美高梅集团app下载现在是一家ReliaQuest公司
网络犯罪和暗网研究 / 易受攻击的智能合约和虚假区块链:投资者需要知道什么?

易受攻击的智能合约和虚假区块链:投资者需要知道什么?

易受攻击的智能合约和虚假区块链:投资者需要知道什么?
光子研究小组
阅读更多来自Photon研究团队的内容
2021年11月10日, | 10 分钟阅读

好吧,美高梅集团app下载又来了. 另一个关于一个经常被谈论但很少被理解的话题的博客:加密货币. 散户和机构投资者对加密货币相关的去中心化金融(DeFi)有着前所未有的兴趣. 这两个 cybercriminal-friendly比特币 以太坊区块链的代币Ether也在本周创下历史新高. 最近几个月,Solana和Cardano等加密货币的价格出现了爆炸式增长. 狗狗币和柴犬等所谓的“表情包”币吸引了越来越多的散户投资者. 越来越多的钱涌入了这个神秘的领域, 如果你是这个博客的常客, 你会知道哪里有钱, 有犯罪. 而DeFi通过消除银行等中心化机构的影响,赋予用户更大的财务“自由”, 如果投资者因此损失了资金,他们通常没有法律追索权 欺诈或黑客. 在这篇博客, 美高梅集团app下载将着眼于网络罪犯寻求从这一领域获利的多种方式之一:利用智能合约中的漏洞. 

什么是智能合约?

本质上, 智能合约是两方之间用代码编写的具有约束力的协议,它可以自己执行(i.e.,它不需要第三方强制执行). 例如, 一个智能合约可以被编程,一旦有人确认收到了交付的货物,就会释放付款. 你不能破坏合同条款,而不破坏写合同的代码. 将此与非智能合同(如公寓租赁)进行比较. 尽管这是不明智的, 没有什么能阻止你不按时交房租. 你要承担后果, 确定, 但是,写在租赁合同上的那张纸实际上并不能强制执行这些条款——法警可以. 这和在餐馆吃饭是一样的. 你和顾客签订一份口头协议,为你吃的东西付钱, 但如果你想边吃边跑,警察就得介入了.

No need for heavy-h而且ed enforcement with a smart contract; the code is 法律 而且 执行 法律

就加密货币而言, 智能合约是一套指令,一旦时间或财务条件得到满足,就会被遵守. 例如,它可以规定,一旦一种加密货币的价值达到每枚硬币e的指定金额.g. 当ETH 1 = 10美元,000, 合同锁定的一定比例的资金将被释放到特定的钱包中. 一旦条件满足, 加密货币将从合同中释放,并记录在区块链(记录加密货币交易的公共分类帐)上。. 智能合约在两种情况下容易受到攻击. 

“无知的”脆弱的智能合约

有一些基本的知识和必要的资本, anyone can write a smart contract on popular blockchains such as Ethereum or Binance Smart Chain; qualifications or advanced coding skills are not required. 作为一个结果, 作者可能会写一些他们没有意识到是脆弱的合同, 就像一部写得很糟糕的法律可能会有意想不到的漏洞. 你们可以想象, 网络罪犯寻找易受攻击的智能合约, 他们经常利用合同来获得锁定在合同中的资金. 因为受害者没有可以申诉的中心机构, 他们没有办法拿回他们的资金. 

网络犯罪组织通常由各种具有特定角色的威胁行为者组成而那些希望利用智能合约漏洞的人也没有什么不同. 这是一个庞大而高度专业化的生态系统. 有一些威胁行为者发现了脆弱的契约, 开发和执行利用这些漏洞的人员, 还有指使毫无戒心的投资者签订这些合同的人. 美高梅集团app下载在一个著名的网络犯罪论坛上发现了一个用户,他将自己的服务宣传为“智能合约雇佣黑客”(参见图1)。. 他们寻找合作伙伴,为他们找出易受攻击的合同, 承认“寻找合同不是一个简单的过程.与揭露和利用这些漏洞有关的论坛帖子受到了用户的广泛关注, 而关于这个话题的文章通常会高度重视 论坛文章比赛.

图1. 网络犯罪论坛用户宣传智能合约黑客服务
图1. 网络犯罪论坛用户宣传智能合约黑客服务

在更新、不太经得起时间考验的区块链上编写的智能合约更容易受到攻击. 不安全感会让攻击者偷走暴露在外的钱包 API密钥,让网络充斥着垃圾邮件交易(一种区块链 DoS), 并进行51%攻击(当个人或团体获得超过区块链采矿力量50%的控制权), 这可能会导致投资者无法撤回他们的资金, 甚至是把这些资金抽到攻击者的钱包里. 在这种情况下, 即使你的智能合约编码正确, 如果写入它的区块链是脆弱的, 你的合同也是. 这是一个严重而普遍的问题, 尽管有些协议尽其所能保持代码干净. 10月, Polygon背后的公司, 一个用于构建和连接兼容以太坊的区块链网络的协议和框架, 向一名发现网络漏洞的道德黑客支付了创纪录的200万美元的漏洞赏金. 这个漏洞可以让攻击者释放超过8.5亿美元的资金.

在使用智能合约之前进行尽职调查是很重要的. 检查编写合同的代码中是否有任何看起来不正确或错误的地方, 比如拼写或微积分错误. 比如非智能法律合同, one small typo in the code could have massive ramifications; it could allow for arbitrary code execution, 或者只是释放比你预期更多的资金. 如果您不理解代码,请找一个可信的、有能力的实体来为您完成. 检查代码应该总是可行的:DeFi智能合约是开源的, 因此,不能审查代码是一个巨大的危险信号. 您还应该查明区块链是否有以前欺诈交易的记录(它是否有可靠的漏洞奖励程序, 还是此前曾卷入丑闻?)或者是网络罪犯青睐的目标.      

“恶意”易受攻击的智能合约

美高梅集团app下载都听说过加密货币是不稳定的,投资者可能会失去所有的资金. 这种波动的原因之一, 除了市场的广泛投机性质和全球矿业力量的波动之外, 事实是 隐球就像一个狂野的西部只要有技术和资金,任何人都可以创建区块链. 确实没有太多办法阻止对手故意创建不安全的区块链. 然后,它们可以鼓励受害者进入容易利用的智能联系人,或实施所谓的“小伎俩”攻击, 其中区块链的创造者通过持有区块链很大一部分的货币供应量来操纵市场, 由于其他投资者可获得的货币供应量减少而人为地抬高货币的价值, 然后在市场反应之前抛售手中的股票. 在传统金融领域,这被称为内幕交易或市场操纵.

一个俄语网络犯罪论坛的老用户最近在寻找“有自己创造货币和公关经验”的合作伙伴,目的是让一枚“meme”货币在加密货币交易所上市(见图2)。. 这名威胁行为者可能打算进行一场“泵和转储“阴谋或拉扯攻击. 

图2. 网络犯罪论坛的用户寻求合作伙伴,使他们的硬币在交易所上市
图2. 网络犯罪论坛的用户寻求合作伙伴,使他们的硬币在交易所上市

美高梅集团app下载还观察到一个论坛用户评论说,让一枚硬币在交易所上市是多么容易. 他们写道,这足以给交易所提供一枚硬币的正面印象,然后“提供300新西兰币(约合167美元),他们的流动资金池。". 一些论坛成员还提供了使用新上市加密货币实施空投骗局的指南, 一种复杂的网络钓鱼攻击,恶意令牌生成假错误消息,将持有者重定向到网络钓鱼页面.

而且还不止于此. 只要对手具备足够发达的社会工程和营销技巧, 它们可以让不知情的投资者购买甚至没有区块链的“加密货币”的货币. 网络犯罪论坛上有很多文章告诉用户如何构建假区块链,并将其推销给(主要是散户)投资者. 也许这种骗局最著名的例子是OneCoin, 这是一个庞氏骗局,由总部位于保加利亚的离岸公司宣传为一种加密货币,从2014年到2016年骗走了投资者数十亿美元.

图3. 网络犯罪论坛用户分享了他们创建假区块链API的指南

除了制作他们自己的可疑区块链, 一些攻击者试图在已建立的区块链(如以太坊或币安智能链)上故意创建恶意的智能合约. 2021年9月, 一个论坛用户出价2美元,500美元用于“以太坊智能合约开发人员”编写脚本,自动从以太坊钱包中提取余额. 再一次, 如果你成为这种袭击的受害者, 你不可能跑到执法部门去拿回你的资金——那些钱已经花光了. 

甚至交易所本身也面临风险. 2014年3月,山. 气态氧, 大型比特币交易所, 因交易员的法律诉讼而申请破产, 他们损失了4.6亿美元,并声称他们的操作是欺诈. 尽管交易所最初声称自己被黑了, 这位首席执行官后来被控欺诈和挪用公款. 即使交易是完全合法的, 网络犯罪漏洞猎人一直在寻找漏洞. 美高梅集团app下载最近发现一个网络犯罪论坛的用户在宣传一个概念的证明 双重认证绕过 大型加密货币交易平台的漏洞(见图X). 这些交易所上的钱越多,网络罪犯就越有可能盯上它们.  

图4. 网络犯罪论坛用户宣传加密货币交易所漏洞的概念证明.
图4. 网络犯罪论坛用户宣传加密货币交易所漏洞的概念证明. 

在所有情况下, 加密货币投资者必须了解加密货币的风险以及网络罪犯对加密货币交易所构成的威胁, blockchains, 还有上面写的智能合约. 值得重申的是,在这里,你是你自己的银行——银行及其员工必须承担的所有必要阅读和研究现在都是你的责任. 在这里,知识就是力量,比以往任何时候都更强大. 当然, 美高梅集团app下载很难掌握对手试图将加密投资者从他们的基金中分离出来的所有方式, 但“美高梅集团app下载”会不断搜索暗网的各个角落,以确保美高梅集团app下载的客户知道新的攻击角度. 

为了了解最近网络犯罪的发展, 注册使用探照灯免费试用7天的《威胁情报》. 探照灯客户端接收实时, 有关新攻击类型的可操作情报更新, 包括美高梅集团app下载的全球分析师团队和情报人员对不同公开和封闭来源平台上的新帖子的分析.

在试驾中获取美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10