近日,又出现了一种新型攻击手法,慢雾安全团队已经确认真实攻击发生,并对此发布预警表示,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”,攻击者可以在未损失任何EOS的前提下成功向这些平台充值EOS,而且这些 EOS可以进行正常交易。
这次的EOS假充值攻击和之前出现过的USDT、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方应尽快自查,若对自己的充值校验没有十足把握,应尽快暂停EOS充提。
黑客攻击手法:只有想不到,没有做不到
从2018年开始,黑客就频繁出没区块链及加密货币领域盗币,其中一般都持有价值数亿美元加密货币钱包的交易所就成了被黑客盯死不放的目标。据相关人士统计,2018年交易所被盗的加密货币数量比17年增加了13倍,每天都有270万美元的加密资产被盗,相当于每分钟就有1860美元被盗。
这么多的攻击,交易所怎么就不防呢?其实更大的原因或许是它们压根就防不住。圈内人都知道,加密货币市场是迅速发展起来的,交易所乃至许多涉及其它加密货币相关业务的团队都没有时间或资源来构建能高效即时的安全解决方案,而且交易所通常是科技公司,而不是网络安全公司,他们的安全意识往往低于他们必须保护的资产级别。
另一方面,随着加密货币市场的扩大,黑客们盗取加密货币的经验越来越丰富,攻击手法也在不断演变且愈发复杂,根据慢雾区近日上线“被黑档案库”中汇总的过去报道的发生过的各类攻击信息显示,黑客攻击下交易所的损失金额达到了$ 2,674,885,099.52,主要有24件被报道的交易所被盗事件。
具体则有钓鱼攻击、合约攻击、服务器攻击、网站系统攻击、替换网站地址、盗取交易所钱包等多种攻击手法。
此外,据了解,黑客们去年还部署了社会工程学等先进攻击手法,盗取他人身份后,伪装成其他人窃取投资人的加密资产,2018年6月底开始持续到现在的“假充值”攻击也是其中一种新型攻击手法,最开始是有交易所出现USDT“假充值”漏洞,随后是以太坊代币也出现了类似的问题,虽然火币、OKEx、币安等多家交易所在经过安全排查后都称不存在相关“假充值”漏洞,但多币种轮流出现同样的攻击方式,足以说明加密货币交易所的安全缺陷。
面对黑客攻击,交易所如何防守?
实际上,面对黑客花样百出的攻击,交易所其实是防不胜防的。“上有政策,下有对策”这个规律在交易所和黑客之间同样适用,交易所防得再严密,黑客也总能找到地方钻空子,毕竟以安全著称的美联储银行也曾被朝鲜黑客盗走过8100万美元。
只是目前加密货币行业中大多数交易所的安全性实在太差,做不了最顶级的安全防护,自己能力范围内的安全保障总该做到最好吧。从之前因黑客攻击破产的门头沟交易所、Youbit交易所等事例来看,对交易所来说,安全有时真的是能够决定生死的关键。
这次“假充值”漏洞也是一样,虽然直接受害人是交易所,目前尚未对普通投资者造成直接损失。但攻击者通过这种方式获得大量币后,肯定不会冒着被平台发现后冻结账户的风险屯着等升值,最好的方法就是在被发现前,尽快用掉。如此一来,无论是砸盘变现还是通过交易转换成其它币种,都会对币价造成影响。
截至发稿前,OKEx和火币都已对EOS“假充值”攻击做出了回应表示,对所有上账信息细节均会做严格确认,不会受此漏洞影响。降维安全实验室则发现了某知名区块链数字货币钱包应用的转账通知机制存在缺陷,会将EOS“假充值”攻击生成的虚假转账交易以通知方式推送给钱包用户,如果此缺陷被攻击者利用来进行垃圾广告推广、诈骗等活动,那么会给钱包用户造成很大困扰和风险。
总之,交易所安全无小事,注重安全技术与系统的升级、多多进行风险排查、及时采取应对措施总是好的。