1年丢失140亿,你是区块链的受害者吗? | 年度安全事件回顾
比特币自问世以来,被盗数量超过100万枚,损失价值约为70亿美元。
据 Beosin(成都链安)统计,2018年全球区块链领域发生近百起安全事件,损失超20亿美元,比特币的底层技术“区块链”面临着来自 数据层、网络层、共识层、激励层、合约层、应用层 的安全风险,安全攻击方式层出不穷,防不胜防。
2018年是区块链发展的关键之年,但安全问题却已成为制约其发展的核心关键,全年安全事件发生近百起,相较于2017年增长了538%, 区块链安全攻击主要发生在应用层 ,其中 智能合约是区块链安全的重灾区 。
2018年区块链行业中出现过颇具影响的安全事件:
2018 年 1 月,日本大型数字货币交易所 Coincheck 遭黑客攻击,平台上价值超过 5.34 亿美元的 NEM(新经币)被非法转移。
2018 年1月,imToken 钱包被黑客攻击,导致用户价值超过250万人民币的 BTM 被盗。受害者表示其手机和电脑都有存私钥,但不清楚盗币者如何得逞。同时,imToken 也积极帮助用户进行调查,但未找到关于盗币黑客的任何信息。
2018 年2月11日,意大利加密货币交易所 BitGrail 被攻击,价值 1.7 亿美元的加密货币 NANO 被盗。
2018年4月22日,BeautyChain 合约出现重大漏洞,黑客通过合约的批量转账方无限生成代币,导致 BEC 价值几乎归零。
2018年4月25日,SmartMesh 出现类似 BEC 的重大安全漏洞,损失1.4亿美金。
2018年7月25日,狼人游戏(EOS 版本的 Fomo 3D)出现“溢出”漏洞,导致游戏损失60686个 EOS。EOS 核心仲裁论坛(EACF)对黑客的行为仲裁后,签发新的仲裁令,冻结黑客的 EOS 账户:eosfomoplay1。
2018年9月20日,日本数字货币交易所 Zaif 宣布遭受黑客攻击,损失5967万美元。其中1959万美元属于该交易所自有资金,其余4007万美元属于客户资金。
2018年12月3日,Dice3D 遭遇黑客攻击,损失10569个 EOS。黑客已将被盗的 EOS 转至火币。Dice3D 官方决定自费拿出部分 EOS 给予玩家补偿。
据 Beosin 统计,2018年区块链受攻击点主要为交易平台、智能合约和普通用户。
其中 交易平台占比36%、智能合约占比22%、普通用户占比17%、矿工占比9%、共识机制占比5% 、其他占比11% ,以下为我们统计出的2018年区块链安全事件及损失。
一、数字货币交易所安全事件回顾
2018年超过半数交易所保管了用户的密钥,交易所已经成为黑客攻击的常规对象,今年全球数字货币交易平台陆续遭到黑客攻击、账号被盗等安全事件。这不单单是经济损失,严重的已导致平台直接倒闭。
2018年交易所安全事件汇总
对于交易所而言,资金和信息安全是数字货币交易所立足的基础,只有安全才能赢得用户的信赖,站稳市场。因此,交易所平台技术能力和经营经验显得尤为重要。
对于用户而言,选择交易所前应考虑其平台安全、用户体验、流量、资金储备、技术能力、金融产品化能力,最好选择满足以下几点的交易所:
资金和信息安全;
平台流动性好;
交易费用低;
交易速度快,用户体验好;
有足够丰富的交易对;
没有资金限制(限制提币/放缓提币速度);
支持多种衍生品;
可提供API接口。
二、智能合约安全事件回顾
智能合约以数字形式来定义承诺,如果在创建过程中不够严谨,容易留下隐患,2018年常见的智能合约安全漏洞主要包括整数溢出、越权访问、拒绝服务、逻辑错误、信息泄露和函数误用等漏洞,虽然智能合约安全事件相对不多,但是造成的经济损失却不少。
2018年智能合约安全事件汇总
在应对智能合约安全漏洞方面,我们建议项目方及开发者应做到智能合约上线之前交由专业机构团队对其进行全面深入的代码安全审计、设置应急响应、开发验证工具、发布漏洞奖励机制及有一定的安全意识。
三、数字货币钱包安全事件回顾
2018年区块链钱包大多数存在安全隐患,包括存在钱包 APP 伪造漏洞、交易密码未检测弱口令、核心代码未加固、未检测到系统运行环境、操作存在截屏及录屏记录等隐患。
2018年数字货币钱包安全事件汇总
数字货币钱包服务商一方面应加强对钱包进行安全审计,另一方面要进行包括域名系统安全检测、主机实例安全检测、服务端应用安全检测等一系列审核,同时还要监控私钥、助记词、交易过程、数据存储的安全。
四、DApp 安全事件回顾
2018年 DApp 数量逐渐增加,据相关数据显示,截至2018年底运行在以太坊、EOS、波场等公链上的 DApp 总数量超过1900个,在2018年下半年,已经出现超过20起大大小小的黑客攻击事件。
2018年 DApp 安全事件汇总
2018年 DApp 发生的被攻击事件大部分以随机数攻击为主,并非 EOS 本身的 bug,项目方在开发过程中,一方面应尽可能让随机数生成的规则复杂,增加猜测难度,另外一方面应提高安全意识,避免所写代码存在安全漏洞。
五、矿池安全事件回顾
2018年矿池的风险主要在于 DDoS 攻击和扣块攻击,矿池作为数字货币的上游环节,为广大个人矿工提供稳定的挖矿收益,其安全的重要性不言而喻。
2018年矿池安全事件汇总
作为矿池开发者,应采用高性能的网络硬件产品并尽可能地保证网络带宽富余,作为旷工,应从官方可靠渠道下载挖矿软件,使用专门的挖矿电脑。
六、用户自身安全
除专业黑客攻击事件之外,2018年也存在普通用户自身安全事件,损失了不少的资产。
2018年用户自身安全事件汇总
2018年是区块链发展的关键之年,但安全问题却已成为制约其发展的核心关键,只有 区块链项目、用户自身、交易平台、存储工具、安全服务公司 多方共同保证安全,数字货币和区块链生态才能持续健康发展。
关于Beosin:
Beosin(成都链安),专注区块链全生态安全领域,总部位于成都。由杨霞和郭文生两位教授共同创建,团队核心成员由40多名来自海外知名高校和实验室留学经历的教授、博士后、博士及阿里、华为等知名企业精英组成。其核心技术为形式化验证,是国内最早一批将此技术应用到区块链安全领域的公司。