比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

2023年 7月 11日 49.4k 0

交易平台安全性思考

随着区块链技术的迅速发展,使得虚拟货币渐渐走入的大众的视线。随之而来的就是大量的虚拟币交易平台。虚拟货币交易平台就是为用户提供虚拟货币与虚拟货币之间兑换的平台,部分平台还提供人民币与虚拟货币的p2p兑换服务。现在交易平台平均每天的交易额都是数以亿计,然而交易平台背后的经营者能力与平台的自身的安全性并没有很好的保障。从 14 年至今据不完全统计,单纯由于交易所安全性导致的直接损失就达到了1. 8 亿美元之多。

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

随着虚拟币的水涨船高,交易所就成了黑客们的首要目标,据统计入侵一家交易所给黑客带来的直接利益大约 1000 万美元左右,然而交易所的安全性参差不齐和各个国家对这类平台基本都暂时没有好的管控策略,这给黑客带来了很大的便利,同时也直接威胁着用户的资金安全。

01 平台被黑事件回顾

比特儿(Bter.com) 比特币交易平台被盗事件

2014-08-15

事件简介:

比特儿是一家中国的山寨币交易所。NXT等山寨币都在上面交易。

由于POS币的钱包必须上线运行才能获取利息。因此NXT钱包必须在线运行,给了入侵的机会。POS币不能冷钱包保存,暴露出POS的重大安全隐患。黑客盗走NXT后与平台方通过交易留言进行了谈判:

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

并要求平台方支付BTC作为赎金换回NXT

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

最终平台支付了 110 个BTC,却未能完全赎回NXT,只能要求社区回滚NXT的交易区块。

本次比特儿被黑是历史上第一次完全公开展现的网络犯罪,暴露出交易平台和数字货币在当时没有监管野蛮生长的严肃问题。

以太币组织The DAO被黑事件

2016-06

事件简介:

以太币的去中心化组织The Dao被黑,价值逾 5000 万美元的以太币外溢出DAO的钱包。以太币(ETH)市场价格瞬间缩水,从记录高位21. 50 美元跌至15. 28 美元,跌幅逾23%。

在此前的智能合约写法中,有三个严重漏洞,黑客也正是利用这几个漏洞攻击The DAO窃取以太币。

fallback函数调用

向合约地址发送币有两种写法:

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

二者都是发送 20 个ether,都是 个新的message call, 同的是这两个调 的gasli mit 样。send()给予 0 的gas(相当于 call.gas(0).value()() ), call.value()() 给予全部(当前剩余)的gas。 当我们调 某个智能合约时,如果指定的函数找 到,或者根本就没指定调 哪个函数(如发送ether)时,fallback函数 就会被调用。

当通过 addr.call.value()() 的 式发送ether,和send() 样,fallback函数会被调 ,但是传递给fallback函数可 的 是当前剩余的所有gas,如果精 设计 个fallback就能影响到系统,如写storage, 新调 新的智能合约等等。

递归调用

一段用户从智能合约中取款的代码如下:

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

如果付款方的合约账户中有 1000 个ether,而取款方有 10 个ether,此处就有严重的递归调用问题,取款方可以将 1000 个ether全部取走。

调用深度限制

合约可以通过message call调用其他智能合约, 被调用的合约继续通过message call在调用其他合约,这样的嵌套调用深度限制为1024。

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

如果攻击者制造以上的 1023 个嵌套调用,之后再调用sendether(),就可以让add.send(20ether)失效,而其他执行成功:

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

在DAO的代码

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

当合约执行到withdrawRewardFor(msg.sender);进入到函数withdrawRewardFor判断

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

putOut如下:

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

和此前的举 类似,DAO通过 addr.call.value()() 发送以太币 没有选择 send() 从 客只需要创建fallback再次调 splitDAO() 即可转移多份以太币,PoC如下:

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

The DAO事件给整个以太坊社区带来了重大影响,也导致了之后的硬分叉和ETC(以太经典)的剥离。

Bitfinex遭黑客攻击事件

2016-08

事件简介:

Bitfinex是交易比特币、ether和莱特币等数字货币的最大交易所之一。

根据Bitfinex在 8 月 2 日凌晨发布的公告,该交易所在发现了一个安全漏洞后便停止了交易。发布在官网上的声明表示:

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

Bitfinex负责社区和产品开发的主管塔克特(Zane Tackett)证实,119, 756 个比特币遭窃,该公司已经知道相关系统是如何被入侵的。以周二的价格计算,失窃比特币价值约6, 500 万美元,受此消息影响,全球比特币价格应声下跌25%。

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

随后Bitfinex官网发布公告称这次损失将由平台上所有用户共同承担,这将导致每位用户的账户平均损失36%

对于类似比特币这样的数字货币,由于是通过数学算法挖矿形成,与实体质地的纸币不同,这些数字货币交易的安全性就完全体现在交易所的风险控制能力以及防黑客能力上。

Parity多重签名钱包被盗事件

2017-07

事件简介:

Parity是一款多重签名钱包,是目前使用最广泛的以太坊钱包之一,创始人兼CTO 是以太坊前CTO黄皮书作者Gavin Woods。

7 月 19 日,Parity发布安全警报,警告其钱包软件1. 5 版本及之后的版本存在一个漏洞。据该公司的报告,确认有150,000ETH(大约价值 3000 万美元)被盗。据Parity所说,漏洞是由一种叫做wallet.sol的多重签名合约出现bug导致。后来,白帽黑客找回了大约377,000 受影响的ETH。

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

本次攻击造成了以太币价格的震荡,Coindesk的数据显示,事件曝光后以太币价格一度从 235 美元下跌至 196 美元左右。此次事件主要是由于合约代码不严谨导致的。我们可以从区块浏览器看到黑客的资金地址

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

可以看到,一共盗取了153,037 个ETH,受到影响的合约代码均为Parity的创始人Gavin Wood写的Multi-Sig库代码。通过分析代码可以确定核心问题在于越权的函数调用,合约接口必须精心设计和明确定义访问权限,或者更进一步说,合约的设计必须符合某种成熟的模式,或者标准,合约代码部署前最好交由专业的机构进行评审。否则,一个不起眼的代码就会让你丢掉所有的钱。

USDT发行方Tether遭受黑客攻击事件

2017-12

事件简介:

Tether公司是USDT代币的发行公司——USDT是一种与美元挂钩的加密货币,如今正在被交易所广泛用于进行交易。该公司在公告中声称其系统遭受攻击,已经导致价值 3000 万美元的USDT代币被盗。

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

被盗的代币不会再赎回,但Tether公司表示他们正在试图恢复令牌,以确保这些交易所不再交易或引入这些被盗的资金,不让这些资金回到加密货币经济。此次被黑事件后,比特币的价格下降了5.4%,是 11 月 13 日以来的最高纪录。然而,Tether被盗声明一出,国外社区有用户认为,该地址中被盗的 3000 万美元只是Tether掩耳盗铃的第一步。实际面临的兑付危机远远不止 3000 万美元。此次事件不仅单纯的一次虚拟币被盗事件同时导致了Tether的信任危机。

Youbite交易所被入侵事件

2017-12-19

事件简介:

12 月 19 日,韩国数字货币交易所Youbite宣布在当天下午 4 时(北京时间 3 时)左右,交易平台受到黑客入侵,造成的损失相当于平台内总资产的17%。 这家平台是韩国一家市场份额较小的数字货币交易平台,在今年 4 月,这家平台也曾经遭受过黑客攻击,损失了近 4000 个比特币。

比特币交易平台(比特儿、以太币组织The DAO)被黑事件引发的安全性思考

Youbit表示,在 4 月份遭遇黑客攻击之后,其加强了安全策略,将其余83%的交易所资金都安全地存放在冷钱包里。尽管如此,运营该交易所的公司Yaipan还是于本周二申请了破产,并停止了平台交易。公告显示,该交易所将所有客户的资产价值减记至市场价值的75%,客户可立即提取这部分资产。该公司表示,将在破产程序结束时偿还剩余的资金,届时将提出保险索赔并出售公司的经营权。

03 小结

虚拟币的火热,直接搅动着金融市场与科技市场,也面临着各种安全问题。现在各个国家也开始对区块链市场与虚拟币市场相继出台政策与治理方案,对交易所也开始纳入管控范围,韩国前段时间对其国家 7 家大型交易所进行了安全测试均被成功入侵,但每个交易所每天交易量是数以亿计的。可见这类安全问题不是个例,作为虚拟币交易平台,是否有资质有能力保护在线虚拟货币啊安全性成为一个值得考究的问题,虚拟币已经渐渐的从网络进入到现实世界中,然而这个过程的进步同样带来了很大的隐患,这也促使着政府企业以及个人对交易平台以及虚拟币本身更加的慎重选择与投入。

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论