安全解读 | 11月区块链安全盘点及分析

在9月和10月，黑客的攻击主要集中在EOS和交易所。而在11月的安全事件中，这两类攻击暂时消停，但2个月未见的51％攻击却再现江湖；钢铁侠马斯克“被”卷入了Twitter诈骗案；另外，我们还发现了潜在的代码共享的漏洞危机。

2018年11月13日：Twitter诈骗

损失规模：32,700美元（BTC）

事件经过及安全分析

11月12日，黑客入侵了电影制作公司、国会议员甚至是哥伦比亚交通部等经过认证的“蓝 V”推特账号，通过修改名字、头像并上传新内容，假装是特斯拉CEO马斯克本人。

黑客在推文中以马斯克的口吻称，自己将离任特斯拉董事长职务，并送出 10000 枚比特币(近6000多万美元)回报大家。

而参与活动的前提，则是需要先转小额比特币(0.1-3个)到制定的地址来确认账户信息（这和国内电信移动诈骗很相似，先给钱再有礼品）。

他们甚至找了托给推文评论：“我刚转了 2.7 个比特币，现在收到了 54 个!”、“我发了0.50比特币并拿回了5个”、“+25 BTC，谢谢你”

在推文删除之前，点赞和转发都已上万，钱包地址则已经收到超过32,700美元价值的比特币（按照当时比特币价格）。

在同一天，Google G Suit（超过80万粉丝）也发出了类似的消息，要求用户在0.1到2之间发送BTC，并承诺能获得10倍的BTC回报，幸运的是，没有人将BTC发送到那个地址。

安全小豹的想法：

这种方式并不能成为一种攻击手段，我更愿意把它称之为骗局，黑客充分利用和放大了人性的贪婪，浮躁和急功近利的丑陋真相在这种简单的诱惑面前展现的一览无遗。

上个月是美国的安全月，我认为每个入行区块链的人都应该好好的学习一下基本的网络诈骗知识。但更重要的事，是在浮躁的币圈里保持清醒的头脑，不要再诱惑面前失去基本的智商。

2018年11月13日：AurumCoin遭受51％攻击

事件背景：

AurumCoin是以黄金为价值支撑的加密货币，每个代币都与纯24K价值的黄金挂钩。AurumCoin声称，每发行一个代币，就会在全球安全保险库中存0.75克的黄金。

自2014年以来，它一直在运行自己的区块链，其中AU是可开采的（尽管它有所谓的黄金挂钩），硬币上限为300,000。

损失规模：550,000美元

事件经过及安全分析

11月13日，AurumCoin（AU）在新西兰数字货币交易所Cryptopia遭到51％攻击，损失的15752.26 AU

AurumCoin官方发推表示：“我们并非责怪cryptopia，但是事实是，币确实是在cryptopia的钱包里丢的。”

AurumCoin的态度是，坚持认为Cryptopia交易所被黑导致自己遭受51%攻击。

然而，笔者认为可能性不大。AurumCoin是一个拥有少量矿工的公链，因此平均哈希率较低，租用矿机并执行51％的攻击是很容易的。

安全小豹的看法：

使用POW共识算法的公链，如果参与挖矿的算力不足，遭到51％的攻击的风险非常大的。

在整体市场低迷的行情下，甚至有人坦言，曾经租用矿机执行过51%攻击。

所以，在此提醒广大用户，在选择和使用这类加密货币时，应该意识到这些风险。

各家公链51%攻击的成本（来自crypto51）

2018年10月29日——MapleChange交易所被盗

事件背景

MapleChange是加拿大交易量非常小的交易所。

损失规模：600万美元（比特币）

事件经过及安全分析

10月29日，媒体宣称，MapleChange被黑客攻击，致使919个比特币（价值600万）被盗。

10月30日以来，MapleChange关闭社交媒体账户和平台，导致用户没有办法提币

接着，MapleChange创始人也失去下落，但是后来，社区成员找到了CEO的家庭地址，并把他送入监狱。

此后MapleChange交易所官方表示，并没有919个比特币被盗，被盗的比特币只有8个而已。

知情人士称，此次攻击是由于开发人员将关键代码行被注释掉引发的

安全小豹的看法：

虽然规模较大的数字货币交易所也有被攻击的风险，但是相对于小规模的交易来说，还是比较安全的。

道理也很简单，只有当交易所有足够大的交易量，才能收到足够多的手续费，有了足够多的手续费，才有可能在安全建设和防护上投入更多。

希望大家在进行交易所时，尽量选择规模较大的头部交易所交易，不要因为贪图小型交易所的小恩小惠，而造成不必要的损失。

2018年10月29日——Oyster Protocol

Oyster协议是IOTA DLT之上的数据存储解决方案，在以太坊区块链ERC20的token为：Oyster（PRL）。

损失规模：$ 30万美元（ PRL Token）

事件经过及安全分析

10月29日下午，有关Oyster Pearl（PRL）token的大量转账和大规模抛售的报道在社交媒体渠道中发酵。

原来，在不到8小时的时间里，PRL交易量从156,351美元飙升至1,577,860美元 —— 涨幅超过900％。

但是在同一时间，PRL的价格却下跌超过63％ ——从0.22美元降至0.08美元。

Oyster官员发布声明称，Oyster智能合约已经通过了3次不同的审核，没有发现任何漏洞

但在第二次声明中，他们却说，“某人”接管了合约的所有权，并成功地铸造了新的300万PRL代币

经证实，这个“某人”实际上是Oyster项目的前联合创始人和架构师

Oyster首席执行官表示：这简直太糟糕了，项目创始团队从最初招聘，到后来让每个人都参与其中，都从没怀疑他们会破坏自己一手创造的项目。

安全小豹的看法：

俗话说的好，“日防夜防，家贼难防”，对代码最熟悉的人莫过于开发人员，反过来就是最容易攻击。小豹认为，区块链项目的创始人在招募早期的核心骨干时，应该在自己最信任的名单开始，而不是通过社会招聘或朋友介绍等渠道。同样，在招募员工时，应该把道德品质考虑进去。

2018年10月31日——以太坊的潜在威胁

背景

10月31日，马里兰大学和东北大学的分析师发布报告称，由于ETH的智能合约缺乏多样性，以太坊的整个生态系统将存在很大的风险。

安全分析

10月31日，马里兰大学和东北大学的分析师发布对以太坊的代码分析报告，并得到了美国国家科学基金会的支持。

研究分析了以ETH的前500万个区块（现在有超过680万块）的智能合约的字节码。

研究发现，目前，以太坊智能合约是其他公链合约总和的三倍（而非用户）。

但是，超过60%的智能合约从未与用户有过互动，只有不到10％的的智能合约是独一无二的。

安全小豹的看法：

小豹认为，“开源”是一把双刃剑，它是区块链蓬勃发展的助推剂、降低了行业的准入门槛，但不得不说，它也或多或少的阻碍了创新。

小豹建议广大的区块链项目，在组建技术团队时，一定要配置至少一位安全专家，可以避免很多未来的风险。

（作者：猎豹区块链安全，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）