安信可科技：安信可科技官网

广州安信科学技术区块链研究中心主任张铭博士和您分享区块链（三）

 

点击上方“安信科学”可以订阅哦！

在区块链行业，安全是最根本的问题。或许你听过“一行代码损失几十亿”、“干了一年被黑客一夜搞走”等言论。因为区块链发展还处于早期，加上代码一旦上链就不可篡改等特性，让它成为了黑客攻击的重灾区。

广州安信科学技术区块链研究中心主任张铭博士对今年 9、10 两个月区块链行业发生的安全事件进行盘点，旨在帮助大家认识区块链的安全问题，分享区块链技术的安全知识案例一：利用漏洞赢头奖DEOS Games 。

是一个运行在 EOS 区块链之上的去中心" 菠菜“类游戏9 月 9 日，一位名为“Running Snail”的 DEOS Games 用户进行了一次看起来相当成功的操作：累积下注价值 1000 美元的。

 EOS，每次存入 10 个 EOS，然后在 30 秒后赢得头奖，反复操作了多次1、损失规模：价值约 24000 美元的 EOS2、攻击媒介：智能合约漏洞3、事件经过及安全分析：DEOS Games在刚刚创建不到一小时的时间里，就向

 EOS 帐户进行了 24 笔转账，而且，这些账户都是该合约在不到一天时间之内创建的根据 EOS 的交易记录，每次恶意账户存入 10 个 EOS，就能收到价值 20 倍的合约金额换句话说，黑客利用了该游戏的某个漏洞，每次都能够赢得头奖，此次攻击的整体收益约为成本的。

 20 倍DEOS Games 官方在推文中发表看法，“这是一个很好的压力测试，我们的项目在合约层面得到了显著改善”目前，尚不清楚黑客利用了 DEOS Games 合约中的哪个漏洞，或者 EOS 内核中是否存在其他漏洞。

发生该攻击事件之后，DEOS Games 团队的反应令人费解他们没有对社区声明自己是如何监控黑客攻击的，因为按照常识，一个简单的监控脚本就可以检测到这种异常现象我们假设 DEOS Games 游戏有这样的检测工具，那么，此次攻击的深层次原因就值得深究了，不排除团队坐庄收割“小白投资者”。

的嫌疑 安信科学分享安全策略：目前，此类 “菠菜” 游戏风险太高，建议广大用户理性投资，谨慎选择案例二：EOS刷假币事件Newdex 是基于 EOS 区块链的去中心化交易平台，8月 8 日上线，号称交易速度媲美中心化交易所，且不接触用户私钥，导入钱包即交易，以此保障资产安全。

但在上线一个多月后，就遭遇“EOS 刷假币事件”通过这起事件，外界开始质疑 Newdex 是否是真正的去中心化交易所1、损失规模：约 58000 美元（11803 个 EOS）2、事件经过及安全分析：EOS

账户“oo1122334455”于 2018 年 9 月 14 日 14:01:45，发行 10 亿个假的 EOS，并全额分配给“dapphub12345”账户随即由“dapphub12345”转入“iambillgates

”账户（实施攻击的账户），“iambillgates”账户于 14:21:37尝试性地多次用 1 个假 EOS 挂单委托买入 IPOS 和 ADD 等代币，并取得了成功成功买入其他代币后，“iambillgates。

”账户立刻将非法获得的 Token 转入“xx1234512345”与“x12345x12345”账户，最终由“xx1234512345”在 Newdex 中挂市价单卖出部分非法获得的 Token，共计卖得

4028 个真正的 EOS然后，发送到 Bitfinex 与其他加密货币进行交易此次假 EOS 刷币事件一共给 Newdex 用户造成了 11803 个 EOS 的损失，Newdex 团队为此事件道歉，本着负责任的态度决定承担此次全部损失，并且在第一时间修复相关问题并恢复正常运营。

对 Newdex 基础设施的进一步调查显示，Newdex 没有使用智能合约来验证用户发送的 Token 安信科学分享安全策略：这起事件中，黑客用 EOS 原生货币来交易假的代币，导致 Newdex 系统中 EOS 严重贬值。

之所以黑客能够得手，是因为 Newdex 没有通过其智能合约验证 Token 的真实性他们在中央服务器上进行交易匹配，在处理交易时系统甚至没有检查存入的 Token 真实性去中心化交易平台具最基本的特点，是用户自己掌握私钥。

既然是用户自己掌握，也就只有用户自己能动用钱包里的币，不会因为交易平台的漏洞而导致自己丢币所以，在这里建议大家在选择交易平台前，需要进行详细的调查案例三：日本交易平台被盗2018 年 9 月 19 日，总部位于大阪的Tech Bureau Corp 旗下的 Zaif 交易所发生了比特币、萌奈币 (Mona Coin) 和比特币现金被盗事件，被盗价值 6000 万美元的数字货币。

1、损失规模：6000 万美元2、被盗取的数字货币：比特币、萌奈币(Mona Coin) 和比特币现金3、事件经过及安全分析：2018 年 9 月 14 日之后，Zaif 交易平台关闭了用户的存取款服务。

根据 Zaif 的说法，关闭该服务的原因是在 9 月 14 日 17:00 至 19:00 之间，发现有人非法入侵了其热钱包经核实，该黑客的非法行为导致了价值 5900 美元的 BTC、比特币现金和萌奈币被盗。

Zaif 在公告上没有公布被攻击的细节，它寻求了日本当局帮助调查此次被盗案事实证明，在此攻击行为发生前，日本金融厅（FSA）分别于 3 月 8 日和 6 月 22 日，向 Zaif 发出过关于其内部管理系统和安全措施的预警。

被盗事件发生后第一时间，日本金融厅（FSA）向 Zaif 母公司 Tech Bureau 发出了今年的第三份业务改善令但是 Zaif 交易所没有对 FSA 的建议做出任何行动根据扎伊夫对当局的透露，事件的起因居然是交易所一名员工的电脑被黑。

11 月 22 日，Zaif 交易平台把虚拟货币的相关业务转移至 FISCO 集团，FISCO 集团将接管 Zaif 并赔付用户此次被盗的资金需要强调的一点是，这起事件是加密货币历史上损失最大的安全事件之一。

 安信科学分享安全策略：根据种种迹象表面，该事件的起因很可能是 Zaif 员工的计算机被黑客成功利用钓鱼网站的方式攻击了对于数字货币交易所来说，犯这种低级错误是非常不应该的我们认为，该事件对广大数字货币交易所敲响了警钟，安全意识是数字货币交易所的根基，每家交易所都应在新员工入职工作之前，进行必要的网络安全培训。

案例四：以太坊公链社区被盗2017 年 7 月，在 Bithumb 上，黑客也使用了相同的方法，盗取了价值数百万美元的加密货币，并且导致客户数据被泄露SpankChain 是基于以太坊公链的成人娱乐区块链项目。

团队于 10 月 9 日在博客上表示，10 月 6 日遭受到黑客攻击，损失了 165.38 ETH(当时价值约 3.8 万美元)，另有价值 4000 美元的 BOOTY 币遭到冻结1、损失规模：超过 40000 美元（以损失 ETH 和 BOOTY 代币当时的价格合计）。

2、攻击方式：通过智能合约的重入漏洞3、事件经过及安全分析此次黑客攻击利用的是 SpankChain 智能合约中的重入漏洞，该漏洞类似于著名到 The DAO 事件中的漏洞技术团队发现合约被黑客入侵是在攻击发生后的 24 小时，SpankChain 团队第一时间关闭了自己的官网。

10 月 12 日，黑客竟然主动联系了SpankChain 的首席执行官，将 165.38 ETH 退还给该团队，另外黑客还帮助 SpankChain 恢复了因攻击而被冻结的大约 4000 个 BOOTY 代币。

作为回报，SpankChain 团队给了该黑客一些奖励 安信科学分享安全策略：SpankChain区块链社区对该事件的反应比较激烈，原因很可能是难以接受被黑客利用著名的重入漏洞进行攻击重入其实就是递归，就是对于一个函数的循环调用和对自身的循环调用。

针对重入漏洞，最根本的解决方案还是在转账之前就把所有应该变更的状态提前更新，而不是在转账之后再进行更新其实在上链前，项目方只需投入很少的费用，对智能合约进行安全审计，就可以很好的避免这种事情在区块链里，没有删除和修改的概念，一旦合约部署到公链，就无法篡改。

全球数以万计的黑客可以慢慢地，一行一行地找上面的漏洞对于区块链行业来说，安全审计是必不可少的流程目前，还不清楚黑客为何会归还被盗资金，这对受害者来说可能是一种安慰，但这种事情不常有希望这次事件过后，项目方、交易所都能够警醒，认识到安全审计的重要性。

案例五：其他类似的攻击事件DAO Hack：以太坊区块链历史上最臭名昭着的事件之一，引起以太坊区块链的硬分叉，分裂成以太坊和以太坊的经典的事件遭遇两次攻击的EOSBeEOSBet 是 EOS 上的游戏平台，分别在 9 月 14 日和 10 月 15 日遭受了两次黑客的攻击，损失分别为 44427.4302 个 EOS 和 138319。

1、损失规模：200000 美元 + 338000 美元（均损失 EOS）2、攻击方式：利用智能合约中的漏洞3、事件经过及安全分析：9 月 14 日，EOSBet 遭到黑客攻击，EOSBet团队官方宣称：这个攻击并不简单，我们正在进行取证，并将所发生的事情拼凑在一起，来寻找蛛丝马迹。

根据 The Next Web 的分析，“黑客的攻击方式是使用假哈希在外部调用’传输’功能攻击发生后，一个与 EOSBet 官方帐户名称非常相似的 EOS 帐户，向攻击者的地址发送了少量 EOS，并且附带一个要求对方退回被盗资金的消息，声称如果不退回，他们将雇用一个律师团队追捕并起诉攻击者。

9 月 16 日，EOSBet 重新上线，并且官方发布了关于黑客攻击的详细报告，承诺他们的合约已经修补了全部漏洞，目前是非常安全的一个月后，黑客利用 EOSBet 合约在检验收款方时存在的漏洞，伪造转账通知，总计从“eosbetdice11”获利 138319.7995EOS。

其中 72150 个 EOS 流入了 Bitfinex，65100 个 EOS 流入了 Poloniex根据 EOS 当前的行情价格估算，EOSBet 平台此次损失额超 500 万元该公司报告称，他们正与这两家交易所谈收回资金的事情。

 安信科学分享安全策略：EOS 的智能合约发展相对 ETH 来说，还处于早期，频频发生的安全事件对这个新生儿来说是不可承受之痛安信结语：今年 9、10 两个月的安全大事件，主要集中在 EOS 的智能合约漏洞和交易平台的漏洞，损失的金额非常高。

在这些事件中，有很多是完全可以避免的，之所以频频发生安全事件，很大程度上是因为安全意识还太过于薄弱安全事件的频发，加上行业的暴跌，不断打击着区块链参与者的信心，但不妨换个视角，放眼整个行业的发展来看如果行业的参与者能够从这些巨额损失的安全事件中获得警醒，汲取过往的教训，更加注重安全方面的建设，相信这对于茁壮发展的区块链行业来说，才是真正有益的。

张铭博士

计算机网络安全博士，国际金融学博士后，曾任雷曼兄弟亚太地区投资总监，现任广州安信科学技术区块链研究中心主任、纪元区块链技术研发中心主任，纪元区块链创业基金合伙人张铭博士怀报效祖国之心愿，被国家人才计划从雷曼兄弟引进到深圳，与原雷曼兄弟的同行和中国投行专家合作联手，现在参与合伙人管理两支超大型海外区块链基金，投资了多家美股，A股和海外及港股上市公司的IPO/PE/VC，具有资深大型投资基金，投资银行与海外并购的经历。

张铭博士心糸祖国，奉献企业，服务社会，用专业知智公益回报人类- END -

精彩回顾广州安信科学技术区块链研究中心在行动广州安信科学技术区块链研究中心主任张铭博士和您分享区块链（一）广州安信科学技术区块链研究中心主任张铭博士和您分享区块链（二）