EOS:黑客年底扎堆「冲业绩」？区块链行业显现「白帽」不足_APP

原文标题：《嚣张的黑客，和正在消失的防护网...……》

失序的区块链行业里，时刻隐藏着风险，黑客就是其一。就像武侠里的江洋大盗，他们随时出没在存储着大量数字货币的区块链钱包、交易所、DApp里，伺机挖掘漏洞，窃取资产。

据粗略统计，近一个月内，区块链领域涉百万以上黑客攻击事件近5起。

另一面，多数项目拿这些黑客并没有办法。尤其是币圈进入熊市大半年以来，不少公司都闹钱荒。区块链安全防护系统因资金匮乏，防护能力正在变弱。

安全团队BYSECCOO刘泽坤告诉记者，其平台上注册有5000多名网络安全工程师，但在「生存第一」的熊市下，安全防护下降为弱需求。目前愿意付费做安防的仅有10余家。

代码安全无法守护，共识安全也岌岌可危。

熊市中，一部分矿工由于入不敷出关机蛰伏，直接导致了PoW网络算力下跌，闲置算力成为「散兵游勇」，威胁着公链的安全。

矿工是共识安全的守护者，他们的缺位给了攻击者可趁之机，本月初ETC遭遇51%攻击即是一例。

这张本该严密的安全防护网，随着熊市的持续，一个个牵引的防护点正在消失。

Gemini客户泄露数据9月份在黑客论坛上售价30BTC:金色财经报道，根据网络安全作者Ionut Ilascu的说法，早在2022年9月，来自Gemini客户信息泄露的数据就已经在黑客论坛上发布了出售广告，售价30BTC。

此前报道，加密货币交易所Gemini表示，“一些客户最近成为网络钓鱼活动的目标，我们认为这是第三方供应商事件的结果，这一事件导致收集了客户的电子邮件地址和部分电话号码。目前没有Gemini账户信息或系统受到此次第三方事件的影响，所有资金和客户账户都保持安全。” 此前一家与Gemini相关的第三方供应商似乎在12月13日左右遭受数据泄露，影响了570万个电子邮件地址和部分电话号码。[2022/12/18 21:51:47]

频繁的攻击

去年12月27日发生的钱包钓鱼事件可能是近来最大的黑客攻击事件。

据Cointelegraph消息，当日有用户在社交媒体上爆料，有团体正在对加密货币钱包Electrum进行恶意攻击，并窃取了近250个BTC。

消息随后获得Electrum证实，据介绍，该攻击主要通过创建一个假版本的钱包，来取用户的密码信息。

派盾：0xC994开头Nomad黑客地址已将约3785枚ETH转至中间地址并开始使用TornadoCash进行混币:8月2日消息，派盾监测显示，Nomad黑客地址之一0xC994...0cf599已将约1205枚ETH转移至中间地址0x7a98...dFa308，约2580枚ETH转移至中间地址0x8d5D...121124，并开始使用TornadoCash进行混币。[2022/8/2 2:52:57]

2018年下半年，币圈进入了明显的熊市，不少项目开始减员收缩。但黑客永不眠，那些汇集资金的地方永远是黑客的目标。

区块链安全平台DVP联合创始人邓焕也告诉记者，今年12月以来，越来越多的攻击者将目光投向了EOSDApp。

根据区块链安全网bcsec统计，12月份其搜索到区块链领域发生的攻击事件共有20余起，对行业造成损失约190万美元，其中90%受攻击的对象是EOS上的DApp。

1月16日凌晨03:47-03:55之间，DAppShield监测到，有黑客向EOS竞猜类游戏「影骰」发起连续攻击，获利超1万个EOS。黑客采用的交易阻塞攻击手段。一个月来，黑客已经凭借该手段发动了4次攻击。

推特被要求向美国参议院提供有关黑客事件的简报:美国参议院商务委员会主席Roger Wicker要求推特在7月23日之前向该委员会的工作人员介绍最近的比特币黑客事件。Wicker致信推特CEO称：“不难想象，未来的攻击将通过高知名度账号，特别是通过世界领导人的账号，来传播不实信息或制造不和谐”。（新浪财经）[2020/7/17]

12月18日晚间至19日凌晨，多个EOS头部DAPP则遭遇回滚交易攻击。

遭受攻击的几款游戏基本为EOS头部较活跃的竞猜类游戏：EOSMax、ToBet、BigGame和BetDice。据PeckShield的数据，其中，BetDice一周日均活跃用户数超5000人，交易额也在5000万EOS以上。

与此同时，黑客利用重放攻击漏洞攻破另一款竞猜类游戏TRUSTBET。

这些集中攻击，让几款游戏共损失303404.18EOS。以EOS当时的单价18元来测算，黑客盗走的金额达546万元。

对于这次攻击，蒋旭宪曾表示，这次攻击背后是同一个团伙或个人。另外，ECAF追回盗取的EOS预计难度较大，目前已经牵涉到1808个账户，数量还在增长中。

Vether遭黑客攻击，损失价值90万美元的VETH:Coingecko研究分析师Daryl Lau在推特上发文表示，本周三（7月1日）加密货币项目Vether（VETH）遭到攻击，Uniswap资金池耗尽919299 VETH，价值约合90万美元，而且整个攻击成本仅有0.9ETH，约合200美元。攻击事件发生后，VETH官方表示，该合约被其放置在transferForm（）中的UX改进所利用，这是我们的过错。我们将重新部署vether4，并将补偿所有受影响的Uniswap质押者。

此前报道，6月30日Balancer流动性池遭到闪电贷攻击已损失50万美元，据悉遭遇损失的为STA和STONK两个代币池，目前这两个代币池的流动性已枯竭。[2020/7/1]

邓焕分析指出，从早期针对以太坊的TheDAO，到最近的BCE、SMT代币等事件，以太坊生态已经经过了一场来自黑客的「血的洗礼」，生态环境逐渐趋于安全。而DApp生态的第二翘楚EOS目前正处于蛮荒生长阶段，于是黑客开始将魔爪伸向这里。

嚣张的攻击者

对于黑客而言，攻击这种从别人口袋里掏钱的生意，只有钱难不难掏，没有钱多钱少的分别。

我们知道，交易所是币圈最大的聚宝盆，亦是黑客攻击的高发地。即使在交易量大幅萎缩的境况下，交易所亦逃不过黑客的「摸排」。

动态 | 朝鲜黑客攻击韩国交易所UpBit的用户:据CoinDesk 5月31日消息，朝鲜黑客利用网络钓鱼手法攻击了韩国交易所UpBit的用户。根据安全公司East Security发布的数据，该黑客于5月28日发送网络钓鱼电子邮件进行网络攻击。该邮件的主题表明，UpBit需要更多信息来为客户的虚构抽奖支付。邮件不是来自UpBit的服务器，而是来自其他服务器。该电子邮件包含一个声称包含付款文档的文件。据East Security称，运行此文件显示的内容看起来像普通文档，但随后会运行恶意代码。然后，它会将有关用户计算机的数据以及私钥和登录信息发送给黑客，然后将计算机连接到命令和控制系统，以便进行远程访问。East Security认为，这次网络攻击来自朝鲜黑客组织Kim Soo-ki。[2019/5/31]

贺凯是X交易所的市场负责人。「尽管在各个行情网站上排不上名，但被黑客‘打’却是家常便饭。」

据他介绍，全球有约1.5万家交易所，在业内稍微能说的出名字的，基本上三天两头就要来一次攻防战。身处这个「聚宝盆」中，他已经见怪不怪。

但去年11月份的那次黑客寻衅事件，让贺凯哭笑不得。

那天中午，X交易所的客服像往常一样在微信群里和用户聊天。

突然有人加她，没有注明名字和事由，她通过了。

不料对方一上来就像查户口似的问：「哎，你是X交易所的吗？」

「你们其他联系方式能给我一个吗？」

对方看客服没反应补充了句，「我要「打」你们了，怕到时联系不上你们。这个是你们的啰？」

客服当时明白了，跟她聊天的这个人可能是个黑客。常规的黑客攻击是先攻击再勒索，而且最好能攻其不备以降低成本。待攻下后再联系被攻击方商谈「赎金」事宜。

但这个黑客似乎胜券在握，就等着攻击结束后的谈判了。

「真是活久见」，客服心想。无奈，客服只得回复他：「你先打吧，打完再说。」

作为区块链「白帽子」平台的调度人，邓焕没少见这类令人咋舌的攻击。

去年12月5日，币安发布了一个去中心化交易所DEX。消息出来的第二天，DVP即观察到，社交软件中有个冒充DEX敛财钓鱼网站。

下图是该钓鱼网站的主页。从UI上看简直可以以假乱真。

该网站放着币安此前发布的DEX的宣传视频。并配文虚构了一个活动，称为庆祝DEX的推出，特向全球粉丝赠送5000BTC作为回馈。参与活动的用户需要先验证地址，验证时需发送0.1-10个BTC到指定地址，而后将获得贡献BTC数的10倍BTC。

在转账页面，还伴有实时更新的奖池数量、该地址的转账交易记录以及参与用户的即时评价等，十分逼真。DVP当即发现有人转账，那些币随即被提走。

DVP向币安报告了该情报。但该钓鱼网站作为外部网站，币安也拿他没办法。

DVP还发现，这个第二天就能上线高仿网站的攻击者，之前还用同样的手段模仿过OKEX，可谓在失序的世界中无法无天。即使熊市如此之凉，它也能抓住热点稳赚一笔。

脆弱的「防护网」

在这些安全事件背后，是黑客不分牛熊的攻击和熊市中防护网缺失的矛盾。

有数据显示，目前全球有10000的区块链项目，区块链安全服务公司却只有不到50家。从红蓝对抗的角度讲，红队就要比蓝队弱得多。再遇熊市，恐会让这一状况更加恶劣。

当前，各个项目方、服务商在寒冬中缩小成本，其在安全上的需求也继续弱化。这形成了一个恶性循环，在安全上投入越低便越容易遭到攻击，造成的损失又将给项目方带来致命的灾难。

安全团队BYSEC的COO刘泽坤和记者讲了上个月发生的一个案例。一个以太坊上的菠菜类DApp遭遇黑客攻击，数万个ETH被盗，尽管其已做过基本的审计，但离相对安全仍然很远。

按理说，每个项目都应投入10%的钱来保障100%的资金的安全，但很多团队在缩减开支中跳过了这一步。

BYSEC团队是个「白帽子」平台，其上注册了5000余名「白帽子」，大多是传统安全业人员，在上面兼职挖漏洞领取赏金。

到了熊市，平台上仍在支付赏金的项目方仅有10余家，BYSEC团队只能提示平台上的「白帽子」尽量只在这些付费厂家中挖洞，不然可能要变成「杨白劳」。

其他的厂家，要么没有付费意愿，要么没有付费能力。

在BYSEC发现一些交易所的重大漏洞后，刘泽坤带着这些漏洞去联系交易所，希望安全服务能得到适当回报。

但对方给出的答复却经常是，「你们的这个服务的确很好，我们也很需要，但老实说我们的收入都没这么多，实在是付不起。」「活都活不下去了，还讲什么安全。就好像我都吃泡面了，你还跟我说泡面不健康。」

转型谋生存

进入安全行业的钱变少了。一面没了新的客户、新的投入，一面是存量客户已被瓜分殆尽。

安全团队处境维艰。

慢雾安全团队在此前的采访时表示，蓬勃发展后，会进入类似红海的阶段，需要大家进行差异化竞争。比如现在经常有客户问我们：你们和别人有什么不一样？

大家需要进行差异化竞争才能活下来，BYSEC也认同这个观点，并且正在考虑转型。刘泽坤透露，团队打算利用在安全行业的积累做一款数字货币的支付网关SAAS，面向数字货币的商家和C端用户。

从服务对象和应用场景看，这似乎已和安全行业脱钩了。但行业没有生意，像BYSEC这样的平台并没有什么好的办法。

唯一值得欣慰的或许是，以技术见长的白帽子，如果要回到互联网或是在其他领域做安全，转换的成本不算太高。

本文来源于非小号媒体平台：

Odaily星球日报

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627120.html

区块链

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

下一篇：

BHB到底是什么「暗黑」项目？又为何让30000人趋之若鹜？

标签：EOS区块链SECAPP柚子币eos最新真实消息区块链dapp开发教程YSECAPPC币

莱特币价格热门资讯