【区块链安全周报】2018年前九月加密盗窃暴增250%

10月10日，北京链安讯，加密货币项目SpankChain团队周二发布公告称，10月6日18:00左右遭受到黑客攻击，损失了165.38 ETH(约合3.8万美元)，另有价值4000美元的BOOTY币遭冻结。在被盗的ETH和被冻结的BOOTY当中，有34.99 ETH（约合8000美元）及1271.88 个BOOTY，共计9300美元系属于用户，其余部分属于SpankChain。而这一攻击事件历经24小时后，直到周日19:00左右才被发现。

据了解，此次攻击或通过智能合约漏洞进行。该攻击方式与2016年的DAO重大黑客攻击事件中的重入攻击如出一辙，黑客创建了一个伪装成ERC20令牌的恶意合约，该恶意合约会不断重新调用支付渠道合同转账，直至循环结束，每次都将耗尽一些ETH。

10月11日，北京链安引述路透社报道，美国网络安全公司CiferTrace周三发布的加密反洗钱（AML）报告当中称，在2018年前9个月，黑客入侵交易所和交易平台所窃取的加密货币价值飙升至9.27亿美元，与2017年的2.66亿美元相比，高出近250%。而一些从2000万到6000万美元不等的小额盗窃，在2018年第三季度，总价值达到了1.73亿美元。据CipherTrace首席执行官Jevans透露，犯罪交易的真实数据可能比报告中成功追踪的数字高出50%。

10月12日，北京链安综合报道，Palo Alto研究小组Unit42在周四发布的网络威胁报告中披露，研究人员发现一款隐藏的加密劫持恶意软件，藏在弹出的虚假AdobeFlash更新背后。安全研究专家认为，上述恶意软件的危害非常之大，因为它的开发者复制了官方正版Adobe Flash更新升级安装的弹框通知，用户下载后的确能够升级为最新版的Adobe Flash，因而并不会发现任何异常，从而在不知不觉中安装一个“XMRig加密货币矿机”，这个样本将连接到http://xmr-eu1.nanopool.org的一个矿池，在用户不知情的情况下，使用几乎全部的计算机CPU来盗挖门罗币（XMR），给受影响的用户造成严重的时间、系统性能和功耗损失，使受害者计算机的处理器速度变慢，甚至损坏硬盘驱动器或提取机密数据并将其传输到其他数字平台。

（作者：链安区块链安全，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）