户访问该钓鱼网站。
图 17 仿冒Binance钓鱼网站
(2)当用户访问此钓鱼网站,并输入用户名、密码后,黑客就控制了部分Binance的账号权限并申请“创建自动交易”的API;
(3)在3月7日的22:58-22:59两分钟内,通过API自动下单,拉升VIA币种的市值,上涨近110倍;
(4)虽然Binance的风控机制对异常账户进行了冻结没有造成资金损失,但是黑客通过在其他交易所通过“做空”的方式变现离场。
说了这么多风险,也说了这么多典型的安全事故,如果不给点解决方案,就太不厚道了。略去广告后,就只有这么点干货了,请各位爷多多见谅。
一些解决方案
这里重点说说应用平台的安全解决方案吧。
应用平台可以通过SaaS云安全防御平台,提升应用平台整体外部抗风险能力,保证应用平台的稳定高效运行。
- 安全CDN
应用平台可以通过采用安全CDN技术,对Web系统和APP提供节点加速的基础上,隐藏源站IP地址,减少可攻击面。
- 应用层DDoS及CC攻击防护
针对DNS flood、放射性DDoS攻击、SYN flood、UDP flood、CC攻击及各类复合型DDoS攻击进行安全防护。
- Web攻击防护
使用云WAF(Web- Application-Firewall)提供对WEB协议的加密和深度监测,防止包括SQL注入、XSS跨站攻击、CRSF跨站请求伪造、Webshell文件上传、恶意采集及利于Web漏洞进行的各类攻击。
- Web性能监控
采用Web服务可用性的实时监控,对应用平台全球的可用性和性能进行监测,监测DNS污染的攻击方式。
- Web安全接入
通过SSL协议加密,Web应用平台系统均采用HTTPS协议访问,对基于Web的核心系统访问均采用SSH加密认证。
- Web页面加固
在页面代码及配置审计基础上,通过对关键Web页面锁定避免被盗链或者篡改。
原文链接:http://t.cn/RD656pV
文章发布只为分享区块链技术内容,版权归原作者所有,观点仅代表作者本人。
END