首发 | 区块链领域攻击频发细数7月以来发生的区块链相关攻击事件

事件

黑客勒索及其他攻击

传统的勒索软件攻击以及通过系统漏洞远程控制受害者系统的攻击，是7月至今发生的黑客勒索攻击事件中的主要攻击方式。

此类攻击行为，攻击者不需要了解熟悉区块链的知识和技术细节就可以完成攻击，尤其是twitter攻击（利用了社会工程的方法），其攻击者是三名青少年，其中最大年龄仅有22岁，这起事件在7月以来的安全事件中较典型的一例，产生的影响范围极广。

①

7月2日，MongoDB遭受到攻击，约22900个数据库被清空，攻击者要求以BTC作为赎金赎回被清空数据库的备份。

②

7月11日， Cashaa交易所发生交易异常，攻击者通过控制受害者电脑，操作受害者在Blockchain.info上的比特币钱包，向攻击者账户转移约合9800美元的BTC。

香港金管局正与央行商讨下阶段数字人民币作跨境支付技术测试:1月27日消息，香港财经事务及库务局局长许正宇书面答覆立法会议员提问时指出，金管局正深入研究批发及零售两层面的央行数字货币。预期 mBridge 的国际贸易结算功能将于今年起进入试行阶段，目标是发展出能够支援整个国际贸易结算流程的系统。

另一方面，金管局正从技术及政策两方面，研究在香港发行零售层面央行数字货币（即数字港元、e-HKD）的可行性。许正宇表示，数字港元研究会基于香港现行的货币发行局机制进行，因此研究并不会对香港的货币制度构成影响。

察悉中国人民银行已表示数字人民币主要是作零售支付用途，金管局与中国人民银行数字货币研究所就数字人民币作跨境支付在香港进行的技术测试，首阶段已于 2020 年 12 月顺利完成，金管局正与中国央行商讨下一阶段的技术测试，包括引入更多香港银行参与及透过转数快为数字人民币钱包增值等。（路透社）[2022/1/27 9:17:08]

③

ONSTON公布其2022年元宇宙平台开发计划:1月7日消息，开发ONSTON元宇宙平台和ONSTON市场的虚拟现实元宇宙加密货币项目ONSTON宣布其2022年元宇宙平台开发计划。

通过使用区块链技术，连接VR/AR设备来构建一个3D虚拟世界，加密货币项目ONSTON最终将实现其目标，即建造一个主题公园，可以玩ONSTON元宇宙游戏、逛购物中心和NFT博物馆，并且提供3D工作场所。

ONSTON项目团队目前正致力于开发将于2022年推出的钱包、质押服务、Swap、ONSTON元宇宙演示版。（Globenewswire）[2022/1/7 8:33:03]

7月15日， twitter遭受社会工程攻击，员工管理账号被盗，造成多个组织和个人的推特上发布欺诈信息，诱使受害者向攻击者比特币账户转账。

跨境支付平台CITCON与Flexa合作以引入数字货币支付:金色财经报道，美国跨境支付平台CITCON已与加密支付公司Flexa合作，为其全球零售商网络启用了比特币支付。与Citcon连接的全球6000多个品牌现在可以选择接受Flexa网络支持的数十种数字货币，包括BTC、ETH、LTC和狗狗币等。Citcon的移动支付产品已被欧莱雅、Nordstrom，MGM Resorts等大型品牌所利用。[2021/5/19 22:17:21]

④

7月22日，约克大学信息被盗取，攻击者要求约合114万美金的BTC作为赎金。

⑤

7月23日，英国足球联盟信息被盗取，攻击者要求BTC作为赎金。

⑥

7月25日，西班牙铁路基础建设管理局约800gb信息被盗，攻击者要求BTC作为赎金。

⑦

7月30日，佳能遭受到黑客攻击，约10tb照片和其他类型数据被盗，用户要求以数字货币作为赎金。

⑧

7月31日，数字货币交易所2gether遭受到黑客攻击，约139万美金的BTC被盗。

代码漏洞攻击

对于代码漏洞攻击相关事件，攻击者则必须要理解区块链51%攻击并且能够找到可以利用的条件（租用庞大的算力）来完成攻击，并且需要对智能合约的技术有深刻的了解，找到其中的逻辑漏洞并加以利用。

⑨

8月4日，DeFi项目Opyn被攻击者通过代码漏洞，获得数目等于存入数目两倍的代币，最终造成了约37万美金的损失。

攻击类型及危险

攻击事件类型及危险程序：

勒索及其他攻击——攻击的方法和媒介如下：

代码漏洞攻击：——攻击的方法和媒介如下：

因勒索攻击门槛低，攻击方式大同小异，因此可供分析程度有限，下文将为大家具体分析第9号代码漏洞攻击事件。

代码漏洞攻击事件分析

第9号事件

此次事件发生于DeFi项目Opyn中，攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。

攻击者在向智能合约中发送某一数量的ETH时候，智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致，并没有动态的检查攻击者发送的ETH数量是否在每一次交易之后，仍旧等于完成该次期货买卖所需要的数量。

也就是说，攻击者可以用一笔ETH进行抵押，并再赎回两次交易，最终获得自身发送数量两倍的ETH。

CertiK安全研究团队认为，Opyn没有对其更新完成后的智能合约再次进行严谨的安全审计验证就直接进行部署运行，从而造成了其智能合约中的程序代码漏洞没有被及时发现，是此次事件发生的主要原因。

总结

在此，CertiK安全团队建议如下：

做好区块链项目运行的硬件以及平台软件的安全漏洞筛查，在日常工作中关注培养员工对于黑客攻击常见手段的认识和防御意识。

做好对区块链运营中可能出现的某方占有超过全区块链一半总算力的“支配”情况，对于特定区块链项目中的防护，可以考虑采用提高交易确认必须次数或者优化共识算法。

做好对区块链项目中链代码和智能合约代码的验证审计工作，邀请多个独立的外部安全审计服务来审计代码，并在每次更新代码后进行重新审计。

我们绝不仅仅是寻找漏洞，而是要消除哪怕只有0.00000001%被攻击的可能性

标签：ETHBTC比特币THEETHS价格BTCMT莱特币是复制比特币ethereum和erc20区别

Ethereum热门资讯