事件分析

據 零時科技 區塊鏈安全威脅情報平臺 數據統計，2020年4月，整個區塊鏈生態被公開的區塊鏈安全事件共24起，其中智能合約攻擊發生3起，應用漏洞攻擊5起，惡意軟件攻擊4起，51%攻擊1起，假EOS攻擊1起，惡意欺詐8起，釣魚攻擊2起。

從圖表數據來看，本月安全區塊鏈安全攻擊事件中，

惡意欺詐事件依舊占比最多，應用漏洞攻擊事件和惡意軟件攻擊事件相比上月有明顯增多，影響較大的為智能合約攻擊事件，imBTC池，Lendf.me，Hegic都因智能合約漏洞損失大量數字貨幣，雖然黑客將盜走的Lendf.me數字貨幣如數歸還，但盡管如此，這些安全事件還是給我們警示了智能合約安全的重要性；釣魚攻擊是目前黑客最常用的攻擊手法之一，本月也發生兩起；51%攻擊是區塊鏈中特有漏洞點，達到這類攻擊需要控制全網50%以上的算力，本月也發生一起，但并未造成資金損失。

我們對比較重大的黑客事件進行簡單分析回顧

智能合約攻擊事件

• 4月18日，黑客利用Uniswap和ERC777的兼容性問題，在進行 ETH-imBTC 交易時，利用ERC777中的多次迭代調用tokensToSend來實現重入攻擊，將Uniswap上的imBTC（imBTC是一個1:1錨定比特幣的ERC-20代幣）池耗盡。

• 4月19日，Lendf.me 遭遇類似 Uniswap 事件的重入攻擊，出現大量異常借貸行為，攻擊者利用重入漏洞覆蓋自己的資金余額并使得可提現的資金量不斷翻倍，黑客以滾雪球的方式多筆轉走imBTC，且每一筆都比上一筆翻倍，最終將Lendf.Me賬戶約2500萬資產盜取一空。

• 4月23日，以太坊上的新期權交易協議Hegic剛剛進入主網，由于代碼中的一個錯誤，鎖定了該平臺智能合約中價值28,000美元的用戶資金，該漏洞將用戶資金鎖定在過期的期權合約中，使得合約中的數字貨幣永久無法訪問。

  安全建議：

• 遵守嚴格的合約安全開發規范，在進行外部調用時先修改合約變量狀態再進行外部調用；

• 項目上線前可通過專業的第三方安全團隊進行全面的安全審計，盡可能的發現潛在的安全問題；

• 合約中加入風控體系，比如設置暫停開關，出現不可控問題時可及時止損；

應用漏洞攻擊事件

• 4月24日，Kraken的加密貨幣托管提供商Etana報告數據安全漏洞。 該公司稱，該漏洞發生在4月18日，導致未經授權的外部用戶訪問其客戶端用戶界面。客戶資金沒有受到影響，但是入侵者可能已經獲取了一些信息。

• 4月29日，MakerDao（MKR）發布了一份新報告，并建議采取安全措施以確保不再發生。在3月12日至13日，以太坊（ETH）價格暴跌約50％，導致支撐Maker Dai（DAI）穩定幣的債務頭寸抵押不足。由于ETH網絡出現擁塞，用戶無法參與拍賣，一個競標者以幾乎為零價格的DAI贏得了近62843個ETH。Maker的報告確定了對Maker系統所做的幾個關鍵更改，以防止協議在未來出現類似的危機。MakerDAO的治理現在可以“立即停止拍賣系統，從而進行清算”，以防止以0 DAI的價格出售抵押債券。拍賣系統的參數也進行了其他更改，包括添加了穩定幣USD Coin（USDC）。Maker社區還創建了Web界面，以增加拍賣參與度。該報告還建議引入安全措施，以重新啟動少于三個競標和兩個唯一競標者的拍賣，每個拍賣批次不超過50個ETH批次的限制。

  安全建議：

• 網站應用可通過專業的安全團隊進行安全測試；
• 對網站應用新功能進行安全測試后再進行使用。

釣魚攻擊事件

• 4月13日，新西蘭警方提醒公眾警惕勒索比特幣的電子郵件騙局。警方表示，騙子一直在給受害者發送電子郵件，稱其電腦遭到黑客攻擊。他們還告訴受害者，他們通過網絡攝像頭泄露了其觀看色情內容的視頻，并威脅受害者如果不支付1900美元的比特幣，將把視頻發送給家人和朋友。騙子們聲稱知道受害者的密碼，并展示了他們使用過的真實密碼，這些密碼在之前的數據泄露事件中被公布在網上。

  安全建議：

• 不清楚來源的鏈接盡量不要點擊；
• 陌生人的郵件應在確認身份后，再進行點擊查看；
• 不幸被勒索時請尋求專業人士幫助。
• 個人或者企業電腦一定要裝殺毒軟件；
• 安裝軟件或者使用軟件時一定要確認軟件來自官方渠道。

51%攻擊事件

• 4月23日，穩定幣平臺PegNet遭遇51%攻擊以操縱價格，但未導致資金損失，基于Factom協議的DeFi穩定幣交易平臺PegNet被執行51%攻擊，4 位擁有該網絡算力接近70%的礦工聯合執行一次異常價格數據篡改的攻擊行為，將一個僅擁有11美元的錢包余額變成名義上670萬美元。根據該項目官方網站顯示，該項目使用PoW網絡依靠礦工提交從預言機和API中收集的價格數據，以保持穩定幣的價格與法定貨幣等價，系統會激勵礦工并獲得獎勵，以使其價格數據與其他提交的數據一致。此次攻擊中，在被操縱的假匯率的作用下，礦工蓄意將pJPY穩定幣交易為天價的pUSD，該攻擊持續了大約20分鐘，但未影響其他用戶的資金。

安全事件

• 加密貨幣交易所Bisq被盜，損失3個BTC和4000個XMR
• Travelex透露年初曾向黑客支付近230萬美元比特幣
• 門羅幣加密惡意軟件VictoryGate被瓦解
• 穩定幣平臺PegNet遭遇51%攻擊以操縱價格，但未導致資金損失
• 上線不久的期權交易協議Hegic，其代碼錯誤將用戶資產鎖定
• Kraken的加密貨幣托管提供商Etana報告數據安全漏洞
• EOS競猜游戲Felix遭假EOS攻擊
• Uniswap上的imBTC池遭到黑客重入攻擊
• 去中心化借貸平臺Lendf.me遭到智能合約重入攻擊
• MakerDao報告說明已對系統做出關鍵更改 防止債務危機事件再次發
• 利用加密貨幣交易所系統錯誤賺取3億韓元的韓國軍官被判刑
• 美國數十家醫院正面臨比特幣勒索軟件的攻擊 –
• 首爾警察廳對20家加密貨幣交易所和機構執行“N號房”扣押搜查令
• 加密交易員：有人僅用18美分在Coinbase上獲得了4.2085枚比特幣
• 新西蘭警方提醒公眾警惕勒索比特幣的電子郵件騙局
• 世界第四大風能生產商EDP遭勒索軟件攻擊，贖金1580 BTC
• 暗網出現新冠病毒感染者血液銷售信息，售價0.005枚BTC
• 2019 年至目前為止，約 850 萬 XRP 通過 XRP 贈品騙局套現
• 勒索軟件團伙盜取加州托倫斯市數據并索要100枚BTC贖金
• 資金盤CXC隱匿后再起新盤AK挖礦 不到1月斂財1100萬美元
• 兩名印度城市管理人員被勒索軟件威脅 要求支付比特幣贖金
• EOS生態被曝無法提幣 近日大量轉移資金或已跑路
• HEX再現1714萬美元大額轉賬 而此前主要存款地址已被清空
• 衡陽珠暉警方破獲虛擬貨幣詐騙案，涉案金額超3000萬元

預警事件

• Vollgar僵尸網絡持續劫持微軟SQL服務器以挖掘門羅幣和Vollar
• 警惕 EOS 賬號買賣中通過多簽提案回收 EOS 賬號風險
• Uniswap遭黑客攻擊損失1,278枚ETH
• 警惕名為“EOS生態”的資金盤項目 已打著EOS節點旗號斂財1700萬
• Telegram“搬磚套利”騙局
• 詐騙者假冒以太坊權益證明驗證器進行詐騙
• WannaRen新型病毒勒索0.05個比特幣，已有大量網友中招
• 警惕釣魚網站airdrop-box.com空投HT詐騙
• 13000BTC重壓，需密切留意盤面變化
• 勒索軟件Sodinokibi已開始接受Monero支付，并計劃停止接受BTC
• 警惕假冒imtoken“交易回滾”騙局，部分贓款已流入幣安交易所進行套現
• 部分Voice釣魚賬號已非法獲利9,044個EOS
• 寧夏警方查獲“ARW”虛擬貨幣傳銷案，提醒公眾虛擬貨幣詐騙風險
• 警惕假冒imtoken“交易回滾”騙局，部分贓款已流入幣安交易所進行套現
• Telegram等社群出現釣魚網站，用戶請勿輕信
• OneCoin翻版騙局OneLink出現，由OneCoin在逃管理人員操作
• Telegram“搬磚套利”詐騙最新案例，三用戶被騙834個ETH
• 警惕加密貨幣質押應用StakedWallet為騙局
• PoolTogether 已移除 ERC-777 標準代幣 plDai

總結

以上是生活随笔為你收集整理的2020年4月区块链安全大事件 | 黑客攻击早已蓄谋已久的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。