比特币:区块链安全盘点及分析(18年11月)

前不久,猎豹区块链中心盘点了9、10月的区块链安全事件,在9月和10月,黑客的攻击主要集中在EOS和交易所。而在11月的安全事件中,这两类攻击暂时消停,但2个月未见的51%攻击却再现江湖;钢铁侠马斯克“被”卷入了Twitter案;另外,我们还发现了潜在的代码共享的漏洞危机......2018年11月13日:Twitter

损失规模:32,700美元

事件经过及安全分析

11月12日,黑客入侵了电影制作公司、国会议员甚至是哥伦比亚交通部等经过认证的“蓝V”推特账号,通过修改名字、头像并上传新内容,假装是特斯拉CEO马斯克本人。黑客在推文中以马斯克的口吻称,自己将离任特斯拉董事长职务,并送出10000枚比特币(近6000多万美元)回报大家。而参与活动的前提,则是需要先转小额比特币(0.1-3个)到制定的地址来确认账户信息。他们甚至找了托给推文评论:“我刚转了2.7个比特币,现在收到了54个!”、“我发了0.50比特币并拿回了5个”、“+25BTC,谢谢你”在推文删除之前,点赞和转发都已上万,钱包地址则已经收到超过32,700美元价值的比特币。在同一天,GoogleGSuit也发出了类似的消息,要求用户在0.1到2之间发送BTC,并承诺能获得10倍的BTC回报,幸运的是,没有人将BTC发送到那个地址。安全小豹的想法:

动态 | 荷兰合作银行与IBM合作开发区块链应用以追踪咖啡豆:荷兰合作银行(Rabobank)与IBM合作开发了一个名为“Thank My Farmer”应用程序,该应用程序基于区块链技术,允许消费者支持种植咖啡豆的农民。

此前消息,日前IBM和科技初创公司Farmer Connect演示了Thank My Famer,该应用创建了不可更改的永久性数字化交易链,可全程追踪咖啡豆。(Finextra)[2020/1/7]

这种方式并不能成为一种攻击手段,我更愿意把它称之为局,黑客充分利用和放大了人性的贪婪,浮躁和急功近利的丑陋真相在这种简单的诱惑面前展现的一览无遗。上个月是美国的安全月,我认为每个入行区块链的人都应该好好的学习一下基本的网络知识。但更重要的事,是在浮躁的币圈里保持清醒的头脑,不要再诱惑面前失去基本的智商。2018年11月13日:AurumCoin遭受51%攻击

声音 | 杨东:区块链经济是技术依托下众筹的新形态 而名不副实的“Token”并没有体现这种价值导向:据金融时报报道,中国人民大学大数据区块链与监管科技实验室主任杨东称,区块链经济是技术依托下众筹的新形态,维持这种经济形态才是区块链的真正价值。而名不副实的“Token”并没有体现这种价值导向,反而促生了追求炒作、已经产生极大泡沫的数字货币市场。“Token”这种名不副实的情况在中文语境下被翻译成“代币”后进一步增强,产生了更加恶劣的错误引导,滋生了各种“币”“空气币”。错误理念引导下以炒作套现为主要目标的数字代币市场是不可持续的。[2019/6/13]

事件背景:

AurumCoin是以黄金为价值支撑的加密货币,每个代币都与纯24K价值的黄金挂钩。AurumCoin声称,每发行一个代币,就会在全球安全保险库中存0.75克的黄金。自2014年以来,它一直在运行自己的区块链,其中AU是可开采的,硬币上限为300,000。损失规模:550,000美元

动态 | Salesforce获得利用区块链处理垃圾邮件专利:据coindesk报道,软件巨头Salesforce获得了一项专利,概述了如何使用基于区块链的平台来防止垃圾邮件或其他不受欢迎的电子邮件困扰人们的收件箱。该专利可以利用基于区块链的平台来检查在通过定制匹配系统发送之后电子邮件是否被改变或以其他方式被篡改。此外,根据该文件,该系统可以比现有协议更有效地过滤垃圾邮件。[2018/11/7]

事件经过及安全分析

11月13日,AurumCoin在新西兰数字货币交易所Cryptopia遭到51%攻击,损失的15752.26AUAurumCoin官方发推表示:“我们并非责怪cryptopia,但是事实是,币确实是在cryptopia的钱包里丢的。”AurumCoin的态度是,坚持认为Cryptopia交易所被黑导致自己遭受51%攻击。然而,笔者认为可能性不大。AurumCoin是一个拥有少量矿工的公链,因此平均哈希率较低,租用矿机并执行51%的攻击是很容易的。安全小豹的看法:

动态 | 西班牙央行呼吁使用区块链技术调查国际支付:据cryptoglobe消息,西班牙央行(Bank of Spain)呼吁使用区块链技术对国际支付进行彻底调查,它认为区块链技术有助于使未来的国际交易高效、快速和透明。[2018/10/18]

使用POW共识算法的公链,如果参与挖矿的算力不足,遭到51%的攻击的风险非常大的。在整体市场低迷的行情下,甚至有人坦言,曾经租用矿机执行过51%攻击。所以,在此提醒广大用户,在选择和使用这类加密货币时,应该意识到这些风险。各家公链51%攻击的成本2018年10月29日——MapleChange交易所被盗

事件背景

MapleChange是加拿大交易量非常小的交易所。损失规模:600万美元

事件经过及安全分析

分析 | 今年来国内区块链产业新增融资63亿元:6月27日,投中研究院发布《2018年区块链投融资报告》,报告显示,截至今年4月末,国内在经营的区块链企业超过320家,累计融资89亿元,其中今年就完成106次融资,总额达到63亿元,远远超过往年。[2018/6/28]

10月29日,媒体宣称,MapleChange被黑客攻击,致使919个比特币被盗。10月30日以来,MapleChange关闭社交媒体账户和平台,导致用户没有办法提币接着,MapleChange创始人也失去下落,但是后来,社区成员找到了CEO的家庭地址,并把他送入监狱。此后MapleChange交易所官方表示,并没有919个比特币被盗,被盗的比特币只有8个而已。知情人士称,此次攻击是由于开发人员将关键代码行被注释掉引发的安全小豹的看法:

虽然规模较大的数字货币交易所也有被攻击的风险,但是相对于小规模的交易来说,还是比较安全的。道理也很简单,只有当交易所有足够大的交易量,才能收到足够多的手续费,有了足够多的手续费,才有可能在安全建设和防护上投入更多。希望大家在进行交易所时,尽量选择规模较大的头部交易所交易,不要因为贪图小型交易所的小恩小惠,而造成不必要的损失。2018年10月29日——OysterProtocol

Oyster协议是IOTADLT之上的数据存储解决方案,在以太坊区块链ERC20的token为:Oyster。损失规模:$30万美元

事件经过及安全分析

10月29日下午,有关OysterPearltoken的大量转账和大规模抛售的报道在社交媒体渠道中发酵。原来,在不到8小时的时间里,PRL交易量从156,351美元飙升至1,577,860美元——涨幅超过900%。但是在同一时间,PRL的价格却下跌超过63%——从0.22美元降至0.08美元。Oyster官员发布声明称,Oyster智能合约已经通过了3次不同的审核,没有发现任何漏洞但在第二次声明中,他们却说,“某人”接管了合约的所有权,并成功地铸造了新的300万PRL代币经证实,这个“某人”实际上是Oyster项目的前联合创始人和架构师Oyster首席执行官表示:这简直太糟糕了,项目创始团队从最初招聘,到后来让每个人都参与其中,都从没怀疑他们会破坏自己一手创造的项目。安全小豹的看法:

俗话说的好,“日防夜防,家贼难防”,对代码最熟悉的人莫过于开发人员,反过来就是最容易攻击。小豹认为,区块链项目的创始人在招募早期的核心骨干时,应该在自己最信任的名单开始,而不是通过社会招聘或朋友介绍等渠道。同样,在招募员工时,应该把道德品质考虑进去。2018年10月31日——以太坊的潜在威胁

背景

10月31日,马里兰大学和东北大学的分析师发布报告称,由于ETH的智能合约缺乏多样性,以太坊的整个生态系统将存在很大的风险。安全分析

10月31日,马里兰大学和东北大学的分析师发布对以太坊的代码分析报告,并得到了美国国家科学基金会的支持。研究分析了以ETH的前500万个区块的智能合约的字节码。研究发现,目前,以太坊智能合约是其他公链合约总和的三倍。但是,超过60%的智能合约从未与用户有过互动,只有不到10%的的智能合约是独一无二的。安全小豹的看法:

小豹认为,“开源”是一把双刃剑,它是区块链蓬勃发展的助推剂、降低了行业的准入门槛,但不得不说,它也或多或少的阻碍了创新。小豹建议广大的区块链项目,在组建技术团队时,一定要配置至少一位安全专家,可以避免很多未来的风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

AVAXTAL:侧链、分片……区块链高性能路在何方

可扩展性是软件系统本身的属性,它指的是当需要为程序添加新的功能时,对其他模块的影响和添加的代价。区块链由于去中心化的要求,在实现高交易吞吐量和高交易速度方面颇具难度.

[0:0ms0-0:989ms