以太坊作为区块链平台,其安全性一直备受关注,但也曾发生过黑客攻击事件,以下是对以太坊黑客攻击事件的归纳:
一、以太坊联合创始人推特账号被黑客入侵事件
(图片来源网络,侵删)
1、事件概述:
* 以太坊联合创始人Vitalik Buterin的推特账号被黑客入侵。
* 黑客通过点击链接的方式导致多名用户受害,链上已被盗取69.1万美元,且多个蓝筹非同质化代币(NFT)系列藏品也被出售。
2、事件影响:
* 链接已被删除,但安全专家警告危机未解除。
* 被盗走的NFT属于许多蓝筹项目,包含CryptoPunks、Meetbits等,其中最受瞩目的是CryptoPunks,黑客以155枚以太币转手出售,价值约合25万美元。
二、Poly Network跨链互操作协议遭黑客攻击事件
1、事件概述:
* 跨链互操作协议Poly Network突遭黑客攻击,在Poly Network现已集成的三大主流生态(以太坊、BSC、Polygon)上,黑客分别盗走了2.5亿、2.7亿、8500万美元的加密资产,损失总额高达6.1亿美元。
2、事件原因:
* 可能是用于跨链签名的私钥被泄漏,或是签名程序有逻辑漏洞导致签署出了攻击交易。
* 另一种观点是黑客与团队内部人员勾结完成了攻击。
3、事件影响:
* 成为了DeFi历史上和整个加密货币历史上涉案金额最大的黑客事件。
* 遭受此次事件影响的主要群体是通过跨链聚合器O3 Swap进行挖矿的用户。
1、事件概述:
* 攻击者利用以太坊节点Geth/Parity RPC API鉴权缺陷,恶意调用eth_sendTransaction盗取代币,持续时间长达两年。
* 单被盗的且还未转出的以太币价值就高达现价2千万美金,还有代币种类164种,总价值难以估计。
2、攻击过程:
* 全球扫描开放的以太坊节点,发送相关API遍历区块高度、钱包地址及余额。
* 不断重复调用eth_sendTransaction尝试将余额转账到攻击者的钱包。
* 当碰上节点用户对自己的钱包执行unlockAccount时,在duration期间内无需再次输入密码为交易签名,此时攻击者的eth_sendTransaction调用将被正确执行。
3、防御建议:
* 更改默认的RPC API端口和监听地址为内网。
* 配置iptables限制对RPC API端口的访问。
* 账户信息(keystore)不要存放在节点上。
* 私钥物理隔离或高强度加密存储并保障密钥的安全。
1、事件概述:
* 2023年12月7日,据Beosin旗下Eagle Eye平台消息,以太坊的TIME合约遭受黑客攻击,黑客获利约18.8万美元。
2、攻击手法:
* 攻击者利用ERC2771协议的安全问题,通过转发器合约调用了TIME代币的multicall函数,并恶意伪造了_msg.sender,进而销毁了pair中的代币。
* 攻击者首先使用WTH兑换约34.5亿个Time代币作为准备资金,然后调用转发器的execute函数通过签名验证,并传入恶意的calldata。
* 攻击者调用pair中的sync函数同步pair中的储备量,使得Time代币价格上涨,并使用准备阶段获得的TIME代币在pair中兑换ETH从而获利。
3、事件影响:
* 提醒了智能合约的安全性至关重要,项目方必须加强对漏洞的识别和修复。
以太坊平台虽然具有高度的安全性和去中心化的特点,但仍面临着黑客攻击的风险,用户应提高安全意识,加强账户和私钥的保护,同时项目方也应加强对漏洞的识别和修复工作。
| 正加财富网内容推荐 | ||
| OK交易所下载 | USDT钱包下载 | 比特币平台下载 |
| 新手交易教程 | 平台提币指南 | 挖矿方法讲解 |
