整理 | 成都链安:8月发生较典型安全事件超『39』起,去中心化的金融风险初见端倪

时间:2021-09-07 00:35       来源: www.asgxgy.com

03

社交新闻网站Reddit遭遇大规模黑客攻击,攻击者破坏了Reddit包括美国国家橄榄球网盟、电视节目、海盗湾、迪士尼乐园、复仇者网盟等数十个频道,这部分频道加起来拥有数千万的用户,以显示支持唐纳德·特朗普连任。

05

法官判处澳大利亚黑客Kathryn Nguyen刑期2年零3个月,缘由是她在2021年1月瑞波币接近其历史最高点3.29USD的时候,偷窃了10万枚以上瑞波币代币(现在价值约30万USD)。

03

日本数字货币交易平台TAOTAO官方表示,东京时间8月22日12点46分-12点56分,该交易平台因系统问题致使买卖对价格没办法更新,该问题现已修复。问题影响仍在调查中。

07

以色列互联网安全公司Mitiga建议运行某些程序的亚马逊互联网服务(Amazon Web Services)的所有顾客,检查自己是不是遭到了XMR币挖矿软件的恶意感染。Migita称任何运行基于Community AMIs(Amazon Machine Images)的EC2实例的用户都容易遭到该加密挖矿软件的攻击。

05

twitter有人报料称,去中心化的金融流动性挖矿项目Degen.Money借助双重授权漏洞(Double Approval Exploit)来获得用户资金。YFI开创者Andre Cronje也在twitter表示,该项目确实存在风险,需手工取消授权。

08

一犯罪团伙对全球一些最大的金融服务提供商(包括MoneyGram、YesBank Indiak、PayPal、Braintree和Venmo)发起了DDoS攻击,并索要BTC赎金。

暗网方面,共发生『2』起较典型的安全事件

02

ETC近期遭受的51%攻击据信致使了大约560万USD的数字货币被『双花』。

01

114万俄罗斯人的护照数据正在暗网的地下商店供应。据了解,此前在宪法改革公投中,这部分俄罗斯公民通过区块链平台投票,但他们的数据在网络上遭到了泄露。

02

据外媒报道,FBI发布了针对美国和外国政府组织的Netwalker勒索软件攻击的新安全警报。随后,联邦政府建议受害者不要支付赎金,并向当地的联邦调查局外地办事处报告了此次事件。

03

今年以来,与twitter同样种类的加密骗局在Instagram上猖獗。有超越130万的Instagram帖子用#Coinbase标签,但其中绝大部分都是不真实信息;也存在假冒名人账号发布不真实加密信息的诈骗行为。

01

数字货币钱包Ledger撰文回话安全研究职员Monokh披露的安全漏洞。Ledger表示,已发布BTC应用程序v 1.4.6版本,该版本旨在改变Monokh所披露的安全漏洞。另外,Ledger也针对LTC、DOGE等应用程序进行了更新。

11

朝鲜黑客组织Lazarus第三将目光瞄准数字货币,最新的攻击事件是通过LinkedIn的一个招聘广告发送钓鱼文档,该文档与一家区块链技术公司有关。

06

英国国家互联网安全中心(NCSC)删除去超越30万个与名人有关的不真实代言资金投入机会的url,其中超越一半的网站是欺骗性数字货币资金投入计划。

12

一项研究显示,ETH区块链上价值超越10亿USD的代币缺少2021年发布的一项软件标准,使得它们可以被劫持并从买卖交易平台中抽走。

鉴于目前区块链安全范围的新形势,『成都链安』在此概要:

从大体上看,8月区块链整个生态所发生的安全事件颇多,较之7月呈明显上涨的趋势。值得一提的是,8月所发生的安全事件是2021年度现在单月内数目最多的,整体风险评级为『高』。其中,发生在Defi方面的安全事件特别值得大家注意。因Defi热度持续走高,后续该板块下所隐藏的安全风险可能是很大的,不可以放松警惕。

同时,本月Defi方面有关项目也出现了几起较为紧急的安全漏洞,因此成都链安也要提醒广大项目方在项目筹措准备阶段必须要做好有关的安全工作。对马上上线的合约,切记要探寻专业的安全公司来进行代码审计,以防止上线后导致不可留住的损失。

另外,还应该注意的是,在诈骗跑路/加密骗局方面,本月所发生的有关骗局事件也是时有发生;与此同时,也能看到有关部门正在对此版块加大关注,被破获的骗局事件也有所增加。在此,成都链安需要提醒广大用户,切勿轻信『天上掉馅饼』的事情;小心分辨互联网上的有关消息,切莫掉进圈套。

据成都链安『安全态势感知系统』(B柚子币in-Eagle Eye)数据监测显示:在过去的8月中,整个区块链生态所面临的安全形势十分严峻,不完全统计,总共发生了超39起较典型的安全事件,属2021年度内现在单月数目最高。本月安全事件的整体风险评级为『高』,需区块链生态各项目方引起看重,防微杜渐。与7月相比,8月各版块所发生的安全事件均呈上涨趋势。经成都链安安全职员统计,8月发生较典型安全事件细项如下:

交易平台方面,共发生『4』起较典型的安全事件

04

跨国公司佳能(Canon)的电子邮件、存储服务和其美国网站遭到了Maze团伙的勒索软件攻击。Maze需要佳能支付数字货币赎金,不然将泄露其照片和数据。

03

微步情报局监测到一块尝试攻击Docker主机并植入挖矿木马的攻击活动,该挖矿木马存放在一台坐落于德国的服务器(85.214.149.236)中。

04

波场官方支持的DZI爆出漏洞,工程师在正式上线直接调用合约获得DZI,损失惨重。

04

8月7日,Uniswap已出现SRM假币,已有用户让人骗。Serum发布twitter提醒用户提升警惕,在除FTX和BitMax平台以外的其他交易网站(如Uniswap等)出现的SRM,均为假冒。

08

美国商品期货委员会需要对加密骗局Control-Finance负责人处以4.29亿USD民事罚款。

勒索软件/挖矿木马方面,共发生『8』起较典型的安全事件

01

美国第五大旅游公司CWT赞同向劫持其计算机系统的黑客支付价值450万USD的BTC。

07

苏州园区警方侦破苏州首起针对数字货币的黑客犯罪案件,抓获了多名专门借助黑客方法盗取竞价推广账户密码来窃取数字货币,并通过暗网联系职业洗钱销赃团伙变现的犯罪嫌疑人。

09

8月21日,Uber前首席安全官Joseph Sullivan试图掩盖2021年的黑客攻击。两名黑客入侵了数百万用户和驱动程序的数据,并需要他支付六位数的报酬。在2021年12月,Sullivan向黑客支付了10万USD的BTC。

04

腾讯安全威胁情报中心测试到很多来源于境外IP及部分国内IP针对国内云服务器租户的攻击。国内多家知名企业的云服务器均遭到该僵尸互联网攻击,已有上千台服务器沦陷受害。

07

保加利亚Kyustendil小镇上两名男子因偷窃电力开采BTC而被拘留,失窃电力价值150万USD。

06

今年黑客对隐私浏览器Tor产生了重大影响,他们正在借助这种影响劫持BTC。通过Tor出口中继,黑客将加密买卖中的BTC资金转到自己手中。

01

加拿大安粗略省彼得伯勒县警察支队正在调查两起欺诈事件,涉案总金额达78000USD。嫌疑人假冒警察诱骗受害人将资金存入其需要的BTC竞价推广账户中,不然将被逮捕。

10

8月24日,黑客从CryptoTrader.Tax中窃取了1000多个用户的数据。CryptoTrader.Tax是一款用来计算和归档数字货币买卖税的在线服务。

06

勒索软件犯罪团伙REvil声称已成功袭击了美国葡萄酒和烈酒巨头Brown-Forman Corp。该公司拒绝支付REvil需要的XMR币赎金。作为回话,黑客在其暗网官方博客以大约150万USD的价格供应失窃数据。

08

美国政府正在起诉美国国家安全局(NSA)泄密者Edward Snowden。依据近期的一份法庭文件,斯诺登在虚拟会议上的演讲费高达120万USD,其中至少有3.5万USD来自BTC和加密公司。

05

Garmin遭勒索攻击的风波未平,此后佳能又遭受了勒索软件攻击。攻击除去让佳能的一些网站宕机以外,据了解还致使佳能服务器中高达10TB的数据失窃。

03

在Yam Finance仓促开发的合约中,一个rebase函数漏洞致使了治理合约被『永久破坏』,价值75万USD的Curve代币被锁定而没办法用。

02

去中心化的金融流动性耕种匿名项目BASED官方宣布,将重新部署质押池。官方发布twitter称,有黑客试图将『Pool1』永久冻结,但尝试失败。

04

有互联网犯罪分子一直在假冒比特币 ERA交易网站,意在以恶意软件感染潜在用户。这家互联网安全公司发现,作恶者一直在发送据称是来自比特币 ERA的电子邮件,以诱用户资金投入付费。

Defi方面,共发生『5』起较典型的安全事件

02

数字货币交易平台KuCoin警告称,有欺诈网站用其品牌试图窃取数字货币。该网站提供不真实奖励,诱用户存入数字资产。

02

著名暗网市场Empire Market已关闭运营,退出时该网站共骗取了130万用户的约2638枚BTC,价值近3000万USD。

其他方面,共发生『12』起较典型的安全事件


01

去中心化金融基础设施Sperax表示,部分交易平台日前发出通知引导用户进入其平台抢购SPA代币。Sperax现在未与任何交易平台有任何官方合作,且Sperax在美国东海岸时间8月14日表示在官方网站公募前不会分发SPA代币。

01

Opyn官方发文,就平台漏洞致使以太币失窃事件作出更新,将全额赔偿受漏洞影响的以太币看跌期权卖家。对于以太币看跌期权用户,按高于市场价20%的价格赎回看跌期权。

02

据Jon Prosser8月5日发布的一条推文,其拥有26.2万名订阅用户的YouTube频道遭到黑客攻击,频道名字被改为『NASA [news]』,并开始直播关于SpaceX CEOElon Musk赠送BTC的不真实消息。约两个小时内,非法获利4000USD。

B柚子币in评论:

Defi项目仍是当下阶段的热点趋势,有很多项目上线后,就被曝出紧急的安全漏洞。成都链安建议各大项目方在项目上线之前,必须要做好安全审计工作,根除安全隐患,从而降低非必须的损失。

诈骗跑路/加密骗局方面,共发生『8』起较典型的安全事件

05

ScamAlert网站正在追踪一些涉嫌加密骗局的地址,已确认和可疑的数字虚拟货币地址数目已超越5万。

此文出于传递更多信息之目的,并不意味着同意其看法或证实其描述。本网站所提供的信息,只供参考之用。