黑客今年捲走幣圈10億美金,交易所、DApp、錢包無一倖免丨區塊鏈2018年度盤點

文丨零界 來源丨31QU

2018年,加密貨幣領域發生了大量黑客攻擊事件。

據31QU統計,這一年黑客捲走超過10億美金,交易所是重災區,DApp、個人錢包、公司服務器無一倖免,紛紛淪為黑客的“提款機”。

黑客今年卷走币圈10亿美金,交易所、DApp、钱包无一幸免丨区块链2018年度盘点

目前,全球加密貨幣總市值約為1000億美金,天量的財富,監管的缺失,層出不窮的技術漏洞,都給了黑客可乘之機。

2018年,有哪些嚴重的黑客攻擊事件呢?

以下是31QU年度盤點的第三篇:《黑客今年捲走幣圈10億美金,交易所、DApp、錢包無一倖免》

被盜的加密貨幣交易所

據網絡安全公司 CiferTrace 10月發佈的一份報告顯示,2018年前9個月,通過黑客入侵交易所竊取的加密貨幣飆升至9.27億美金,已經是整個2017年的2.5倍。

這其中最具代表性的是號稱全球第四大加密貨幣交易所 Bithumb 被盜事件。Bithumb 也是韓國最大的交易所,在不到一年半時間內,該交易所被“黑客”攻破3次,導致價值3000多萬美金的加密貨幣被盜,3萬名用戶資料遭洩露。

今年1月26日,日本第二大加密貨幣交易所 Coincheck 發生了新經幣(XEM)被盜事件,直接經濟損失達到5.34億美金。這也是2018年最大的加密貨幣被盜案件。

3月7日,幣安出現了新型的黑客攻擊事件,黑客攻破了系統後,沒有直接提幣,而是藉助“金融手段”,利用聲東擊西的方式,造成全球加密貨幣大跌,進而在二級市場做空套利,神不知鬼不覺。

為什麼加密貨幣交易所安全問題層出不窮?

今年6月20日,韓國科技部(MIC)表示,他們在調查了韓國21家加密貨幣交易所,結果顯示,其中大多數交易所都存在安全漏洞。

漏洞形式包括網絡隔離不足,缺乏針對異常或可疑活動的監視系統,以及密鑰和密碼安全管理不足等等。MIC 還發現,有12所加密貨幣交易所甚至完全沒有安全系統。

而交易所安全漏洞問題,不僅出現在韓國,就像韓國科技部調查報告所顯示的那樣:“大部分交易所都存在安全漏洞。”

以下是我們梳理的2018年加密貨幣交易所被盜事件,以及相關事件的具體細節。

黑客今年卷走币圈10亿美金,交易所、DApp、钱包无一幸免丨区块链2018年度盘点

2018年,交易所安全事件

(1)1月,日本最大的數字加密貨幣交易所 Coincheck 被盜走價值5.34億美元的XEM。Coincheck 是日本第二大交易所,在之後的官方發佈會上,Coincheck 表示,XEM 被盜是因為存儲 XEM 的熱錢包的私鑰被黑客所竊取,但是沒有其他幣種被盜。受此事件影響,XEM 當天下跌9.8%。

(2)2月11日,意大利加密貨幣交易所 BitGrail 被攻擊,價值 1.7 億美元的加密貨幣 NANO 被盜。

(3)3月7日,Binance 遭到黑客入侵,黑客通過控制幣安部分賬戶,賣出這些賬戶持倉的比特幣,買入 VIA 幣,導致 VIA 逆市大漲。幣安將異常交易進行了回滾處理,但此事件依然引起市場恐懼,隨後幾天比特幣跌幅超過15%。

(4)4月1日,Bit-Z 遭遇黑客攻擊,未造成資金損失。為此 Bit-Z 專門設立了10000個 ETH 安全基金,用於獎勵安全漏洞提交者。這筆獎勵在當時價值400萬美金。

(5)4月13日,印度三大比特幣交易所之一 Coinsecure 在官網發佈公告稱,該交易所438個 BTC 失竊,價值約330萬美元。該交易所首席安全官 Amitabh Saxena 被列為嫌疑人。這是印度最大的加密貨幣被盜事件。

(6)6月5日,Bitfinex 遭到“拒絕服務(denial-of-service)”攻擊,Bitfinex 隨即暫停了交易所的所有交易。

(7)6月10日,韓國數字加密貨幣交易所 Coinrail 遭到黑客攻擊,損失超過5000萬美元。Coinrail 加密貨幣總量的70%被保存在冷錢包,被盜總量的三分之二已被追回。

(8)6月20日,韓國加密貨幣交易所 Bithumb 被黑客攻擊,價值3000萬美元的加密貨幣被盜,這是 Bithumb 第三次被黑客攻擊。

此前,該交易所還遭受了兩次“黑客攻擊”。

第一次:2017年4月,Bithumb 某員工電腦被黑,導致超過3萬名用戶的資料被竊,Bithumb 也因此被韓國監管機構罰款5.5萬美元。

第二次:2017年12月22日,韓國MBC電視臺僱傭了一家安保公司,對包括Bithumb 在內的5家韓國交易所進行安全測試。該安保公司成功“黑入”包括Bithumb 在內的5家交易所,並獲取了部分用戶數據和資金。受僱“黑客”聲稱僅使用了“基本的黑客技巧”。

但是,安全問題並未引起交易所足夠重視,這才導致了2018年6月份的黑客事件發生。

(9)9月20日,日本數字貨幣交易所 Zaif 宣佈遭受黑客攻擊,損失5967萬美元。其中1959萬美元屬於該交易所自有資金,其餘4007萬美元屬於客戶資金。

被黑客瞄上的DApp

交易所是重災區,最近話題度頗高的 DApp,也已經被黑客頂上。

自從以太坊主網上線以來,DApp數量逐漸增加。據 Dapp.review 最新數據顯示,目前運行在以太坊、EOS、波場等公鏈上的 DApp 總數量超過1900個。

雖然DApp生態建設只處於初步發展階段,但是DApp相關的安全問題卻層出不窮。截止12月份,由於DApp漏洞導致的損失已經高達39.5萬個EOS與1.3萬個ETH。按照兩者最高市值計算,損失財富超過2700萬美金。

黑客今年卷走币圈10亿美金,交易所、DApp、钱包无一幸免丨区块链2018年度盘点

據公開資料,2018年下半年DApp安全事件集中爆發,黑客攻擊事件主要發生在EOS主網。而黑客攻擊手段花樣百出:隨機數攻擊、種子漏洞、假幣攻擊......

EOS作為被寄予厚望的企業級區塊鏈操作系統,基於此的 DApp 為什麼會發生如此多黑客攻擊事件?

今年5月份,EOS創始人BM曾表示,為EOS主網提供有價值的漏洞將獲得1萬美金的報酬。該懸賞令頒佈之後,一位名叫“Jon Bottarini”的網友透漏,有人僅一天就發現了8個漏洞,獲得8萬美金獎勵。這也充分說明EOS主網本身存在大量安全問題。

實際上,針對EOS上DApp的攻擊,正越來越專業化、團隊化。

11月份以來,作為三大EOS競猜類DApp,EOSDice、FFgame 和 EOS.WIN 先後發生了“隨機數漏洞”攻擊。據知情人士爆料,這些攻擊案件系一人或者同一團隊所為。該知情人士表示,已經成功鎖定黑客交易所賬戶。

相較於EOS網絡,以太坊的黑客攻擊事件要稍微少一些。

目前最為嚴重的是發生在今年8月份的 Fomo 3D 被黑事件。黑客堵塞了以太坊網絡,利用該遊戲本身的規則設定,贏得了10469個以太坊。按照當時價格計算,這筆以太坊價值300萬美金。

隨後,在9月24日,黑客採用相似手段拿到了第二輪遊戲的獎勵。

下面是2018年以來DApp上發生的黑客攻擊事件,以及相關事件具體細節:

黑客今年卷走币圈10亿美金,交易所、DApp、钱包无一幸免丨区块链2018年度盘点

2018年,DApp安全事件

(1)7月25日,狼人遊戲(EOS 版本的 Fomo 3D)出現“溢出”漏洞,導致遊戲損失60686個EOS。EOS核心仲裁論壇(EACF)對黑客的行為仲裁後,簽發新的仲裁令,凍結黑客的EOS賬戶:eosfomoplay1。

(2)8月22日,Fomo 3D(Last Winner)遭受黑客攻擊,損失10469個ETH(價值約300萬美金)。安比(SECBIT)實驗室首次宣佈斷定Fomo3D大獎獲得者採取了一些“特殊攻擊技巧”,攻擊者通過高額手續費吸引礦工優先打包,最終以較低成本針對性地堵塞區塊,加速遊戲結束,提高自己獲勝概率。

9月24日,Fomo 3D 第二輪遊戲開始之後,黑客採用相似的攻擊手段,拿到了3264.668個以太坊獎勵。

(3)8月27日,Luckyos旗下的石頭剪刀布遊戲被黑客攻破,損失未知。

(4)9月2日,EOS.win “隨機數”被黑客攻擊,導致損失2000ESO。

(5)9月10日,EOSBet 遭到黑客攻擊,共計損失了4000個EOS;4天后,EOSBet再次遭黑客“假通知”攻擊,損失145321個EOS,目前損失已被追回。

(6)9月12日,LuckyGo遭到攻擊者 iloveloveeos(惡意合約)而被迫下線。當天晚上,iloveloveeos又迅速攻擊了新上線的遊戲LuckyGo。這兩次攻擊都屬於“隨機數缺陷攻擊”。

(7)9月12日 EOS Happy Slot 遭黑客重放攻擊,損失5000個EOS。一名賬號為 imeosmainnet 的黑客利用“重放攻擊”,導致項目方損失了5000個EOS。

(8)9月14日,去中心化交易所Newdex遭到黑客攻擊。黑客利用假幣在交易所換區真幣,共計獲利11803個EOS。

攻擊過程是這樣的:攻擊者創造了一種全新的代幣,發行量也是10億(EOS發行量為10億),並將其命名為“EOS”。攻擊者採用特殊的方法,用11800個假EOS在Newdex上兌換出了大量等值真幣。

(9)9月15日,EOS.Win 遭受黑客假幣攻擊,共計損失超過4000個EOS。

11月11日, EOS.Win 還在11月11日遭受了第二次攻擊。此次攻擊黑客在一分鐘之內,共計向 EOS.WIN 遊戲合約(eosluckydice)發起10次攻擊,獲利超9180個EOS。

(10)10月16日,World Conquest 遭受黑客“繳稅規則”攻擊,拒絕其他玩家參與,進而盈利4555個EOS;

(11)10月26日,EOS Royale 遭受黑客“隨機數”攻擊,損失10800個EOS。過程是這樣的:黑客通過調用隨機數發生器,計算出先前區塊的信息,進而獲得遊戲隨機數,從而破解 EosRoyale 錢包,並竊取價值 60000 美金的 EOS 代幣。

(12)10月28日,EOS Poker 遭受黑客“種子漏洞”攻擊,損失1374個ESO。

(13)10月31日,EOSCast遭遇黑客假幣攻擊,導致72912個EOS被黑客轉走。根據遊戲規則,黑客分別用100、1000、10000個假EOS代幣進行攻擊,每次攻擊可得到198、9800、19600個不等的EOS。在進行最後一次攻擊時,遊戲方察覺到異常攻擊,及時轉走了獎金池僅剩的8000個EOS。

(14)11月1日,EOS CAST遭到黑客攻擊,導致72912個EOS被盜。ECAF(EOS核心仲裁委員會,對智能合約有仲裁權限)針對此事件即時響應,併發布了仲裁令,凍結了相關涉事賬戶。

(15)11月4日,EOSDice發公告稱智能合約遭到攻擊,但由於其擁有自動檢測功能,在攻擊之後,合約自動將剩餘資金轉移至安全地址。此事件導致EOSDice損失2545個EOS。

(16)11月8日,FFgame遭遇了黑客攻擊,黑客賬戶jk2uslllkjfd向FFgame遊戲合約 (eoswallet415)發起多達304次攻擊,共計獲利1331.2922個EOS。

(17)11月10日,黑客向MyEosVegas遊戲合約(eosvegasjack)發起超700次攻擊,已獲利超9000個EOS。

(18)11月26日,競技類DApp遭遇了前所未有的回滾攻擊。慢霧安全團隊表示:“此次攻擊手法為新型攻擊手法,相關DApp項目方應立即自查。”

(19)12月3日,Dice3D遭遇黑客攻擊,損失10569個EOS。黑客已將被盜的EOS轉至火幣。Dice3D官方決定自費拿出部分EOS給予玩家補償。

2018年錢包安全事件

今年12月5日,網絡黑客 TheHackerGiraffe 聲稱自己僅僅通過低級別攻擊就控制了5萬臺網絡打印機。

黑客控制這些打印機絕不是為了炫技,而是為了獲得打印機內存中的文件。

從加密貨幣安全角度來看,用聯網打印機打印比特幣錢包密鑰是非常危險的行為。密鑰相關文件被存儲於設備的內存中,就有可能被黑客盜走,進而提走錢包中的比特幣。

更為嚴重的是,該黑客表示,自己只需要30分鐘,就能成功控制這5萬臺打印機。加密貨幣錢包的安全問題確實不容忽視。

黑客今年卷走币圈10亿美金,交易所、DApp、钱包无一幸免丨区块链2018年度盘点

相對而言,確保加密貨幣錢包安全是系統性問題,需要考慮的問題包括基礎安全體系、秘鑰管理安全管理、開發流程安全、用戶行為安全。每一個方面都是一門全新的課題。

也許正是由於錢包安全管理的複雜性,才導致目前層出不窮的安全問題出現。

2018年,最具代表性的加密貨幣盜竊事件是發生在中國陝西西安的價值6億人民幣的加密貨幣被盜案件。雖然黑客最終被警方抓獲,但是已經造成無法挽回的損失。

就如透社所報道的,由於加密貨幣可以輕易地跨越不同的國界,目前被盜的加密貨幣只有20%被找回。

下面是2018年以來錢包相關的黑客攻擊事件:

黑客今年卷走币圈10亿美金,交易所、DApp、钱包无一幸免丨区块链2018年度盘点

2018年,錢包相關安全事件彙總

(1)1月8日,Reddit Tippr 用戶被黑客盜走了數千個BCH(比特幣現金)。

(2)1月17日,XLM錢包被攻擊,超40萬美元XLM被盜。事件起源是黑客劫持了BlackWallet.co 的DNS服務器,據估計,此次攻擊事件,導致近70萬個XLM被盜,價值超過40萬美元。

(3)1月19日,imToken錢包被黑客攻擊,導致用戶價值超過250萬人民幣的BTM被盜。受害者表示其手機和電腦都有存私鑰,但不清楚盜幣者如何得逞。同時,imToken也積極幫助用戶進行調查,但未找到關於盜幣黑客的任何信息。

(4) 1月22日,黑客入侵IOTA錢包,盜走價值400萬美金的IOTA。據CCN報道,原因出在用戶用來生成IOTA錢包私鑰的網站被黑。

(8)3月4日,鈦合金區塊鏈(TBIS)發佈推特宣稱遭受黑客攻擊,公司錢包被盜竊了1870萬BAR代幣(約90萬美元)。

(5)4月17日,數字貨幣投資者和Youtube博主Ian Balina昨晚在直播評論ICO項目時受到黑客攻擊,黑客從他的Etherscan錢包中轉移了超過200萬美元的數字貨幣。

(6)4月25日,MyEtherWallet遭劫,共損失約500個ETH。

(7)6月6日,日本零售商Shopin的MEW錢包遭到黑客攻擊,損失了超1000萬美元的加密貨幣。其中包括以太坊、Level Up、Orbs與Shopin。

(8)8月15日,陝西省西安市警方抓獲了三名高級黑客嫌疑人,三人曾共同合作,盜取價值了6億元加密貨幣。

今年3月30日,盜竊事件發生之後,受害人張姓男子報案,稱自己的電腦被非法攻擊,價值數億元的虛擬貨幣被洗劫一空。隨後警方展開搜捕工作,今年8月15日,三名黑客被警方逮捕。

(9)9月25日,EOS持倉大戶gm3dcnqgenes賬號被盜,共計損失209萬個EOS(約1080萬美元)。

(10)10月22日,瑞士區塊鏈公司Trade.io稱,其冷錢包中的5000萬TIO被盜,價值750萬美金,其中130萬TIO被轉移到Kucoin和Bancor兩個交易所。Kucoin已經暫停了TIO的交易,而Bancor則永久刪除了TIO。

(11)10月25日,Reddit用戶賬戶遭黑客攻擊,黑客從他的錢包中盜竊了14個比特幣(89500美元)、22個ETH(4400美元)和大約1170萬個COSS代幣(77萬美元),這些加密貨幣總共價值86.4萬美金。

針對企業、政府部門黑客攻擊事件

2017年5月12日,WannaCry勒索病毒全球大爆發,至少150個國家、30萬名用戶中招,造成損失達80億美元。

WannaCry是繼“熊貓燒香”之後,影響範圍最大網絡黑客勒索事件。中招的用戶被要求在72小時內支付價值300美元的比特幣。黑客之所以選中比特幣,是因為它比傳統支付手段更難以追蹤。

雖然WannaCry影響範圍很大,但與黑客們關聯的三個賬戶一共收到了14.3萬美元的贖金 ,摺合52.2枚比特幣。有人戲稱:“鬧了這麼大動靜,收益這麼點,這是黑客界的恥辱”。

這顯然是“不划算”的,隨著加密貨幣體量迅速增長,黑客攻擊方式也逐漸增多。

進入2018年以來,“植入挖礦軟件”惡意挖礦受到了黑客青睞。谷歌、甲骨文、YouTube、特斯拉等知名大企業紛紛中招,更有甚者羅馬尼亞市政廳電腦也被黑,而被黑客植入挖礦程序的個人電腦更是不計其數。據公開資料,黑客劫持政府、公司、個人電腦,大多是為了挖掘門羅幣。

而之前只存在於理論的雙花攻擊,也在這一年出現了,比特幣黃金因此損失了1800萬美金。

今年,黑客也利用以太坊網絡智能合約漏洞對BEC、SMT進行了攻擊,造成相關項目市值大跌。

下面是2018年以來公司、組織、政府遭到的黑客攻擊事件:

黑客今年卷走币圈10亿美金,交易所、DApp、钱包无一幸免丨区块链2018年度盘点

2018年,針對企業、政府部門黑客攻擊事件

(1)1月4日,谷歌瀏覽器插件Archive Poster被網絡安全研究人員發現遭植入採礦程序,用戶只要開啟谷歌瀏覽器,電腦資源就會被用來開採門羅幣,該插件在 Google App Store下載次數數超過 10 萬。

(2)1月7日,黑莓手機網站被植入程序用以挖門羅幣。

(3)1月10日,黑客利用Web漏洞,將甲骨文服務器變成了挖礦工具。研究人員表示,攻擊者利用該漏洞獲得了至少 611個門羅幣(XMR),總價值約22.6萬美元。

(4)1月27日,安全專家研究發現,黑客將一段惡意JavaScript代碼注入YouTube網站和廣告中,用戶加載YouTube視頻時,名為Cryptojacking的惡意代碼就會啟動,佔用掉用戶80%的CPU性能來挖掘門羅幣。

(5)2月2日,加密貨幣初創企業 BeeToken 被黑客入侵,成功盜走價值 100 多萬美元的 Ethereum。

(6)2月23日,湖北襄陽南漳縣人民醫院系統被植入勒索病毒後陷入癱瘓,黑客要求支付比特幣才能恢復正常。據知情人士透露,黑客要求支付價值30萬元的比特幣之後,才會解鎖。 24日,湖南兒童醫院也同樣受到了黑客的入侵,並被要求支付1枚比特幣。

(7)2月26日,特斯拉雲計算賬戶被黑客植入病毒,用於挖掘加密貨幣。

(9)3月16日,元界 (ETP)宣佈主網受黑客攻擊,為保證網絡安全,元界在1030000 區塊高度進行了硬分叉。

(10)4月22日,BEC智能合約出現溢出漏洞,攻擊者通過利用代幣合約的批量轉賬方法無限生成代幣,導致BEC代幣價格直線下跌。4月25日,SMT被爆出現與BEC相同漏洞。

(11)5月22日,XVG協議出現漏洞,黑客利用該漏洞盜取了大約60萬美元的XVG代幣。

(12)5月28日,比特幣黃金(Bitcoin Gold)遭到雙花攻擊,損失1800萬美金。

(13)8月22日,遊戲平臺God.Game稱遭黑客攻擊,智能合約中以太坊總量歸零。

(14)9月11日,巴西被感染挖礦病毒的路由器總量達28萬臺。據當時調查,黑客在巴西各地創建了一個龐大的門羅幣挖掘殭屍網絡,該網絡能夠用惡意代碼感染設備。

(15)9月26日,Crowd Machine 團隊遭黑客攻擊,10億CMCT被盜。

(16)10月16日,黑客挾持羅馬尼亞市政廳所有電腦,並要求比特幣贖金。

(17)11月4日,11名黑客盜竊價值逾8萬美元BTC,已被土耳其警方拘留。

(18)11月12日,比特大陸發起了一起訴訟,稱一位化名為“John Doe”的黑客攻擊了其幣安賬戶,有617枚比特幣被盜,當時價值約550萬美元。

● ● ●

頻繁的黑客事件已經引起了政府部門、媒體機構、個人投資者的高度關注。

有人認為這個行業已經變得極度危險,因而需要敬而遠之。也有人認為這恰恰說明加密貨幣領域受到了前所未有的關注。

如 BItcoin.com CEO Roger Ve 所言:“這(黑客攻擊事件頻發)也從側面證明了加密貨幣行業的價值所在。如果毫無價值,黑客怎麼會花時間攻擊呢?


分享到:


相關文章: