主页 > 如何下载imtoken > 黑客今年横扫币圈10亿美元,交易所、DApp、钱包无一幸免
黑客今年横扫币圈10亿美元,交易所、DApp、钱包无一幸免
文/零界
来源/31QU
2018年,加密货币领域发生了很多黑客事件。
据31QU统计,今年黑客盗窃金额超过10亿美元,交易所是重灾区。 DApp、个人钱包、公司服务器都幸免于难,都成了黑客的“提款机”。
目前,全球加密货币总市值约为1000亿美元。 巨额的财富、缺乏监管、层出不穷的技术漏洞,都给了黑客可乘之机。
2018年有哪些严重的黑客事件?
以下为31QU年度盘点第三篇:《今年黑客席卷币圈10亿美元,交易所、DApp、钱包无一幸免》
1个
被盗的加密货币交易所
根据网络安全公司 CiferTrace 10 月份发布的一份报告,2018 年前 9 个月,通过黑客交易所窃取的加密货币飙升至 9.27 亿美元,是 2017 年全年的 2.5 倍。
其中最具代表性的就是全球第四大加密货币交易所Bithumb涉嫌盗窃案。 Bithumb 也是韩国最大的交易所。 在不到一年半的时间里,该交易所3次被“黑客”攻破,导致价值超过3000万美元的加密货币被盗,3万用户数据泄露。
今年1月26日,日本第二大加密货币交易所Coincheck的新经济币(XEM)被盗,直接经济损失达5.34亿美元。 这也是 2018 年最大的加密货币盗窃案。
3 月 7 日,币安遭受新型黑客攻击。 黑客攻破系统后,并没有直接提币。 市场空头套利,没有人注意到。
为什么加密货币交易所存在如此多的安全问题?
今年6月20日,韩国科学技术部(MIC)表示,他们正在调查韩国境内的21家加密货币交易所,结果显示,其中大部分存在安全漏洞。
漏洞的形式包括网络隔离不充分、缺乏对异常或可疑活动的监控系统以及密钥和密码的安全管理不充分等。 MIC 还发现 12 家加密货币交易所根本没有安全系统。
交易所存在安全漏洞的问题不仅仅出现在韩国,韩国科学技术部的调查报告显示:“大多数交易所都存在安全漏洞”。
以下是我们整理的2018年加密货币交易所被盗事件,以及相关事件的具体细节。
▲ 2018年交易所安全事件
(1) 1月,日本最大的数字加密货币交易所Coincheck被盗价值5.34亿美元的XEM。 Coincheck 是日本第二大交易所。 在随后的官方新闻发布会上,Coincheck表示,XEM被盗是因为存储XEM的热钱包私钥被黑客盗取,但没有其他币种被盗。 受此事件影响,XEM当日下跌9.8%。
(2) 2月11日,意大利加密货币交易所BitGrail遭到攻击,价值1.7亿美元的加密货币NANO被盗。
(3) 3 月 7 日,币安被黑。 黑客控制了币安的部分账户,将这些账户持有的比特币卖出,买入VIA币,导致VIA逆市上涨。 币安回滚了异常交易,但这一事件仍引起市场恐慌,比特币在接下来的几天内跌幅超过15%。
(4) 4月1日,Bit-Z被黑,无资金损失。 为此,Bit-Z专门设立了10000ETH的安全基金,用于奖励安全漏洞提交者。 该奖项当时价值 400 万美元。
(5)4月13日,印度三大比特币交易所之一的Coinsecure在其官网发布公告称,该交易所438枚比特币被盗,价值约330万美元。 该交易所的首席安全官 Amitabh Saxena 被列为嫌疑人。 这是印度最大的加密货币盗窃案。
(6) 6月5日,Bitfinex遭受“拒绝服务”攻击,Bitfinex立即暂停交易所所有交易。
(7) 6月10日,韩国数字加密货币交易所Coinrail遭到黑客攻击,损失超过5000万美元。 Coinrail 70% 的加密货币供应量存放在冷库中,三分之二的被盗供应量已被追回。
(8) 6月20日,韩国加密货币交易所Bithumb遭到黑客攻击,价值3000万美元的加密货币被盗。 这是 Bithumb 第三次遭到黑客攻击。
此前,该交易所曾遭受过两次“黑客攻击”。
第一次:2017 年 4 月,Bithumb 一名员工的电脑遭到黑客攻击,导致 3 万多名用户的数据被盗,Bithumb 被韩国监管机构罚款 5.5 万美元。
第二次:2017年12月22日,韩国MBC电视台聘请安全公司对Bithumb等5家韩国交易所进行安全测试。 该安全公司成功“黑掉”了Bithumb等5家交易所,获取了部分用户数据和资金。 受雇的“黑客”声称只使用了“基本的黑客技能”。
但安全问题并没有引起交易所足够的重视,导致了2018年6月的黑客事件。
(9) 9月20日,日本数字货币交易所Zaif宣布遭黑客攻击,损失5967万美元。 其中,1959万美元属于交易所自有资金,其余4007万美元属于客户资金。
2个
黑客针对的 DApp
交易所是重灾区,最近成为热门话题的DApps也成为了黑客的目标。
自以太坊主网上线以来,DApp 的数量逐渐增加。 据Dapp.review最新数据显示,目前运行在以太坊、EOS、TRON等公链上的DApp总数超过1900个。
尽管DApp生态建设仅处于发展的初级阶段,但与DApp相关的安全问题也层出不穷。 截至 12 月,由于 DApp 漏洞造成的损失高达 395,000 EOS 和 13,000 ETH。 按照两人最高市值计算,财富损失超过2700万美元。
公开资料显示,2018年下半年DApp安全事件爆发,黑客事件主要发生在EOS主网上。 而黑客的攻击手段也是花样百出:随机数攻击、种子漏洞、假币攻击……
EOS是一个被寄予厚望的企业级区块链操作系统。 为什么基于它的 DApp 会发生这么多黑客事件?
今年5月,EOS创始人BM曾表示,为EOS主网提供有价值的漏洞将获得1万美元的奖励。 悬赏令发出后,一位名叫“Jon Bottarini”的网友透露,有人在短短一天内发现了8个漏洞,获得了8万美元的悬赏。 这也充分说明,EOS主网本身存在着大量的安全问题。
事实上比特币被黑客攻击事件,针对EOS上DApp的攻击越来越专业化、团队化。
11月以来,作为EOS竞猜三大DApp的EOSDice、FFgame和EOS.WIN相继遭遇“随机数漏洞”攻击。 据知情人士透露,这些袭击是由一个人或同一个团队所为。 知情人士称,该黑客交易所的账户已被成功锁定。
与 EOS 网络相比,以太坊的黑客事件略少。
目前最严重的是今年8月发生的Fomo 3D被黑事件。 黑客堵塞了以太坊网络,利用游戏本身的规则赢得了 10,469 个以太币。 按照当时的价格,这个以太坊价值300万美元。
随后,9月24日,黑客又通过类似手段获得了第二轮游戏奖励。
以下是2018年以来DApp发生的黑客攻击事件,以及相关事件的具体情况:
▲2018年DApp安全事件
(1)7月25日,狼人游戏(EOS版Fomo 3D)出现“溢出”漏洞,导致游戏损失60,686 EOS。 在对黑客的行为进行仲裁后,EOS 核心仲裁论坛(EACF)发布了新的仲裁令,冻结黑客的 EOS 账户:eosfomoplay1。
(2) 8月22日,Fomo 3D (Last Winner) 被黑客攻击并损失了10,469 ETH(价值约300万美元)。 安比实验室首次公布,Fomo3D奖获得者采用了一些“特殊攻击技术”。 攻击者用高额手续费吸引矿工优先打包,最终以较低成本封堵区块,加速结束博弈。 提高获胜的机会。
9 月 24 日,Fomo 3D 游戏第二轮开始后,黑客使用了类似的攻击手段,获得了 3264.668 个以太坊奖励。
(3) 8月27日,Luckyos旗下的石头剪刀布游戏被黑,损失不详。
(4) 9月2日,EOS.win“随机数”被盗,损失2000ESO。
(5)9月10日,EOSBet遭到黑客攻击,共损失4000个EOS; 4 天后,EOSBet 再次遭到黑客“虚假通知”的攻击,损失了 145,321 个 EOS。 损失已经追回。
(6) 9月12日,LuckyGo被攻击者iloveloveeos(恶意合约)强制下线。 当晚,iloveloveeos迅速出击新上线的游戏LuckyGo。 这两种攻击属于“随机数缺陷攻击”。
(7) 9月12日,EOS Happy Slot被黑客重播,损失5000 EOS。 一名拥有imeosmainnet账号的黑客使用了“重放攻击”,导致项目方损失了5000个EOS。
(8) 9月14日,去中心化交易所Newdex被黑。 黑客在兑换区用假币兑换真币,共获利11803 EOS。
攻击过程如下:攻击者创建了一个全新的流通量为10亿的代币(EOS流通量为10亿),并将其命名为“EOS”。 攻击者使用特殊方法在Newdex上用11800个假EOS换取了大量等值的真币。
(9) 9月15日,EOS.Win遭到黑客用假币攻击,共损失4000余EOS。
11月11日,EOS.Win也于11月11日遭遇第二次攻击。在此次攻击中,黑客在一分钟内对EOS.WIN游戏合约(eosluckydice)共发起了10次攻击,共获利9180余EOS。
(10) 10月16日,World Conquest被黑客以“纳税规则”攻击,拒绝其他玩家参与,获利4555 EOS;
(11) 10月26日,EOS Royale遭受黑客“随机数”攻击,损失10800 EOS。 过程如下:黑客通过调用随机数生成器计算出前一个区块的信息,进而得到游戏的随机数,从而破解EosRoyale钱包,窃取价值6万美元的EOS代币。
(12) 10月28日,EOS Poker遭受黑客“种子漏洞”攻击,损失1374 ESO。
(13) 10 月 31 日,EOSCast 遭到黑客使用假币攻击,导致 72,912 EOS 被黑客转移。 根据游戏规则,黑客分别使用100、1000、10000个假EOS代币进行攻击,每次攻击可以获得198、9800、19600个EOS。 上次攻击时,游戏方发现异常攻击,及时将奖金池中剩余的8000 EOS转走。
(14) 11月1日,EOS CAST被黑客攻击,导致72,912个EOS被盗。 ECAF(EOS Core Arbitration Committee,拥有智能合约仲裁权限)第一时间对此事作出回应,发布仲裁令冻结涉案账户。
(15) 11月4日,EOSDice公告智能合约被攻击,但由于其自动检测功能,攻击发生后,合约自动将剩余资金转移至安全地址。 此事件导致 EOSDice 损失了 2545 EOS。
(16) 11月8日,FFgame遭到黑客攻击。 黑客账号jk2uslllkjfd对FFgame游戏合约(eoswallet415)发起了多达304次攻击,共获得1331.2922个EOS。
(17) 11月10日,黑客对MyEosVegas游戏合约(eosvegasjack)发起了700多次攻击,获得了9000多个EOS。
(18) 11月26日,竞争性DApp遭遇前所未有的回滚攻击。 慢雾安全团队表示:“该攻击方式为新型攻击方式,相关DApp项目方应立即进行自查。”
(19) 12月3日,Dice3D遭受黑客攻击,损失10,569 EOS。 黑客已将被盗的 EOS 转移到火币。 Dice3D官方决定自费使用部分EOS补偿玩家。
3个
2018年钱包安全事件
今年12月5日,网络黑客TheHackerGiraffe声称仅通过低级攻击就控制了5万台网络打印机。
黑客控制这些打印机并不是为了炫耀他们的技能,而是为了获得对打印机内存中文件的访问权限。
从加密货币安全的角度来看,将比特币钱包密钥打印到联网打印机是非常危险的。 与密钥相关的文件存储在设备的内存中,黑客可能会窃取这些文件,然后提取钱包中的比特币。
更严重的是,黑客称他只用了30分钟就成功控制了5万台打印机。 加密货币钱包的安全问题确实不容忽视。
相对而言,保障数字货币钱包的安全是一个系统性的问题,需要考虑的问题包括基础安全体系、密钥管理安全管理、开发过程安全、用户行为安全等。 每个方面都是一个新课题。
或许正是因为钱包安全管理的复杂性,导致当前的安全问题层出不穷。
2018年,最具代表性的加密货币盗窃事件是在中国陕西省西安市发生的价值6亿元人民币的加密货币失窃事件。 虽然最终黑客被警方抓获,但已经造成无法挽回的损失。
据路透社报道,由于加密货币可以轻松跨境,目前只有 20% 的被盗加密货币被追回。
以下是2018年以来与钱包相关的黑客事件列表:
▲2018年钱包相关安全事件汇总
(1) 1月8日,Reddit Tippr用户被黑客盗取数千BCH(比特币现金)。
(2) 1月17日,XLM钱包遭到攻击,价值超过40万美元的XLM被盗。 事件的起因是黑客劫持了BlackWallet.co的DNS服务器。 据估计,此次攻击共盗取近70万个XLM,价值超过40万美元。
(3)1月19日,imToken钱包被黑客攻击,导致用户BTM价值超过250万人民币被盗。 受害人称,自己的手机和电脑都存有私钥,但不清楚小偷是如何得手的。 同时,imToken 也在积极帮助用户进行调查,但并未发现任何黑客的信息。
(4) 1月22日,黑客入侵IOTA钱包,盗走价值400万美元的IOTA。 据CCN称,原因是用户用来为IOTA钱包生成私钥的网站被黑了。
(8) 3 月 4 日,钛合金区块链(TBIS)发推称遭到黑客攻击,公司钱包中有 1870 万个 BAR 代币(约合 90 万美元)被盗。
(5) 4 月 17 日,数字货币投资人和 Youtube 博主 Ian Balina 昨晚在直播评论 ICO 项目时遭到黑客攻击。 黑客从他的 Etherscan 钱包中转移了超过 200 万美元的数字货币。
(6) 4月25日,MyEtherWallet被劫持,共损失约500 ETH。
(7) 6 月 6 日,日本零售商 Shopin 的 MEW 钱包遭到黑客攻击,超过 1000 万美元的加密货币丢失。 其中包括 Ethereum、Level Up、Orbs 和 Shopin。
(8)8月15日,陕西省西安市警方抓获三名黑客高级别犯罪嫌疑人。 三人联手盗取了价值6亿元人民币的加密货币。
今年3月30日,盗窃案发生后,受害人张姓男子向警方报案称,自己的电脑遭到非法攻击,价值数亿元的虚拟货币被抢走。 随后警方展开搜捕行动。 今年8月15日,三名黑客被警方逮捕。
(9)9月25日,EOS持有大户gm3dcnqgenes账户被盗,共损失209万个EOS(约合1080万美元)。
(10) 10月22日,瑞士区块链公司Trade.io表示,其冷钱包中价值750万美元的5000万个TIO被盗,其中130万个TIO被转移到Kucoin和Bancor两家交易所。 Kucoin已暂停TIO交易,Bancor已永久下架TIO。
(11) 10 月 25 日,Reddit 用户账户被黑,黑客从其钱包中窃取了 14 个比特币(89,500 美元)、22 个 ETH(4,400 美元)和约 1170 万个 COSS 代币(770,000 美元)。 美元),这些加密货币的总价值为 864,000 美元。
4个
针对企业和政府部门的黑客攻击事件
2017年5月12日,全球爆发WannaCry勒索病毒。 至少150个国家的至少30万用户被感染,造成80亿美元的损失。
WannaCry是继“熊猫烧香”之后最具影响力的网络黑客勒索事件。 疑似用户需要在 72 小时内支付价值 300 美元的比特币。 黑客之所以选择比特币,是因为它比传统支付方式更不易追踪。
虽然 WannaCry 的影响很大,但与黑客关联的三个账户总共收到了 14.3 万美元的赎金,相当于 52.2 个比特币。 有人戏称:“闹得这么大,赚得这么少,真是黑客界的耻辱。”
这显然“不划算”。 随着加密货币数量的快速增长,黑客手段也逐渐增多。
2018年以来,“植入挖矿软件”恶意挖矿备受黑客青睐。 谷歌、甲骨文、YouTube、特斯拉等知名大公司纷纷中招。 更有什者,罗马尼亚市政厅的电脑也被黑,无数个人电脑被黑客植入挖矿程序。 根据公开资料,黑客劫持了政府、公司和个人电脑,主要是为了挖门罗币。
之前只存在于理论上的双花攻击在今年也出现了比特币被黑客攻击事件,比特黄金因此损失了1800万美元。
今年,黑客还利用以太坊网络智能合约漏洞对BEC和SMT进行攻击,导致相关项目市值暴跌。
以下是2018年以来公司、组织和政府的黑客事件:
▲2018年针对企业和政府部门的黑客攻击
(1) 1月4日,谷歌浏览器插件Archive Poster被网络安全研究人员发现被植入挖矿程序。 只要用户打开谷歌浏览器,电脑资源就会被用来挖门罗币。 该插件在Google App Store下载量超过10万次。
(2) 1月7日,黑莓网站被植入门罗币挖矿程序。
(3) 1月10日,黑客利用web漏洞将Oracle服务器变成挖矿工具。 研究人员表示,攻击者利用该漏洞获得了至少 611 个门罗币(XMR),总价值约为 226,000 美元。
(4) 1月27日,安全专家发现黑客在YouTube网站和广告中注入了一段恶意JavaScript代码。 当用户加载 YouTube 视频时,名为 Cryptojacking 的恶意代码就会启动,占用用户 80% 的 CPU 性能 来我的 Monero。
(5) 2 月 2 日,加密货币初创公司 BeeToken 遭到黑客攻击,成功窃取价值超过 100 万美元的以太坊。
(6)2月23日,湖北省襄阳市南漳县人民医院被植入勒索病毒后系统瘫痪,黑客要求支付比特币恢复正常。 据知情人士透露,黑客在解锁前要求支付价值30万元的比特币。 24日,湖南省儿童医院也遭到黑客入侵,被要求支付1个比特币。
(7) 2月26日,特斯拉云计算账户被黑客植入病毒挖取加密货币。
(9)3月16日,元界(ETP)发布公告称,主网遭到黑客攻击。 为保证网络安全,元界在103万区块进行硬分叉。
(10) 4月22日,BEC智能合约存在溢出漏洞。 攻击者利用代币合约批量转账的方式无限生成代币,导致BEC代币价格暴跌。 4月25日,SMT被曝存在与BEC相同的漏洞。
(11) 5月22日,XVG协议出现漏洞,黑客利用漏洞窃取了约60万美元的XVG代币。
(12)5月28日,比特币黄金(Bitcoin Gold)遭受双花攻击,损失1800万美元。
(13) 8月22日,游戏平台God.Game声称被黑,智能合约中的以太币总量被清零。
(14)9月11日,巴西感染挖矿病毒的路由器总数达到28万台。 根据当时的调查,黑客在巴西创建了一个庞大的门罗币挖矿僵尸网络,能够用恶意代码感染设备。
(15) 9月26日,Crowd Machine团队被黑,10亿CMCT被盗。
(16) 10月16日,黑客劫持了罗马尼亚市政厅的所有电脑,并以比特币形式索要赎金。
(17) 11月4日,11名黑客窃取了价值超过8万美元的BTC,被土耳其警方拘留。
(18) 11 月 12 日,比特大陆提起诉讼,声称名为“John Doe”的黑客攻击其币安账户,617 个比特币被盗,当时价值约 550 万美元。
●●●
黑客事件频发,引起了政府部门、媒体机构和个人投资者的高度关注。
有些人认为这个行业已经变得如此危险,需要保持一定的距离。 也有人认为,这恰恰表明加密货币领域受到了前所未有的关注。
正如BItcoin.com CEO Roger Ve所说:“这(频繁的黑客事件)也从侧面证明了加密货币行业的价值,如果不值钱,黑客怎么花时间去攻击呢?”
