EOS:安全月报 | 10月共发生安全事件10起，DeFi借贷平台成黑客新选择

据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共发生10起较为突出的安全事件，危害程度评级为「中级」，受损金额数千万元，涉及数字钱包3起、DApp2起、智能合约1起以及资金盘跑路、钓鱼等等。

数字钱包

10月份共发生3起钱包安全事件，其中包含2起钱包私钥被盗。

1）上海某投资机构冷钱包私钥被盗，造成的损失达数千万元；

2）去中心化托管平台Payfair官方发布声明称，由于黑客攻击，平台冷钱包的私钥被破解；

3）网页版加密货币钱包Safuwallet遭到黑客攻击，黑客通过注入恶意代码窃取了大量资金。

PeckShield点评：数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。

安全团队：O2项目代币价格下跌超91%:金色财经消息，据CertiK监测，O2（$O2）项目代币价格下跌91%以上。BSC地址：0x0431d5d211053f6edc18ec983f84403b04ab02ac。[2022/9/26 7:21:03]

DApp?生态

10月份共发生2起DApp安全事件，都发生在EOS生态内。

EOS游戏BitDice遭受假EOS攻击，损失4千EOS；SKReos游戏遭受交易memo攻击，损失6千EOS。其中SKReos之前已被多次报道遭受交易阻塞和随机数攻击。

具体来说，假EOS攻击是被攻击合约在接收到玩家投入的EOS时，没有验证是官方eosio.token合约签发的，玩家可以自己创建同名为EOS的代币，进而触发被攻击合约的transfer函数，获得真正的EOS回报。而交易memo攻击是指黑客通过精心构造投注交易的memo，导致游戏方服务器解析异常，从而持续中奖或异常大额退款。

DeFi轻游平台CryptoTycoon已通过Chainsguard的安全审计:据官方消息，DeFi轻游CryptoTycoon的代币协议CTT，现已通过Chainsguard（北京链安）的安全审计，审计项包括协议安全性评估、业务逻辑审查等，确认了CTT在Binance Smart Chain（BSC）链上转账时，会有5%的CTT代币被永久燃烧。

CryptoTycoon是一款基于 BSC 打造的大富翁游戏，玩家可以在游戏中花费 BNB、BUSD、USDT 等 BSC 链上的代币，来获得参与机会，并在格子上建立不同类型的房屋，来参与游戏挖矿。[2021/4/23 20:50:58]

PeckShield点评：以上两款EOS游戏遭受的攻击都是比较常见的，DApp开发者应在合约上线前做好安全测试，防御已知的攻击方式，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。

火币日本站CEO陈海腾：资产安全是用户投资加密货币的重中之重:9月25日，日本经济新闻对火币日本站CEO陈海腾出席的全球区块链治理峰会BG2C FIN/SUM BB进行了专题报道，陈海腾在报道中表示：“在日本，火币日本站以数字货币交易所不可或缺的托管业务为核心业务，同时运营数字资产交易和平台币HT（Huobi token）业务。 对于用户来说，资产安全是用户投资加密货币的重中之重，火币日本站一直把保护用户资产的安全性放在首位。

未来五到十年内，火币日本站还将在包括STO业务在内的领域内与当地企业进行广泛的技术合作，确保为平台用户提供更加安全的资产类别和投资方式。”[2020/9/25]

智能合约

10月份共发生1起智能合约安全事件，相关漏洞导致其成为第一个进行硬分叉的区块链游戏。

声音 | Roger Ver：加密钱包应像iPhone一样简单安全:据Ambcrypto报道，比特币耶稣 Roger Ver在韩国区块链周期间接受采访时表示，加密钱包是数字货币生态系统中最普遍存在的部分。因此，它应该是友好的，每个人都可以轻松使用，应该像iPhone一样简单安全。[2018/8/1]

10月14日，CheezeWizards在以太坊主网上线。不到24小时内，玩家@samczsun向官方反映，游戏合约存在一个严重的漏洞，使用该漏洞可以让玩家处于不败之地。随后CheezeWizards决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约，同时弥补了用户遭受的损失。

如下图，这一漏洞主要发生在智能合约的resolveTimedOutDuel(uint256,uint256)方法中。

微信团队称今日起个人账号和公众号将配合微信安全中心打击行动:微信团队称，今日起微信个人账号和微信公众平台将配合微信安全中心的打击行动，针对发布、展示、传播相关、骚扰等违法违规信息的微信个人账号和公众号进行处理。公告中所称“非固定收益类投资产品”指包括但不限于股票、期权、期货、外汇、大宗商品、电子货币等本金或收益存在不确定性的投资产品。目前已有120多个微信群被限制群功能，1100多个微信账号被限制功能使用或登录等阶梯式处罚。[2018/1/5]

作为一款格斗游戏，CheezeWizards允许玩家发起一个“单边揭示“的交易，当一位玩家已经揭示了招式，另一位玩家一直不揭示招式直到时间截止(90分钟)时，正常玩家可以调用resolveTimedOutDuel()方法，以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。

玩家正常调用和恶意调用的例子如下。

正常调用：resolveTimedOutDuel(WIZARD-A，WIZARD-B)

恶意调用：resolveTimedOutDuel(WIZARD-A，WIZARD-A)

由于合约开发者默认为传入的两个wizardid不同，所以没有进行相关效验，而该方法是公开的，任何玩家都可以设置wizardid，一个怀有恶意的玩家，通过传入相同的wizardid以此来冻结诚实玩家的能量。

修复此漏洞的方法很简单，只需要在方法体内加上如下判断。

PeckShield点评：智能合约开发者在实现相关方法时，要特别注意公开接口的相关参数，应考虑各种异常情况，做好防御限制。

跑路事件

10月份，经媒体报道多起资金盘项目涉及和，例如被立案调查的趣步，暂停维护的ICC等。

PeckShield旗下的CoinHolmes推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。

其中CoinHolmes监测到Cryptopia部分被盗资产流入了Uniswap去中心化交易所和知名DeFi项目Compound。资产流向示意图如下：

鉴于资金盘跑路事件频发，CoinHolmes为广大用户提供了爆料入口，用户可以通过提交关联链上地址，实时查询数字资产流向情况。

PeckShield点评：除了传统中心化交易所，黑客也在不断寻求新的方式，例如此次黑客转移资金至Compound，主要目的是利用DeFi借贷平台进行混淆资金，同时不排除“理财生息”的可能。除DEX之外，当前有着较好流通性的DeFi借贷平台也成了黑客的新选择。

钓鱼攻击等其他类安全事件

除上述之外，10月份还有一些安全事件同样值得警惕：

1）Telegram搬砖套利局八天内金额高达750枚ETH；

2）MEET.ONE提醒EOS用户警惕DApp钓鱼。

PeckShield点评：因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、搬砖套利等各类事件就是典型。在此提醒，参与数字资产投资的用户应谨慎保管各类私密信息，任何小的疏忽都可能造成不可挽回的损失。

标签：EOSWIZARDWIZSHIEOS VenezuelaWizards价格Wizards价格Pixel Shiba Inu

SOL热门资讯