數字貨幣及加密領域黑客攻擊事件分析

王英哲

2020年7月2日，MongoDB遭受攻擊，約22 900個數據庫被清空，攻擊者要求以BTC作為贖金贖回被清空數據庫的備份。

7月11日，Cashaa交易所發生交易異常，攻擊者通過控制受害者電腦，操作受害者在Blockchain.info上的比特幣錢包，向攻擊者賬戶轉移約合9 800美元的BTC。

7月15日，Twitter遭受社會工程攻擊，員工管理賬號被盜，造成多個組織和個人的Twitter上發布欺詐信息，誘使受害者向攻擊者比特幣賬戶轉賬。

7月22日，約克大學信息被盜取，攻擊者要求約合114萬美金的BTC作為贖金。

7月23日，英國足球聯盟信息被盜取，攻擊者要求BTC作為贖金。

7月25日，西班牙鐵路基礎建設管理局約800 Gb信息被盜，攻擊者要求BTC作為贖金。

7月30日，佳能遭受到黑客攻擊，約10 Tb照片和其他類型數據被盜，用戶要求以數字貨幣作為贖金。

7月31日，數字貨幣交易所2gether遭受黑客攻擊，約139萬美金的BTC被盜。

1.黑客勒索攻擊

傳統的勒索軟件攻擊以及通過系統漏洞遠程控制受害者系統的攻擊，是7月至今發生的黑客勒索攻擊事件中主要攻擊方式。此類攻擊行為，攻擊者不需要了解熟悉區塊鏈的知識和技術細節就可以完成攻擊，尤其是Twitter攻擊（利用了社會工程的方法），其攻擊者是3名青少年，最大年齡僅有22歲，這起事件是7月的安全事件中較典型的一例，產生的影響范圍極廣。

2.代碼漏洞攻擊

對于代碼漏洞攻擊相關事件，攻擊者必須要理解區塊鏈，51 %的攻擊能夠找到可以利用的條件（租用龐大的算力）來完成攻擊，并且需要對智能合約的技術有深刻的了解，找到其中的邏輯漏洞并加以利用。

2020年8月4日，DeFi項目Opyn被攻擊者通過代碼漏洞，獲得數目等于存入數目2倍的代幣，最終造成了約37萬美金的損失。

因勒索攻擊門檻低，攻擊方式大同小異，因此可供分析程度有限，8月代碼漏洞攻擊事件發生于DeFi項目Opyn中，攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。攻擊者在向智能合約發送某一數量的ETH時，智能合約僅檢查了ETH的數量是否與完成該次期貨買賣需要的數量一致，并沒有動態地檢查攻擊者發送的ETH數量是否在每一次交易之后，仍然等于完成該次期貨買賣所需要的數量。

也就是說，攻擊者可以用一筆ETH進行抵押，并贖回再次交易，最終獲得自身發送數量2倍的ETH。

CertiK安全研究團隊認為，Opyn沒有對其更新完成后的智能合約再次進行嚴謹的安全審計驗證就直接進行部署運行，從而造成了智能合約中的程序代碼漏洞沒有被及時發現，是此次事件發生的主要原因。

在此建議：做好區塊鏈項目運行的硬件以及平臺軟件的安全漏洞篩查，在日常工作中關注培養員工對于黑客攻擊常見手段的認識和防御意識。

做好對區塊鏈運營中可能出現的某方占有超過全區塊鏈一半總算力的“支配”情況，對于特定區塊鏈項目中的防護，可以考慮采用提高交易確認必須次數或者優化共識算法。

做好對區塊鏈項目中鏈代碼和智能合約代碼的驗證審計工作，邀請多個獨立的外部安全審計服務來審計代碼，并在每次更新代碼后進行重新審計。