數(shù)字貨幣及加密領(lǐng)域黑客攻擊事件分析

王英哲

2020年7月2日，MongoDB遭受攻擊，約22 900個數(shù)據(jù)庫被清空，攻擊者要求以BTC作為贖金贖回被清空數(shù)據(jù)庫的備份。

7月11日，Cashaa交易所發(fā)生交易異常，攻擊者通過控制受害者電腦，操作受害者在Blockchain.info上的比特幣錢包，向攻擊者賬戶轉(zhuǎn)移約合9 800美元的BTC。

7月15日，Twitter遭受社會工程攻擊，員工管理賬號被盜，造成多個組織和個人的Twitter上發(fā)布欺詐信息，誘使受害者向攻擊者比特幣賬戶轉(zhuǎn)賬。

7月22日，約克大學(xué)信息被盜取，攻擊者要求約合114萬美金的BTC作為贖金。

7月23日，英國足球聯(lián)盟信息被盜取，攻擊者要求BTC作為贖金。

7月25日，西班牙鐵路基礎(chǔ)建設(shè)管理局約800 Gb信息被盜，攻擊者要求BTC作為贖金。

7月30日，佳能遭受到黑客攻擊，約10 Tb照片和其他類型數(shù)據(jù)被盜，用戶要求以數(shù)字貨幣作為贖金。

7月31日，數(shù)字貨幣交易所2gether遭受黑客攻擊，約139萬美金的BTC被盜。

1.黑客勒索攻擊

傳統(tǒng)的勒索軟件攻擊以及通過系統(tǒng)漏洞遠(yuǎn)程控制受害者系統(tǒng)的攻擊，是7月至今發(fā)生的黑客勒索攻擊事件中主要攻擊方式。此類攻擊行為，攻擊者不需要了解熟悉區(qū)塊鏈的知識和技術(shù)細(xì)節(jié)就可以完成攻擊，尤其是Twitter攻擊（利用了社會工程的方法），其攻擊者是3名青少年，最大年齡僅有22歲，這起事件是7月的安全事件中較典型的一例，產(chǎn)生的影響范圍極廣。

2.代碼漏洞攻擊

對于代碼漏洞攻擊相關(guān)事件，攻擊者必須要理解區(qū)塊鏈，51 %的攻擊能夠找到可以利用的條件（租用龐大的算力）來完成攻擊，并且需要對智能合約的技術(shù)有深刻的了解，找到其中的邏輯漏洞并加以利用。

2020年8月4日，DeFi項目Opyn被攻擊者通過代碼漏洞，獲得數(shù)目等于存入數(shù)目2倍的代幣，最終造成了約37萬美金的損失。

因勒索攻擊門檻低，攻擊方式大同小異，因此可供分析程度有限，8月代碼漏洞攻擊事件發(fā)生于DeFi項目Opyn中，攻擊產(chǎn)生的原因是Opyn在智能合約oToken中的exercise函數(shù)出現(xiàn)漏洞。攻擊者在向智能合約發(fā)送某一數(shù)量的ETH時，智能合約僅檢查了ETH的數(shù)量是否與完成該次期貨買賣需要的數(shù)量一致，并沒有動態(tài)地檢查攻擊者發(fā)送的ETH數(shù)量是否在每一次交易之后，仍然等于完成該次期貨買賣所需要的數(shù)量。

也就是說，攻擊者可以用一筆ETH進行抵押，并贖回再次交易，最終獲得自身發(fā)送數(shù)量2倍的ETH。

CertiK安全研究團隊認(rèn)為，Opyn沒有對其更新完成后的智能合約再次進行嚴(yán)謹(jǐn)?shù)陌踩珜徲嬺炞C就直接進行部署運行，從而造成了智能合約中的程序代碼漏洞沒有被及時發(fā)現(xiàn)，是此次事件發(fā)生的主要原因。

在此建議：做好區(qū)塊鏈項目運行的硬件以及平臺軟件的安全漏洞篩查，在日常工作中關(guān)注培養(yǎng)員工對于黑客攻擊常見手段的認(rèn)識和防御意識。

做好對區(qū)塊鏈運營中可能出現(xiàn)的某方占有超過全區(qū)塊鏈一半總算力的“支配”情況，對于特定區(qū)塊鏈項目中的防護，可以考慮采用提高交易確認(rèn)必須次數(shù)或者優(yōu)化共識算法。

做好對區(qū)塊鏈項目中鏈代碼和智能合約代碼的驗證審計工作，邀請多個獨立的外部安全審計服務(wù)來審計代碼，并在每次更新代碼后進行重新審計。