成都鏈安：7000比特幣的損失，幣安熱錢包被盜事件細節分析_BTC:Keysians

編者按：今天凌晨1點，交易所幣安遭到黑客攻擊，損失7000個比特幣，詳情請點擊《幣安被盜7000個比特幣》。本文來自成都鏈安科技安全團隊，Odaily星球日報經授權轉載。知名加密貨幣交易所幣安受到黑客攻擊，目前已經有7074.18個比特幣被竊。根據幣安首席執行官趙長鵬對外披露的信息，該交易所在5月7日發現了“大規模的安全漏洞”，該漏洞導致黑客能夠訪問用戶應用程序接口密鑰、雙因素身份驗證碼、以及其他信息。按照安全通知中公布的一筆交易，黑客從幣安交易所中取走了價值大約4100萬美元的比特幣。對此次攻擊，Beosin成都鏈安科技安全團隊進行了深度分析：交易詳情如下，發生在575013塊，總損失最高可達7074個BTC詳細提幣地址截至目前，幣安熱錢包被盜約7000枚BTC.現在幣安的熱錢包余額3,612.69114593個BTC,說明幣安熱錢包的私鑰安全，經過團隊分析，在05月08日01：17：18，通過API接口在同一時間發起提幣操作。幣安交易所的API申請后會生成APIkey和Secretkey，如下圖：API接口有限定用戶開放IP限制和開放提現功能。開放提現就是直接利用APIkey和Secretkey直接提現，不需要收集驗證碼、短信、谷歌驗證碼。如下圖：API部分官方調用代碼demo如下：我們初步分析認為是用戶的APIkey和Secretkey信息泄露導致的此次攻擊。如果用戶沒有限制ip并配置了開放提現功能，任意攻擊者在獲取了APIkey和Secretkey信息后便可以實現攻擊。用戶的信息泄露途徑可能有：普通用戶一般不會使用apikey，一般是高級用戶用于代碼中實現自動化交易，可能是用戶源碼泄露導致apiSecretkey泄露用戶被釣魚攻擊，輸入了APIkey和Secretkey被黑客截取。用戶的APIkey和Secretkey保存的電腦被攻擊竊取。幣安交易所系統原因導致用戶APIkey和Secretkey泄露，其中只有71個用戶開放了提現功能，被盜幣。被黑客盜取的7074枚BTC的主要20個地址如下：bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp555.997BTCbc1qqp8pwq277d30cy7fjpvhcvhgztvs7v0nudgul5463.9975BTCbc1qld27dqu6wrl4tmjdr8tl55qavmghwrr4ldh7qn473.9975BTCbc1q8m9h3atn4cqeqhu3ekswdqxchp3g7d4v3qv3wm567.997BTCbc1q7p6edvd4zvtya8uj366c23dan8pvlp503spucu468.9975BTCbc1ql0wlnu80l8kctjzkzlzd72sdjqwuvruvgepceq383.998BTCbc1q3ldtrr6xtpx8jam5gw68aaexz2wtluj0qullvr189.999BTCbc1qyv4zv0wjn299kx4yz6g7v6g6400wqgzcqgw9vx383.998BTCbc1q6fejm4r866tmt8ptf42juedv5gevlv2qt72agq371.998BTCbc1qvstwzsrfml43jrclsp68220l4lx5lw3kwf7dp0193.999BTCbc1qecs672j9dpvwr56zeldgf3swtlv3dad52wzuta463.9975BTCbc1qshkncv7tkpye7z0z4a3k9yw2e73whha9gjs88z97.9995BTCbc1qhlhx6lrnr0jf4zpvm788j7yeezau6s8q557p2z279.9985BTCbc1qesy52g7ndy652qudr2awuk57mcaxgmn9qsmpzk469.9975BTCbc1q9svj9wp68zftgejjgk6f96ukuyx8c5urkqsv69193.999BTCbc1qanrl8n3flz4jftkscljx2hwuc3h50f9ynp2nyn89.9995BTCbc1qtpdptcf4ngfkwq6dr36kqaeh2n5h00rx5unkgc670.9965BTCbc1qvr2jxlmvckap7cg2l6mdgh5fa8glkhe4s88sax377.998BTCbc1qhqap39mpkldjzvqdf3204p732krtnf56mm9aj3370.998BTC3KBsR6Ld255Tw5hNR4S6KaX5SXxvRF6jv31.29968018BTC

成都鏈安：whaleswap.finance項目遭受攻擊，至少損失5,946 個BUSD和5964個USDT:6月21日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，whaleswap.finance項目遭受攻擊，成都鏈安技術團隊分析發現原因可能是因為whaleswap.finance Pair合約的K值校驗存在問題。每當用戶在進行交換時，K值校驗中傳入的參數量級存在問題，造成K值校驗失效。攻擊者先通過閃電貸借一筆BSC-USD，之后歸還閃電貸時K值校驗參數量級為10000^4。而K值校驗時采取的參數校驗量級為10000^2，導致K校驗失效。[2022/6/21 4:41:57]

成都鏈安：國內天穹數藏宣稱遭黑客攻擊，黑客利用虛假余額購買盜取用戶的藏品:5月17日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，天穹數藏宣稱遭黑客攻擊，藏品售價異常高達近千萬元。根據平臺公告稱：平臺數據遭遇大量惡意攻擊，黑客利用虛假余額購買盜取用戶的藏品，導致數據異常，目前已恢復，平臺已第一時間報警處理。成都鏈安安全團隊初步分析，導致本次攻擊的原因猜測為：攻擊者通過傳統網絡安全攻破了平臺方數據庫，惡意篡改賬戶余額，導致大量用戶高價掛單仍可成交，最終導致數據異常。成都鏈安安全團隊建議：

1、 國內數字藏品平臺方在設計、實現和部署的過程中，要關注通信與網絡安全、主機安全、數據庫安全、移動安全等傳統安全領域，做好安全防護；

2、 國內數字藏品平臺方在運維的過程中，要做好金融風控的設計和實施，避免出現大規模資金異動而不自知的情況；

3、 數字藏品消費者在選擇交易平臺時，需要關注平臺合規風險，注意保障自身財產安全；

4、 數字藏品消費者警惕炒作風險和市場泡沫，避免泡沫破裂時造成財產損失。[2022/5/17 3:22:51]

成都鏈安：Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示，Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<- 主要漏洞，造成本次攻擊的根本原因。2.函數未做防重入攻擊；<- 次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。針對這兩個問題，成都鏈安在此建議項目方應做好下面兩方面：1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

REV智能合約已通過Beosin（成都鏈安）的安全審計:據官方消息，Justswap上的明星項目，REV團隊釋放出REV智能合約審計報告，由Beosin（成都鏈安）安全審計完成。

據了解，REV（Revolution Token）是基于區塊鏈的新型社會實驗型代幣。其獨特之處在于內嵌了交易燃燒、尾單博弈、持幣分紅三種獨特的創新機制。

REV技術介紹：智能合約的整體設計清晰，邏輯縝密，代碼安全靠譜，從性能和功能上完全具備了區塊鏈頂級去中心化金融項目的一切條件。合約地址(認準唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。詳情點擊原文鏈接。[2020/9/16]

Tags：BTCCBCBTCBKEYBTC錢包BCBCBTCBRKeysians

PEPE