Première version | Les attaques fréquentes dans le domaine de la blockchain détaillent les attaques liées à la blockchain qui se sont produites depuis juillet

Événement

Piratage et autres attaques

Les attaques de ransomware traditionnelles et les attaques qui contrôlent à distance le système de la victime via des vulnérabilités du système sont les principales méthodes d'attaque dans les attaques de hacker-ransomware qui se sont produites depuis juillet.

Pour ce type d'attaque, l'attaquant n'a pas besoin de connaître les connaissances et les détails techniques de la blockchain pour mener à bien l'attaque, en particulier l'attaque twitter (utilisant la méthode de l'ingénierie sociale), les attaquants sont trois adolescents, dont le plus âgé est Seulement Agé de 22 ans, cet incident est un cas typique parmi les incidents de sécurité depuis juillet, et il a un très large éventail d'influence.

①

Le 2 juillet, MongoDB a été attaqué et environ 22 900 bases de données ont été vidées. L'attaquant a demandé BTC en rançon pour racheter la sauvegarde de la base de données vidée.

②

Première version | Bithumb lancera un service de transfert d'actifs cryptés avec Bithumb Global : des initiés de Bithumb ont révélé à Jinse Finance que Bithumb lancerait un service de transfert rapide d'actifs en devises cryptés entre Bithumb et Bithumb Global sans frais de gestion. La limite quotidienne de transfert d'actifs cryptés est de 2 BTC . La nouvelle sera annoncée au public ce soir. Il est signalé qu'actuellement, seuls les transferts d'actifs BTC et ETH sont pris en charge. [2020/2/26]

Le 11 juillet, une transaction anormale s'est produite sur la bourse Cashaa. L'attaquant contrôlait l'ordinateur de la victime et utilisait le portefeuille Bitcoin de la victime sur Blockchain.info pour transférer l'équivalent de 9 800 USD en BTC sur le compte de l'attaquant.

③

Le 15 juillet, Twitter a subi une attaque d'ingénierie sociale et les comptes de gestion des employés ont été volés, obligeant plusieurs organisations et individus à publier des informations frauduleuses sur Twitter, incitant les victimes à transférer de l'argent sur le compte bitcoin de l'attaquant.

Première version | Vice-président des affaires mondiales du groupe Huobi : La supervision déterminera la vitesse de la technologie de la blockchain et de l'atterrissage de la crypto-monnaie : le 21 janvier, Ciara Sun, vice-présidente des affaires mondiales du groupe Huobi, a déclaré lors du Forum économique mondial de Davos que le district 2019 est une année importante pour l'attitude réglementaire de la blockchain et de la monnaie numérique. Aux États-Unis, à la fin de 2019, il y avait 21 projets de loi visant la politique de crypto-monnaie et de blockchain.Ces projets de loi incluent des questions fiscales, des structures réglementaires, des fonctions de suivi et des approbations ETF, que les agences fédérales réglementent les actifs numériques, etc. L'Union européenne (UE) a mis en œuvre une nouvelle loi le 10 janvier 2020, obligeant les plateformes de crypto-monnaie à adopter des pratiques anti-blanchiment plus strictes. La Suisse, le Japon, la Lituanie, Malte et le Mexique ont adopté des lois exigeant que les échanges soient autorisés conformément aux directives KYC et AML. Des pays comme la Chine, la Turquie, la Thaïlande et d'autres prévoient leurs propres monnaies numériques de banque centrale (CBDC). La réglementation déterminera la vitesse à laquelle la technologie blockchain et les crypto-monnaies seront mises en œuvre. [2020/1/22]

④

Première version | Exposition aux performances Antminer S17 Utilisation d'une nouvelle technologie de dissipation thermique et d'un schéma de personnalisation d'optimisation globale: Jinjin Finance News, il y a quelques jours, la prochaine exposition aux performances Antminer S17 de Bitmain. Selon Moments, le chef de produit d'Antminer S17, le nouveau produit adoptera une nouvelle génération de technologie de dissipation thermique et des solutions globales d'optimisation et de personnalisation. Il est entendu que la technologie de dissipation thermique peut faire référence à la technologie d'emballage de la puce, ou il peut s'agir de la conception de la structure de dissipation thermique de la machine. Quant au plan "d'optimisation globale et de personnalisation" du produit S17, aucun détail n'a été divulgué. Il y a des voix qui disent que cela pourrait être une préparation pour la bataille décisive de la saison des pluies. [2019/3/22]

Le 22 juillet, les informations de l'Université York ont ​​été volées et l'attaquant a exigé environ 1,14 million de dollars en BTC en guise de rançon.

⑤

Le 23 juillet, les informations de la Ligue anglaise de football ont été volées et les attaquants ont exigé le BTC en rançon.

⑥

Première version | Baidu promeut la collection en ligne de 246 musées de la chaîne : Golden Finance News, récemment, Baidu Super Chain et Baidu Encyclopedia, basés sur la technologie blockchain pour créer une « chaîne d'art culturel » afin de promouvoir la collection en ligne de 246 musées du Plan du Musée Baike sinueux. Basé sur la "Chaîne d'art des musées culturels", Baidu travaillera avec les musées pour promouvoir la confirmation et le maintien des droits d'auteur des collections en ligne, et en même temps explorer les méthodes de commerce numérique pour les droits d'auteur des collections en ligne, afin de fournir des services plus complets et plus de droits. et intérêts pour les musées coopératifs. Selon les rapports, ce projet sera réalisé par étapes.Dans la première phase, la collection en ligne sera complétée pour confirmer la propriété de la chaîne, et un certificat de dépôt de droit d'auteur exclusif sera produit pour chaque collection. Autoriser chaque utilisateur à afficher le certificat sur les pages de collection PC et WAP du projet du musée de l'encyclopédie Baidu. À l'avenir, Baidu encouragera également l'application combinée de l'IA et de la technologie blockchain dans le domaine culturel et muséal pour garantir que les données en chaîne correspondent aux collections, jetant ainsi les bases des transactions numériques ultérieures des droits d'auteur sur les images des collections. [2019/1/30]

Le 25 juillet, environ 800 Go d'informations ont été volées à l'administration espagnole des infrastructures ferroviaires, et l'attaquant a demandé BTC en rançon.

⑦

Le 30 juillet, Canon a été attaqué par des pirates, environ 10 To de photos et d'autres types de données ont été volés et les utilisateurs ont exigé de la monnaie numérique en guise de rançon.

⑧

Le 31 juillet, le bureau de change numérique 2gether a été piraté et environ 1,39 million USD en BTC ont été volés.

Attaque de vulnérabilité de code

Pour les événements liés aux attaques de vulnérabilité de code, l'attaquant doit comprendre l'attaque blockchain 51 % et être capable de trouver les conditions qui peuvent être utilisées (louer une énorme puissance de calcul) pour mener à bien l'attaque, et avoir besoin d'une compréhension approfondie de la technologie des contrats intelligents pour trouver le les failles de la logique sont exploitées.

⑨

Le 4 août, le projet DeFi Opyn a été attaqué par une faille de code et a obtenu des jetons équivalant à deux fois le montant déposé, ce qui a finalement causé une perte d'environ 370 000 dollars américains.

Types d'attaques et de danger

Types d'événements d'attaque et de programmes dangereux :

Ransomware et autres attaques – Les méthodes et les vecteurs de l'attaque sont les suivants :

Code Vulnerability Attacks : - Les méthodes et les vecteurs d'attaque sont les suivants :

En raison du seuil bas pour les attaques de rançongiciels et les méthodes d'attaque similaires, l'analyse disponible est limitée. La section suivante analysera en détail l'événement d'attaque de vulnérabilité de code n° 9.

Analyse des événements d'attaque de vulnérabilité de code

Événement n° 9

Cet incident s'est produit dans le projet DeFi Opyn. L'attaque a été causée par une vulnérabilité dans la fonction d'exercice d'Opyn dans le contrat intelligent oToken.

Lorsque l'attaquant envoie une certaine quantité d'ETH au contrat intelligent, le contrat intelligent vérifie uniquement si la quantité d'ETH est cohérente avec la quantité requise pour terminer la transaction à terme, et ne vérifie pas dynamiquement si la quantité d'ETH envoyée par l'attaquant est dans la Après une transaction, il est toujours égal à la quantité requise pour terminer la transaction à terme.

C'est-à-dire que l'attaquant peut utiliser un ETH pour hypothéquer et racheter deux autres transactions, et enfin obtenir le double du montant d'ETH envoyé par lui-même.

L'équipe de recherche en sécurité de CertiK estime qu'Opyn a directement déployé et exécuté le contrat intelligent mis à jour sans procéder à nouveau à une vérification d'audit de sécurité rigoureuse, ce qui a fait que les failles du code de programme dans son contrat intelligent n'ont pas été découvertes à temps, la principale raison.

Résumé

Ici, l'équipe de sécurité de CertiK recommande ce qui suit :

Faites du bon travail dans le dépistage des vulnérabilités de sécurité du matériel et des logiciels de plate-forme pour les projets de blockchain, et veillez à sensibiliser les employés et à sensibiliser les employés à la défense des attaques de pirates informatiques courantes dans leur travail quotidien.

Faites du bon travail dans la "domination" d'une partie qui peut occuper plus de la moitié de la puissance de calcul totale de l'ensemble de la blockchain dans le fonctionnement de la blockchain. Pour la protection dans des projets de blockchain spécifiques, vous pouvez envisager d'augmenter le nombre de confirmations de transaction ou l'optimisation de l'algorithme de consensus. .

Faites un bon travail de vérification et d'audit du code de chaîne et du code de contrat intelligent dans le projet blockchain, invitez plusieurs services d'audit de sécurité externes indépendants pour auditer le code et ré-auditez après chaque mise à jour du code.

Nous ne recherchons pas seulement des failles, mais éliminons la possibilité d'être attaqués même s'il n'y a que 0,00000001 %

Tags：

Huobi App Download