据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 14 起较为突出的安全事件,危害程度评级为「中级」,受损金额近 1,800万美元,涉及 DApp 6 起、智能合约 2 起,以及资金盘跑路、钓鱼诈骗等等。
DApp 生态
9月份共发生 6 起 DApp 安全事件。其中 EOS 和 TRON 生态各发生3起。
1)EOS DApp
EOS 游戏合约 flagshipladd 遭受假 EOS 攻击,损失近2千 EOS;SKReos 游戏持续遭受交易阻塞攻击,损失近千 EOS;EOSPlay 遭受新型交易阻塞攻击,损失近3 万 EOS。3起攻击事件,共计损失31,935个 EOS,其他2起攻击皆为已知的攻击方式,而 EOSPlay 所遭受的为一种“新型”攻击方式。
下面重点介绍 EOSPlay 遭受的新型交易阻塞攻击:
09月14日,EOSPlay 官方电报群发布公告称其发现异常的玩家下注行为并伴随有 EOS 网络 CPU 价格的飙升。
PeckShield 安全人员随即对此展开分析,不同于已知的交易阻塞攻击(CVE-2019-6199),这是一种新型的交易阻塞攻击方式。
具体而言:攻击者借助 REX 平台以较低成本租用了大量 CPU,之后创建大量交易来提高 CPU 的价格,这样其他账户发起的交易就会因为 CPU 不足而执行失败。由于 EOSPlay 使用未来区块哈希进行开奖,攻击者通过此种方式来阻塞网络,使得只有自己发起的交易能被成功执行,从而破解 EOSPlay 的随机数算法进行获利。
如下图所示,09月14日至09月16日期间 CPU 价格有两个高峰点,而这两个时间点正是攻击者发动攻击的时刻,除了 EOSPlay,攻击者还尝试对另一款 DApp Spinach 进行攻击,不过并没有获利。
2)TRON DApp
TRON 生态 发生的3起安全事件皆为交易回滚攻击。
PeckShield 安全人员发现 TUfAGY 和 TChuwC 开头的两个攻击者账户,撒网式测试 TRON 各个 DApp 是否存在交易回滚漏洞,并成功对多个 DApp 合约发起攻击,共计获利 16,654 TRX。
PeckShield点评:DApp 生态各类安全事件暴发的频次和危害较以往有明显的降低。
智能合约
9月份,共发生 2 起智能合约安全事件,涉及 DEX 智能合约和最近较为火爆的资金盘游戏 FairWin。
1)AirSwap
09月13日 AirSwap 团队公布了其智能合约中存在的一个致命漏洞。PeckShield 安全人员独立分析了该漏洞细节,将其命名为 ItchySwap 并与 AirSwap 团队沟通确认了漏洞细节和修复⽅案。
这一漏洞可致使用户的资产可被攻击者恶意偷盗,影响较为严重,且受此次影响的账号共有18个,涉及数万乃至数十万美元的数字资产安全。PeckShield 提醒相关账号应尽快完成升级,避免造成数字资产损失。
2)FairWin
近一段时间以来,一个名为 FairWin 的资金盘项目尤为引人瞩目,其每日 Gas 利用率占比达到以太坊网络可承载 Gas 总量的近半数。
09月27日,PeckShield 安全人员深入分析时发现,FairWin 智能合约存在一些因管理权限问题引发的致命缺陷,旧合约中的余额可被用户任意操作并转移,且在升级后的新合约又存在一个新问题,使得用户可以制造虚假投注来捞取奖池剩余资金。
PeckShield 发起提醒,虽然尚没有已知攻击发生,且 FairWin 智能合约潜在的威胁暂时也得以排除,但以太坊网络上尚存在类 FairWin 仿盘,均可能存在此类漏洞威胁。
详细技术分析文章见:
资金盘FairWin漏洞系统详解:项目方可以撇开“作恶”嫌疑了?
PeckShield 点评:随着 DeFi 应用在以太坊网络的持续发展,各类智能合约相关的安全事件也会趋于频繁,由于此类智能合约离数字资产较近,其安全性更不容忽视。
跑路事件
9月份,经媒体报道出现了多起资金盘项目跑路事件,例如华登区块狗,B91,ICC 等。
针对愈加频繁的跑路事件,PeckShield 旗下的 CoinHolmes 推出了可视化的数字资产追踪服务。过去一个月,经 CoinHolmes 监测数据显示:
1)ICC 跑路项目共有1,705万枚 USDT 转入火币交易所;2)华登区块狗项目共计138万 USDT 流入交易所,其中103万枚 USDT 转入 Gate.io 交易所,35万枚 USDT 转入 ZB 交易所。3)Cryptopia 被盗资产关键地址中,有1,410个 ETH 通过中转流入 Yobit 交易所;4)EOS ECAF 冻结的 黑名单 craigspys211 账号出现异动,转走19.9万 EOS,最终转移至 ChangeNow 交易所;5)PlusToken 跑路资金 ETH 部分 则有20,008枚发生首次异动后分散转移。
以 craigspys211 黑名单账号为例,其被盗资产流向示意图如下:
鉴于资金盘跑路诈骗事件频发, CoinHolmes 为广大用户提供了爆料入口,用户可以通过(https://forms.coinholmes.com)提交关联链上地址(可点击左下角阅读原文进入),实时查询数字资产流向情况。
PeckShield 点评:PlusToken 等各类以高回报投资为噱头的资金盘项目,吸引了大量用户参与投资,但随着该类项目相继暴雷跑路,也给广大投资者带来了巨大的损失和伤害。鉴于区块链的链上可追踪特性,如何帮助用户追踪还原资产转移路径,协同各方力量帮用户追踪和挽回数字资产损失,是 CoinHolmes 正在努力做的事。
钓鱼攻击等其他类安全事件
除上述之外,9月份还有一些安全事件同样值得警惕:
1)比特币钱包 Electrum 钱包遭受黑客钓鱼攻击,损失了1,450个 BTC;
2)Coinhouse 交易所遭黑客钓鱼攻击;
3)Fusion 钱包被盗,其项目代币 FSN 大量被盗,损失557万美元。
PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、冒充客服诈骗等各类事件就是典型。在此提醒,参与数字资产投资的用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。