EOS:安全月报 | 10月共发生安全事件10起，DeFi借贷平台成黑客新选择_WIZ

据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共发生10起较为突出的安全事件，危害程度评级为「中级」，受损金额数千万元，涉及数字钱包3起、DApp2起、智能合约1起以及资金盘跑路、钓鱼等等。

数字钱包

10月份共发生3起钱包安全事件，其中包含2起钱包私钥被盗。

1）上海某投资机构冷钱包私钥被盗，造成的损失达数千万元；

2）去中心化托管平台Payfair官方发布声明称，由于黑客攻击，平台冷钱包的私钥被破解；

3）网页版加密货币钱包Safuwallet遭到黑客攻击，黑客通过注入恶意代码窃取了大量资金。

PeckShield点评：数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。

BitMEX运营商100x Group获ISO信息安全认证:数字货币衍生品交易平台BitMEX运营商100x Group获国际标准化组织 (ISO) 信息安全认证。（NewsWire）[2021/6/7 23:17:27]

DApp?生态

10月份共发生2起DApp安全事件，都发生在EOS生态内。

EOS游戏BitDice遭受假EOS攻击，损失4千EOS；SKReos游戏遭受交易memo攻击，损失6千EOS。其中SKReos之前已被多次报道遭受交易阻塞和随机数攻击。

具体来说，假EOS攻击是被攻击合约在接收到玩家投入的EOS时，没有验证是官方eosio.token合约签发的，玩家可以自己创建同名为EOS的代币，进而触发被攻击合约的transfer函数，获得真正的EOS回报。而交易memo攻击是指黑客通过精心构造投注交易的memo，导致游戏方服务器解析异常，从而持续中奖或异常大额退款。

HubDAO已通过美国安全团队CertiK智能合约安全审计:据官方消息，美国安全团队Certik已完成对韩国 DAO项目 HubDAO 智能合约的审计，依报告所述：HubDAO项目代码库严格遵守OpenZeppelin开源库所规定的标准和接口，可以认为是高安全性和高质量的智能合约。

HubDAO 是来自韩国的 DAO 组织，旨在打破DeFi借贷市场存在的信息割裂和利率孤岛，聚合全网借贷的流动性，并采用渐进式地方式去实现 DAO 的治理与组织方式。[2020/9/23]

PeckShield点评：以上两款EOS游戏遭受的攻击都是比较常见的，DApp开发者应在合约上线前做好安全测试，防御已知的攻击方式，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。

安徽省将加强数据安全管理，积极探索区块链等新技术应用:安徽省省长李国英主持召开省政府第93次常务会议。会议强调，政务数据归集共享是打造“皖事通办”平台的基础性工作，是加快“数字江淮”建设的重要举措。要深入推进“互联网+政务服务”，统筹规划政务数据管理，完整及时归集数据，规范有序共享数据，努力实现网络通、数据通、业务通。要加强数据安全管理，积极探索区块链等新技术应用，确保数据采集、归集、使用全过程安全。（安徽日报）[2020/3/25]

智能合约

10月份共发生1起智能合约安全事件，相关漏洞导致其成为第一个进行硬分叉的区块链游戏。

10月14日，CheezeWizards在以太坊主网上线。不到24小时内，玩家@samczsun向官方反映，游戏合约存在一个严重的漏洞，使用该漏洞可以让玩家处于不败之地。随后CheezeWizards决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约，同时弥补了用户遭受的损失。

声音 | Brendan Blumer：慕尼黑安全会议上许多政府表示正在积极研究应用区块链:据 IMEOS 报道，Block.one CEO Brendan Blumer 正在参加慕尼黑安全会议 MSC2019，他在推特透露：

“我在 MSC2019 上与之交谈过的每一位政府（参与者）都在积极研究如何利用区块链;其中一些（政府）已经开始实施。随着他们学习的深入，他们意识到机会和注比最初想象的要大得多。”[2019/2/16]

如下图，这一漏洞主要发生在智能合约的resolveTimedOutDuel(uint256,uint256)方法中。

动态 | 打造区块链应用安全环境 掌御科技获数百万投资:9月14日消息，上海掌御科技近日宣布获得数百万种子轮投资，融资完成后，将用于打造面向B端和C端用户的区块链应用安全环境。[2018/9/14]

作为一款格斗游戏，CheezeWizards允许玩家发起一个“单边揭示“的交易，当一位玩家已经揭示了招式，另一位玩家一直不揭示招式直到时间截止(90分钟)时，正常玩家可以调用resolveTimedOutDuel()方法，以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。

玩家正常调用和恶意调用的例子如下。

正常调用：resolveTimedOutDuel(WIZARD-A，WIZARD-B)

恶意调用：resolveTimedOutDuel(WIZARD-A，WIZARD-A)

由于合约开发者默认为传入的两个wizardid不同，所以没有进行相关效验，而该方法是公开的，任何玩家都可以设置wizardid，一个怀有恶意的玩家，通过传入相同的wizardid以此来冻结诚实玩家的能量。

修复此漏洞的方法很简单，只需要在方法体内加上如下判断。

PeckShield点评：智能合约开发者在实现相关方法时，要特别注意公开接口的相关参数，应考虑各种异常情况，做好防御限制。

跑路事件

10月份，经媒体报道多起资金盘项目涉及和，例如被立案调查的趣步，暂停维护的ICC等。

PeckShield旗下的CoinHolmes推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。

其中CoinHolmes监测到Cryptopia部分被盗资产流入了Uniswap去中心化交易所和知名DeFi项目Compound。资产流向示意图如下：

鉴于资金盘跑路事件频发，CoinHolmes为广大用户提供了爆料入口，用户可以通过提交关联链上地址，实时查询数字资产流向情况。

PeckShield点评：除了传统中心化交易所，黑客也在不断寻求新的方式，例如此次黑客转移资金至Compound，主要目的是利用DeFi借贷平台进行混淆资金，同时不排除“理财生息”的可能。除DEX之外，当前有着较好流通性的DeFi借贷平台也成了黑客的新选择。

钓鱼攻击等其他类安全事件

除上述之外，10月份还有一些安全事件同样值得警惕：

1）Telegram搬砖套利局八天内金额高达750枚ETH；

2）MEET.ONE提醒EOS用户警惕DApp钓鱼。

PeckShield点评：因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、搬砖套利等各类事件就是典型。在此提醒，参与数字资产投资的用户应谨慎保管各类私密信息，任何小的疏忽都可能造成不可挽回的损失。

标签：EOSWIZARDWIZ区块链eos币柚子已经确定跑路Cheeze WizardsWizards区块链游戏币最高涨多少

BNB热门资讯