EOS:区块链安全大事件：2个月6起大型黑客攻击，损失超过660万美元

编者按：本文来自白话区块链，作者：猎豹区块链安全，星球日报经授权发布。在区块链行业，安全是最根本的问题。或许你听过“一行代码损失几十亿”、“干了一年被黑客一夜搞走”等言论。因为区块链发展还处于早期，加上代码一旦上链就不可篡改等特性，让它成为了黑客攻击的重灾区。今天，我们对今年9、10两个月区块链行业发生的安全事件进行盘点，旨在帮助大家认识区块链的安全问题。01利用漏洞赢头奖

DEOSGames是一个运行在EOS区块链之上的去中心"菠菜“类游戏。9月9日，一位名为“RunningSnail”的DEOSGames用户进行了一次看起来相当成功的操作：累积下注价值1000美元的EOS，每次存入10个EOS，然后在30秒后赢得头奖，反复操作了多次。1、损失规模：价值约24000美元的EOS。2、攻击媒介：智能合约漏洞。3、事件经过及安全分析DEOSGames在刚刚创建不到一小时的时间里，就向EOS帐户进行了24笔转账，而且，这些账户都是该合约在不到一天时间之内创建的。根据EOS的交易记录，每次恶意账户存入10个EOS，就能收到价值20倍的合约金额。换句话说，黑客利用了该游戏的某个漏洞，每次都能够赢得头奖，此次攻击的整体收益约为成本的20倍。DEOSGames官方在推文中发表看法，“这是一个很好的压力测试，我们的项目在合约层面得到了显著改善。”目前，尚不清楚黑客利用了DEOSGames合约中的哪个漏洞，或者EOS内核中是否存在其他漏洞。4、小结发生该攻击事件之后，DEOSGames团队的反应令人费解。他们没有对社区声明自己是如何监控黑客攻击的，因为按照常识，一个简单的监控脚本就可以检测到这种异常现象。我们假设DEOSGames游戏有这样的检测工具，那么，此次攻击的深层次原因就值得深究了，不排除团队坐庄收割“小白投资者”的嫌疑。目前，此类“菠菜”游戏风险太高，建议广大用户理性投资，谨慎选择。02EOS刷假币事件

央行行长易纲：区块链等技术持续推进金融机构的数字化转型:金色财经报道，9月18日，中国人民银行行长易纲在中德“金融科技与全球支付领域全景—探索新疆域”视频会议的开幕致辞上表示，近年来，金融科技在中国迅猛发展。人工智能、大数据、云存储、区块链等技术持续推进金融机构的数字化转型，产品和工具应用日益丰富，金融服务的效率和包容性大幅提高。

金融科技的发展也有效助力乡村振兴战略。运用卫星遥感、电子围栏、区块链等技术可动态监测农林牧渔等农产品的生产经营，推动资金流、物流、商流深度融合，提升农业产业和上下游企业融资可得性，助力农业产业现代化。针对农民“数字足迹”缺失等问题，还可利用数字化手段完善农村信用信息体系，从而有助于扩大信贷覆盖范围。[2021/9/18 23:35:26]

Newdex是基于EOS区块链的去中心化交易平台，8月8日上线，号称交易速度媲美中心化交易所，且不接触用户私钥，导入钱包即交易，以此保障资产安全。但在上线一个多月后，就遭遇“EOS刷假币事件”。通过这起事件，外界开始质疑Newdex是否是真正的去中心化交易所。1、损失规模：约58000美元。2、事件经过及安全分析EOS账户“oo1122334455”于2018年9月14日14:01:45，发行10亿个假的EOS，并全额分配给“dapphub12345”账户。随即由“dapphub12345”转入“iambillgates”账户，“iambillgates”账户于14:21:37尝试性地多次用1个假EOS挂单委托买入IPOS和ADD等代币，并取得了成功。成功买入其他代币后，“iambillgates”账户立刻将非法获得的Token转入“xx1234512345”与“x12345x12345”账户，最终由“xx1234512345”在Newdex中挂市价单卖出部分非法获得的Token，共计卖得4028个真正的EOS。然后，发送到Bitfinex与其他加密货币进行交易。此次假EOS刷币事件一共给Newdex用户造成了11803个EOS的损失，Newdex团队为此事件道歉，本着负责任的态度决定承担此次全部损失，并且在第一时间修复相关问题并恢复正常运营。对Newdex基础设施的进一步调查显示，Newdex没有使用智能合约来验证用户发送的Token。3、小结这起事件中，黑客用EOS原生货币来交易假的代币，导致Newdex系统中EOS严重贬值。之所以黑客能够得手，是因为Newdex没有通过其智能合约验证Token的真实性。他们在中央服务器上进行交易匹配，在处理交易时系统甚至没有检查存入的Token真实性。去中心化交易平台具最基本的特点，是用户自己掌握私钥。既然是用户自己掌握，也就只有用户自己能动用钱包里的币，不会因为交易平台的漏洞而导致自己丢币。所以，在这里建议大家在选择交易平台前，需要进行详细的调查。03日本交易平台被盗

支付宝爱心捐赠平台引入区块链技术 目前已支撑20亿次交易:金色财经报道，4月16日下午14:00，蚂蚁区块链“开放联盟链”面向中小企业和开发者发布，助推全民入链。蚂蚁区块链平台产品部总经理金戈在会上指出，支付宝一直在内部推动区块链的应用，促进解决行业问题。其中之一就是支付宝爱心捐赠，支付宝公益其实已经做到了很大规模。在过去从捐款人到募捐方到分发受捐的个体信息是不透明的，为了解决捐款传递流转中的问题，支付宝爱心捐赠引入区块链技术，将参与其中的多家信息写到链上，做到不可篡改，从而使得公益更加透明，截至目前该平台已经支撑了20+亿次的交易。[2020/4/16]

2018年9月19日，总部位于大阪的TechBureauCorp旗下的Zaif交易所发生了比特币、萌奈币(MonaCoin)和比特币现金被盗事件，被盗价值6000万美元的数字货币。1、损失规模：6000万美元。2、被盗取的数字货币：比特币、萌奈币(MonaCoin)和比特币现金。3、事件经过及安全分析2018年9月14日之后，Zaif交易平台关闭了用户的存取款服务。根据Zaif的说法，关闭该服务的原因是在9月14日17:00至19:00之间，发现有人非法入侵了其热钱包。经核实，该黑客的非法行为导致了价值5900美元的BTC、比特币现金和萌奈币被盗。Zaif在公告上没有公布被攻击的细节，它寻求了日本当局帮助调查此次被盗案。事实证明，在此攻击行为发生前，日本金融厅分别于3月8日和6月22日，向Zaif发出过关于其内部管理系统和安全措施的预警。被盗事件发生后第一时间，日本金融厅向Zaif母公司TechBureau发出了今年的第三份业务改善令。但是Zaif交易所没有对FSA的建议做出任何行动。根据扎伊夫对当局的透露，事件的起因居然是交易所一名员工的电脑被黑。11月22日，Zaif交易平台把虚拟货币的相关业务转移至FISCO集团，FISCO集团将接管Zaif并赔付用户此次被盗的资金。需要强调的一点是，这起事件是加密货币历史上损失最大的安全事件之一。4、小结根据种种迹象表面，该事件的起因很可能是Zaif员工的计算机被黑客成功利用钓鱼网站的方式攻击了。对于数字货币交易所来说，犯这种低级错误是非常不应该的。我们认为，该事件对广大数字货币交易所敲响了警钟，安全意识是数字货币交易所的根基，每家交易所都应在新员工入职工作之前，进行必要的网络安全培训。5、其他相似的攻击事件2017年7月，在Bithumb上，黑客也使用了相同的方法，盗取了价值数百万美元的加密货币，并且导致客户数据被泄露。04黑客良心发现，返还被盗代币

现场丨腾讯区块链总经理蔡弋戈：腾讯区块链的定位是开放共享 成为企业间的价值链接器:金色财经7月17日现场报道，在新加坡世界区块链峰会暨第二届国际区块链游戏论坛”，腾讯区块链总经理蔡弋戈说，腾讯区块链的定位是开放共享，做企业间的价值链接器，其优势在于完全自主研发可控。腾讯做平台支撑，外部企业做应用场景。腾讯区块链BaaS平台开放公测，基于行业商业逻辑：稳定的上下游业务关系、企业不同的核心业务线、参与业务的不同机构，设计对应的链、账本、机构；一键开启：为行业服务提供商提供一键式建立节点，业务逻辑搭建，运维权限管理等设计，方便地为服务提供商构建区块链BaaS云服务；插件服务：基于腾讯云、腾讯金融云构建底层，未来将提供大数据、腾讯征信等插件服务。[2018/7/17]

SpankChain是基于以太坊公链的成人娱乐区块链项目。团队于10月9日在博客上表示，10月6日遭受到黑客攻击，损失了165.38ETH(当时价值约3.8万美元)，另有价值4000美元的BOOTY币遭到冻结。1、损失规模：超过40000美元。2、攻击方式：通过智能合约的重入漏洞。3、事件经过及安全分析此次黑客攻击利用的是SpankChain智能合约中的重入漏洞，该漏洞类似于著名到TheDAO事件中的漏洞。技术团队发现合约被黑客入侵是在攻击发生后的24小时，SpankChain团队第一时间关闭了自己的官网。10月12日，黑客竟然主动联系了SpankChain的首席执行官，将165.38ETH退还给该团队，另外黑客还帮助SpankChain恢复了因攻击而被冻结的大约4000个BOOTY代币。作为回报，SpankChain团队给了该黑客一些奖励。4、小结SpankChain区块链社区对该事件的反应比较激烈，原因很可能是难以接受被黑客利用著名的重入漏洞进行攻击。重入其实就是递归，就是对于一个函数的循环调用和对自身的循环调用。针对重入漏洞，最根本的解决方案还是在转账之前就把所有应该变更的状态提前更新，而不是在转账之后再进行更新。其实在上链前，项目方只需投入很少的费用，对智能合约进行安全审计，就可以很好的避免这种事情。在区块链里，没有删除和修改的概念，一旦合约部署到公链，就无法篡改。全球数以万计的黑客可以慢慢地，一行一行地找上面的漏洞。对于区块链行业来说，安全审计是必不可少的流程。目前，还不清楚黑客为何会归还被盗资金，这对受害者来说可能是一种安慰，但这种事情不常有。希望这次事件过后，项目方、交易所都能够警醒，认识到安全审计的重要性。5、其他相似的攻击事件DAOHack：以太坊区块链历史上最臭名昭着的事件之一，引起以太坊区块链的硬分叉，分裂成以太坊和以太坊的经典的事件。05遭遇两次攻击的EOSBet

公告 | 欧洲八大金融机构成功测试用于注册权证发行的区块链系统:据cointelegraph援引西班牙新闻出版社El Economista 6月25日的报道，欧洲八大金融机构宣布将共同开展区块链技术项目，以记录金融权证的发行情况。八大金融机构包括西班牙证券监管机构国家证券市场委员会（CNMV），主要股票市场运营商BME，桑坦德银行，BBVA银行，法国巴黎银行，CaixaBank银行，德国商业银行和法国兴业银行。他们的合作已经“成功”完成了概念验证。根据今天发布的声明，该系统的创建目的是在48小时内完成认股权证的注册，这一过程通常需要一周以上的时间。[2018/6/26]

EOSBet是EOS上的游戏平台，分别在9月14日和10月15日遭受了两次黑客的攻击，损失分别为44427.4302个EOS和138319.7995EOS。1、损失规模：200000美元+338000美元。2、攻击方式：利用智能合约中的漏洞。3、事件经过及安全分析9月14日，EOSBet遭到黑客攻击，EOSBet团队官方宣称：这个攻击并不简单，我们正在进行取证，并将所发生的事情拼凑在一起，来寻找蛛丝马迹。根据TheNextWeb的分析，“黑客的攻击方式是使用假哈希在外部调用’传输’功能”。攻击发生后，一个与EOSBet官方帐户名称非常相似的EOS帐户，向攻击者的地址发送了少量EOS，并且附带一个要求对方退回被盗资金的消息，声称如果不退回，他们将雇用一个律师团队追捕并起诉攻击者。9月16日，EOSBet重新上线，并且官方发布了关于黑客攻击的详细报告，承诺他们的合约已经修补了全部漏洞，目前是非常安全的。一个月后，黑客利用EOSBet合约在检验收款方时存在的漏洞，伪造转账通知，总计从“eosbetdice11”获利138319.7995EOS。其中72150个EOS流入了Bitfinex，65100个EOS流入了Poloniex。根据EOS当前的行情价格估算，EOSBet平台此次损失额超500万元。该公司报告称，他们正与这两家交易所谈收回资金的事情。4、小结EOS的智能合约发展相对ETH来说，还处于早期，频频发生的安全事件对这个新生儿来说是不可承受之痛。06结语

自媒体爆料：区块链公司整体转让价8万元，新设注册或已停批:自媒体“互联网金融新闻中心”援引一位中介称，“区块链字样的公司已经停止审批，注册不下来了！”该中介称，“注册区块链公司全套办完只需要10个工作日，不过快过年的时候已经暂停审批了。”目前，停止审批的说法暂未得到工商部门回应。上述中介称，一家企业名称中带有区块链字样的公司，转让价格为8万元。[2018/2/26]

今年9、10两个月的安全大事件，主要集中在EOS的智能合约漏洞和交易平台的漏洞，损失的金额非常高。在这些事件中，有很多是完全可以避免的，之所以频频发生安全事件，很大程度上是因为安全意识还太过于薄弱。安全事件的频发，加上行业的暴跌，不断打击着区块链参与者的信心，但不妨换个视角，放眼整个行业的发展来看。如果行业的参与者能够从这些巨额损失的安全事件中获得警醒，汲取过往的教训，更加注重安全方面的建设，相信这对于茁壮发展的区块链行业来说，才是真正有益的。

标签：EOS区块链AIFZAIFEOST币区块链技术发展现状和趋势AIF币ZAIF价格

Fil热门资讯