嚣张的黑客,和正在消失的防护网...

转载
2133 天前
12807
星球日报

来源:星球日报    作者:黄雪娇


失序的区块链行业里,时刻隐藏着风险,黑客就是其一。

就像武侠里的江洋大盗,他们随时出没在存储着大量数字货币的区块链钱包、交易所、DApp 里,伺机挖掘漏洞,窃取资产。

据 Odaily星球日报粗略统计,近一个月内,区块链领域涉百万以上黑客攻击事件近 5 起。

另一面,多数项目拿这些黑客并没有办法。尤其是币圈进入熊市大半年以来,不少公司都闹钱荒。区块链安全防护系统因资金匮乏,防护能力正在变弱。

安全团队 BYSEC COO 刘泽坤告诉 Odaily星球日报,其平台上注册有 5000 多名网络安全工程师,但在“生存第一”的熊市下,安全防护下降为弱需求。目前愿意付费做安防的仅有 10 余家。

代码安全无法守护,共识安全也岌岌可危。

熊市中,一部分矿工由于入不敷出关机蛰伏,直接导致了 PoW 网络算力下跌,闲置算力成为“散兵游勇”,威胁着公链的安全。

矿工是共识安全的守护者,他们的缺位给了攻击者可趁之机,本月初 ETC 遭遇 51% 攻击即是一例。

这张本该严密的安全防护网,随着熊市的持续,一个个牵引的防护点正在消失。 

频繁的攻击

去年 12 月 27 日发生的钱包钓鱼事件可能是近来最大的黑客攻击事件。

据 Cointelegraph 消息,当日有用户在社交媒体上爆料,有团体正在对加密货币钱包 Electrum 进行恶意攻击,并窃取了近 250 个BTC (约 93.7 万美元)。

消息随后获得 Electrum 证实,据介绍,该攻击主要通过创建一个假版本的钱包,来骗取用户的密码信息。

2018年下半年,币圈进入了明显的熊市,不少项目开始减员收缩。但黑客永不眠,那些汇集资金的地方永远是黑客的目标。

区块链安全平台 DVP 联合创始人邓焕也告诉 Odaily星球日报,今年 12 月以来,越来越多的攻击者将目光投向了 EOS DApp。

根据区块链安全网 bcsec 统计,12 月份其搜索到区块链领域发生的攻击事件共有 20 余起,对行业造成损失约 190 万美元,其中 90% 受攻击的对象是 EOS 上的 DApp。 

1 月 16 日凌晨 03:47-03:55 之间,DAppShield 监测到,有黑客向 EOS 竞猜类游戏“影骰”发起连续攻击,获利超 1 万个 EOS。黑客采用的交易阻塞攻击手段。一个月来,黑客已经凭借该手段发动了 4 次攻击。 

12 月 18 日晚间至 19 日凌晨,多个 EOS 头部 DAPP则遭遇回滚交易攻击。 

遭受攻击的几款游戏基本为 EOS 头部较活跃的竞猜类游戏:EOSMax、ToBet、BigGame 和BetDice。据 PeckShield 的数据,其中,BetDice 一周日均活跃用户数超 5000 人,交易额也在5000 万 EOS 以上。 

与此同时,黑客利用重放攻击漏洞攻破另一款竞猜类游戏 TRUSTBET。

这些集中攻击,让几款游戏共损失 303404.18 EOS。以 EOS 当时的单价 18 元来测算,黑客盗走的金额达 546 万元。

对于这次攻击,蒋旭宪曾向 Odaily星球日报表示,这次攻击背后是同一个团伙或个人。另外,ECAF 追回盗取的 EOS 预计难度较大,目前已经牵涉到 1808 个账户,数量还在增长中。 

邓焕分析指出,从早期针对以太坊的 The DAO,到最近的 BCE、SMT 代币等事件,以太坊生态已经经过了一场来自黑客的“血的洗礼“,生态环境逐渐趋于安全。而 DApp 生态的第二翘楚 EOS 目前正处于蛮荒生长阶段,于是黑客开始将魔爪伸向这里。

嚣张的攻击者

对于黑客而言,攻击这种从别人口袋里掏钱的生意,只有钱难不难掏,没有钱多钱少的分别。

我们知道,交易所是币圈最大的聚宝盆,亦是黑客攻击的高发地。即使在交易量大幅萎缩的境况下,交易所亦逃不过黑客的“摸排”。

贺凯(化名)是 X 交易所的市场负责人。“尽管(我们交易所)在各个行情网站上排不上名,但被黑客‘打’却是家常便饭。”

据他介绍,全球有约 1.5 万家交易所,在业内稍微能说的出名字的,基本上三天两头就要来一次攻防战。身处这个“聚宝盆”中,他已经见怪不怪。

但去年 11 月份的那次黑客寻衅事件,让贺凯哭笑不得。

那天中午,X 交易所的客服像往常一样在微信群里和用户聊天。

突然有人加她,没有注明名字和事由,她通过了。

不料对方一上来就像查户口似的问:“哎,你是 X 交易所的吗?”

“你们其他联系方式能给我一个吗?”

对方看客服没反应补充了句,“我要‘打’你们了,怕到时联系不上你们。这个(号)是你们的啰?”

客服当时明白了,跟她聊天的这个人可能是个黑客。常规的黑客攻击是先攻击再勒索,而且最好能攻其不备以降低成本。待攻下后再联系被攻击方商谈“赎金”事宜。 

但这个黑客似乎胜券在握,就等着攻击结束后的谈判了。 

“真是活久见”,客服心想。无奈,客服只得回复他:“你先打吧,打完再说。”

作为区块链“白帽子”平台的调度人,邓焕没少见这类令人咋舌的攻击。

去年 12 月 5 日,币安发布了一个去中心化交易所 DEX。消息出来的第二天,DVP 即观察到,社交软件中有个冒充 DEX 敛财钓鱼网站。

下图是该钓鱼网站的主页。从 UI 上看简直可以以假乱真。


该网站放着币安此前发布的 DEX 的宣传视频。并配文虚构了一个活动,称为庆祝 DEX 的推出,特向全球粉丝赠送 5000 BTC 作为回馈。参与活动的用户需要先验证地址,验证时需发送 0.1 - 10个 BTC 到指定地址,而后将获得贡献 BTC 数的 10 倍 BTC。

在转账页面,还伴有实时更新的奖池数量、该地址的转账交易记录以及参与用户的即时评价等,十分逼真。DVP 当即发现有人转账,那些币随即被提走。

DVP 向币安报告了该情报。但该钓鱼网站作为外部网站,币安也拿他没办法。 

DVP 还发现,这个第二天就能上线高仿网站的攻击者,之前还用同样的手段模仿过 OKEX,可谓在失序的世界中无法无天。即使熊市如此之凉,它也能抓住热点稳赚一笔。

脆弱的“防护网”

在这些安全事件背后,是黑客不分牛熊的攻击和熊市中防护网缺失的矛盾。 

有数据显示,目前全球有 10000+ 的区块链项目,区块链安全服务公司却只有不到 50 家。从红蓝对抗的角度讲,红队(攻击方)就要比蓝队(防守方)弱得多。再遇熊市,恐会让这一状况更加恶劣。

当前,各个项目方、服务商在寒冬中缩小成本,其在安全上的需求也继续弱化。这形成了一个恶性循环,在安全上投入越低便越容易遭到攻击,造成的损失又将给项目方带来致命的灾难。

安全团队 BYSEC 的 COO 刘泽坤和 Odaily星球日报讲了上个月发生的一个案例。一个以太坊上的菠菜类 DApp 遭遇黑客攻击,数万个 ETH 被盗,尽管其已做过基本的审计,但离相对安全仍然很远。

按理说,每个项目都应投入 10% 的钱来保障 100% 的资金的安全,但很多团队在缩减开支中跳过了这一步。

BYSEC 团队是个“白帽子”平台,其上注册了 5000 余名“白帽子”,大多是传统安全业人员,在上面兼职挖漏洞领取赏金。

到了熊市,平台上仍在支付赏金的项目方仅有 10 余家,BYSEC 团队只能提示平台上的“白帽子”尽量只在这些付费厂家中挖洞,不然可能要变成“杨白劳”。 

其他的厂家,要么没有付费意愿,要么没有付费能力。 

在 BYSEC 发现一些交易所的重大漏洞后,刘泽坤带着这些漏洞去联系交易所,希望安全服务能得到适当回报。

但对方给出的答复却经常是,“你们的这个服务的确很好,我们也很需要,但老实说我们的收入都没这么多,实在是付不起。” “活都活不下去了,还讲什么安全。就好像我都吃泡面了,你还跟我说泡面不健康。”

转型谋生存

进入安全行业的钱变少了。一面没了新的客户、新的投入,一面是存量客户已被瓜分殆尽。

安全团队处境维艰。

慢雾安全团队在接受 Odaily星球日报此前的采访时表示,(安全行业)蓬勃发展后,会进入类似红海的阶段,需要大家进行差异化竞争。比如现在经常有客户问我们:你们和别人有什么不一样? 

大家需要进行差异化竞争才能活下来,BYSEC 也认同这个观点,并且正在考虑转型。刘泽坤透露,团队打算利用在安全行业的积累做一款数字货币的支付网关 SAAS,面向数字货币的商家和 C端用户。

从服务对象和应用场景看,这似乎已和安全行业脱钩了。但行业没有生意,像 BYSEC 这样的平台并没有什么好的办法。 

唯一值得欣慰的或许是,以技术见长的白帽子,如果要回到互联网或是在其他领域做安全,转换的成本不算太高。