嚣张的黑客和正在消失的防护网 – 格时财经

文|雪姣

失序的区块链行业里,时刻隐藏着风险,黑客就是其一。

就像武侠里的江洋大盗,他们随时出没在存储着大量数字货币的区块链钱包、交易所、DApp?

里,伺机挖掘漏洞,窃取资产。

据Odaily星球日报粗略统计,近一个月内,区块链领域涉百万以上黑客攻击事件近?

5起。

另一面,多数项目拿这些黑客并没有办法。

尤其是币圈进入熊市大半年以来,不少公司都闹钱荒。

区块链安全防护系统因资金匮乏,防护能力正在变弱。

安全团队BYSECCOO刘泽坤告诉Odaily星球日报,其平台上注册有?

5000?

多名网络安全工程师,但在“生存第一”的熊市下,安全防护下降为弱需求。

目前愿意付费做安防的仅有?

10?

余家。

代码安全无法守护,共识安全也岌岌可危。

熊市中,一部分矿工由于入不敷出关机蛰伏,直接导致了PoW网络算力下跌,闲置算力成为“散兵游勇”,威胁着公链的安全。

矿工是共识安全的守护者,他们的缺位给了攻击者可趁之机,本月初ETC遭遇51%攻击即是一例。

这张本该严密的安全防护网,随着熊市的持续,一个个牵引的防护点正在消失。

频繁的攻击

去年12月27日发生的钱包钓鱼事件可能是近来最大的黑客攻击事件。

据Cointelegraph?

消息,当日有用户在社交媒体上爆料,有团体正在对加密货币钱包Electrum进行恶意攻击,并窃取了近250个BTC(约93。

7万美元)。

消息随后获得Electrum证实,据介绍,该攻击主要通过创建一个假版本的钱包,来骗取用户的密码信息。

2018年下半年,币圈进入了明显的熊市,不少项目开始减员收缩。

但黑客永不眠,那些汇集资金的地方永远是黑客的目标。

区块链安全平台?

DVP联合创始人邓焕也告诉Odaily星球日报,今年12月以来,越来越多的攻击者将目光投向了EOSDApp。

根据区块链安全网bcsec?

统计,12月份其搜索到区块链领域发生的攻击事件共有20余起,对行业造成损失约190万美元,其中90%受攻击的对象是EOS上的DApp。

1月16日凌晨03:47-03:55之间,DAppShield?

监测到,有黑客向EOS竞猜类游戏“影骰”发起连续攻击,获利超1万个EOS。

黑客采用的交易阻塞攻击手段。

一个月来,黑客已经凭借该手段发动了4次攻击。

12月18日晚间至19日凌晨,多个EOS头部DAPP则遭遇回滚交易攻击。

遭受攻击的几款游戏基本为EOS头部较活跃的竞猜类游戏:EOSMax、ToBet、BigGame?

和BetDice。

据PeckShield的数据,其中,BetDice?

一周日均活跃用户数超5000人,交易额也在5000万EOS以上。

与此同时,黑客利用重放攻击漏洞攻破另一款竞猜类游戏TRUSTBET。

这些集中攻击,让几款游戏共损失303404。

18EOS。

以EOS当时的单价18元来测算,黑客盗走的金额达?

546万元。

对于这次攻击,蒋旭宪曾向Odaily星球日报表示,这次攻击背后是同一个团伙或个人。

另外,ECAF追回盗取的EOS预计难度较大,目前已经牵涉到1808个账户,数量还在增长中。

邓焕分析指出,从早期针对以太坊的?

TheDAO,到最近的?

BCE、SMT代币等事件,以太坊生态已经经过了一场来自黑客的“血的洗礼“,生态环境逐渐趋于安全。

而DApp?

生态的第二翘楚EOS目前正处于蛮荒生长阶段,于是黑客开始将魔爪伸向这里。

嚣张的攻击者

对于黑客而言,攻击这种从别人口袋里掏钱的生意,只有钱难不难掏,没有钱多钱少的分别。

我们知道,交易所是币圈最大的聚宝盆,亦是黑客攻击的高发地。

即使在交易量大幅萎缩的境况下,交易所亦逃不过黑客的“摸排”。

贺凯(化名)是X交易所的市场负责人。

“尽管(我们交易所)在各个行情网站上排不上名,但被黑客‘打’却是家常便饭。



据他介绍,全球有约1。

5万家交易所,在业内稍微能说的出名字的,基本上三天两头就要来一次攻防战。

身处这个“聚宝盆”中,他已经见怪不怪。

但去年11?

月份的那次黑客寻衅事件,让贺凯哭笑不得。

那天中午,X?

交易所的客服像往常一样在微信群里和用户聊天。

突然有人加她,没有注明名字和事由,她通过了。

不料对方一上来就像查户口似的问:“哎,你是?

X交易所的吗?



“你们其他联系方式能给我一个吗?



对方看客服没反应补充了句,“我要‘打’你们了,怕到时联系不上你们。

这个(号)是你们的啰?



客服当时明白了,跟她聊天的这个人可能是个黑客。

常规的黑客攻击是先攻击再勒索,而且最好能攻其不备以降低成本。

待攻下后再联系被攻击方商谈“赎金”事宜。

但这个黑客似乎胜券在握,就等着攻击结束后的谈判了。

“真是活久见”,客服心想。

无奈,客服只得回复他:“你先打吧,打完再说。



作为区块链“白帽子”平台的调度人,邓焕没少见这类令人咋舌的攻击。

去年12月5日,币安发布了一个去中心化交易所DEX。

消息出来的第二天,DVP即观察到,社交软件中有个冒充DEX敛财钓鱼网站。

下图是该钓鱼网站的主页。