事件一、黑客勒索攻击传统的勒索软件攻击和通过系统漏洞远程控制受害者系统的攻击是7月以来黑客勒索攻击的主要攻击方式事件中的方法。对于这类攻击,攻击者不需要知道区块链的知识和技术细节就可以完成攻击,尤其是twitter攻击(使用社会工程学的方法),攻击者是三个青少年,其中年龄最大的是年仅22岁,这起事件是7月份以来安全事件中的典型案例,影响范围非常广泛。①7月2日,MongoDB遭到攻击,约22900个数据库被清空。攻击者索要比特币作为赎金,以赎回清空数据库的备份。②7月11日,Cashaa交易所出现交易异常。攻击者控制了受害者的电脑,在Blockchain.info上操作受害者的比特币钱包,将约9800美元的BTC转入攻击者的账户。③7月15日,推特遭受社会工程攻击,员工管理账户被盗,导致多个组织和个人在推特上发布欺诈信息,引诱受害者向攻击者的比特币账户转账。④7月22日,约克大学信息被盗,攻击者索要约114万美元的BTC作为赎金。⑤7月23日,英国足球联赛信息被盗,攻击者索要BTC作为赎金。⑥7月25日,西班牙铁路基础设施管理局约800GB信息被盗,攻击者索要BTC作为赎金。⑦7月30日,佳能遭到黑客攻击,约10TB照片等各类数据被盗。用户要求数字货币作为赎金。⑧7月31日,数字货币交易所2gether遭到黑客攻击,约139万美元的BTC被盗。2.代码漏洞攻击对于代码漏洞攻击相关的事件,攻击者必须了解区块链51%攻击并能够找到可以利用的条件(租用巨大的算力)来完成攻击,并且需要具备以下知识:智能合约技术。深刻理解,找到逻辑漏洞并加以利用。⑨8月4日,DeFi项目Opyn通过代码漏洞被攻击,获得相当于充值金额两倍的代币,最终造成约37万美元的损失。攻击类型及危害攻击类型及危险程序:勒索软件攻击——攻击方式和媒介如下:代码漏洞攻击——攻击方式和媒介如下:由于勒索攻击门槛低,攻击方式相似,所以分析的程度有限,下面将详细分析8月份的两次代码漏洞攻击(9号和10号)。9号代码漏洞攻击事件分析该事件发生在DeFi项目Opyn中。此次攻击是由于Opyn在智能合约oToken中的exercise函数存在漏洞引起的。当攻击者向智能合约发送一定数量的ETH时,智能合约只检查发送的ETH数量是否与完成期货交易所需的数量一致,不会动态检查攻击者发送的ETH数量是否一致在一次交易之后,它仍然等于完成期货交易所需的数量。也就是说,攻击者可以用一个ETH抵押,再赎回两笔交易,最终得到自己发送的两倍数量的ETH。CertiK安全研究团队认为,Opyn没有再次进行严格的安全审计验证,而是直接部署运行更新后的智能合约,导致其智能合约中的程序代码漏洞没有被及时发现。主要原因。综上所述,建议如下:做好运行区块链项目的硬件和平台软件的安全漏洞排查工作,在日常工作中注意培养员工对黑客攻击常用手段的意识和防御意识。.做好区块链运行中可能占据整个区块链一半以上总算力的一方的“支配”。针对特定区块链项目中的保护,可以考虑增加交易确认次数或优化共识算法。.做好区块链项目中链码和智能合约代码的验证审计工作,邀请多个独立的外部安全审计服务对代码进行审计,每次代码更新后重新审计。
