零时科技 serurity
2020-02-27 249浏览
- 1.https://www.noneage.com
- 2.区块链安全的⾄至暗时刻 邓永凯@零时科技
- 3.1 区块链安全现状
- 4.区块链安全事件趋势图 138 140 105 70 35 3 4 3 0 2011 2012 2013 9 6 8 2014 2015 2016 15 2017 2018
- 5.区块链安全经济损失图 300000 263,812 225000 150000 75000 63,428 46,568 102 0 2011 653 2012 5,650 680 2013 2014 2015 17,323 2016 2017 2018
- 6.智能合约安全 交易易平台安全 ⽤用户⾃自身安全 共识机制安全 区块链安全攻击⾯面
- 7.交易易平台重⼤大安全事件 2015年年 Bitstamp 2017年年 Youbite • 2015年年1⽉月,全球知名数字货币交易易平台 • 2017年年12⽉月,韩国数字货币交易易平台Youbite遭 Bitstamp,系统管理理员被APT钓⻥鱼攻击,诱导 ⿊黑客攻击,约损失4000万美⾦金金,相当于其平台 其执⾏行行恶意⽂文件,导致损失约500万美⾦金金 总资产的17% 2014年年 Mt.Gox • 2014年年2⽉月,曾经世界第⼀一的⽇日本交易易所 2016年年 Bitfinex • 2016年年8⽉月,全球最⼤大美元BTC交易易所Bitfinex 2018 Coincheck • 2018年年1⽉月,⽇日本最⼤大的数字货币交易易平台之 Mt.Gox被攻击,损失约3.6亿美⾦金金,导致其最终 因⽹网站存在漏漏洞洞遭⿊黑客攻击,约12万BTC被 ⼀一Coincheck,由于平台系统漏漏洞洞遭⿊黑客攻击, 被迫宣布破产 盗,损失达7500万美⾦金金 损失约5.3亿美⾦金金
- 8.⼀一⾏行行代码损失数亿 2016 The DAO • 2016年年6⽉月,运⾏行行在以太坊上的The DAO智能合约,由于合约 中的重⼊入漏漏洞洞,遭受⿊黑客攻击,导致损失约6000万美⾦金金 Msg.sender.call.value() 2017 Parity • 2017年年7⽉月,Parity的多重签名钱包智能合约被,由于合约可⻅见 Function initMultiowned() 性设置错误,导致权限验证缺陷,导致损失约3000万美⾦金金 2018 BEC • 2018年年4⽉月,BeautyChain的代币BEC,由于整数溢出漏漏洞洞,导 Uint256 amout=uint256(cnt) * _value 致⿊黑客攻击,导致凭空蒸发10亿美⾦金金,价值⼏几乎归零 2018 SMT • 2018年年4⽉月,SmartMesh的代币SMT,由于整数溢出漏漏洞洞,导 致⿊黑客攻击,导致损失约1.4亿美⾦金金 Balances[_from] -= _value + _feeSMT
- 9.EOS dApp漏漏洞洞泛滥 ⾃自2018年年6⽉月EOS主⽹网上线不不久,DApp交易易额迅速超过 ETH, EOS上线⾄至今DApp交易易额近200亿流⽔水。 BetDice 据区块链安全情报分析,EOS DAPP平均每周被爆1.5 ⾃自2018年年12⽉月19⽇日,多个EOS dApp遭受交易易 会滚攻击,进BetDice损失20余万EOS 起⿊黑客攻击。据IMEOS平台统计,截⽌止2018年年12⽉月 EOS DAPP共遭受攻击30多起。 EOSBank ⾃自2018年年10⽉月5⽇日,EOSBank合约由于owner权限 被改,导致⿊黑客攻击,损失18000个EOS EOSBet ⾃自2018年年8⽉月26⽇日起,EOSBet由于验证错误、 假通知漏漏洞洞⼀一共遭受3次攻击,44427个EOS 狼⼈人杀游戏 2018年年7⽉月25⽇日,EOS Fomo3D 游戏合约遭 受溢出攻击,损失68686个EOS
- 10.共识机制安全 钱包安全 ⽤用户⾃自身安全 链安全
- 11.2 平台安全
- 12.区块链⽣生态基础设施安全 SQL注⼊入攻击 命令执⾏行行 XSS CSRF SSRF ⽂文件上传 逻辑漏漏洞洞 DDos DNS劫持 信息泄露露 钓⻥鱼攻击 APP终端安全 第三⽅方组件安全 越权操作 弱⼝口令 0 20 40 60 80
- 13.信息泄露露
- 14.• git信息泄露露 • svn信息泄露露 • 备份⽂文件 • memcache缓存 • DNS域传送 • 互联⽹网数据泄露露 • 客户端硬编码
- 15.• git信息泄露露 • svn信息泄露露 • 备份⽂文件 • memcache缓存http://hybrid.'>http://hybrid.
