知道創宇 404 實驗室披露 2018 年信息安全相關國際大事件_比特幣

縱觀2018年網絡安全事件，網絡犯罪分子攻擊手段變幻莫測，除了零日漏洞的利用外，勒索軟件、惡意挖礦大行其道，區塊鏈領域險象環生，暗網數據泄露更是層出不窮，而且攻擊渠道日益變幻，IoT設備、工業網亦成為不法黑客的攻擊重點，以上這些皆都為整個網絡空間安全環境帶來全新挑戰。

知道創宇404實驗室通過監控、分析全球威脅活動信息，積極參與各類安全事件應急響應，并結合2018年全年國內外各個安全研究機構、安全廠商披露的重大網絡攻擊事件，基于這些重大攻擊事件的攻擊技術、危害程度等，評選出2018年信息安全相關大事件。

0x00國際篇

1.MemcacheDDoS攻擊

2018年3月1日，Github遭受遭1.35TB大小的DDoS攻擊，隨后的幾天，NETSCOUTArbor再次確認了一起由MemcacheDDoS造成的高達1.7Tbps的反射放大DDoS攻擊。在2018年上半年虛擬貨幣價值飆升、黑灰產轉向至挖礦領域、反射放大攻擊持續下降的情況下，利用MemcacheDDoS造成如此大流量的攻擊，其威力可見一斑。

億萬富翁Peter Thiel：我可能知道中本聰在哪:金色財經報道，PayPal聯合創始人、億萬富翁風險投資家PeterThiel周三披露，他可能知道去哪里尋找比特幣的神秘創始人中本聰，甚至可能在多年前遇到過中本聰本人，只是當時并沒有意識到。PeterThiel的這一猜測源于二十一年前他與E-Gold的創始人們的會面，E-Gold是一種創立于1996年的私人數字貨幣，在2007年4月被美國司法部起訴后，現已被取締。Thiel說，2000年2月，他在加勒比海安圭拉島的海灘上遇到了他們。當時，他們討論了如何讓PayPal與E-Gold實現互操作，以“摧毀所有央行”。蒂爾是PayPal的聯合創始人。他表示：“我對中本聰身份的推測是，中本聰當時就在安圭拉的海灘上。”事實上，他認為中本聰可能是當時在海灘上的大約200人之一。他還稱，中本聰可能從E-Gold的錯誤中吸取了教訓，因為他在名為《比特幣：點對點電子現金系統》的論文列出了比特幣的使用案例。中本聰可能是一個人，也可能是一群人。他在2008年萬圣節前后發表了最后一篇論文《比特幣：點對點電子現金系統》，概述了加密安全、去中心化的點對點數字支付系統的原理。在那之后，就再也沒有了中本聰的消息。Thiel說：“比特幣是E-Gold的答案，中本聰認識到，你必須匿名，你必須沒有公司。即使是一家公司，哪怕是一種公司形式，也與政府聯系太緊密了。”但這位億萬富翁澄清道，他并沒有花太多精力去查明比特幣創始人的真實身份，這與加密貨幣領域的一些人所做的相反。（新浪美股）[2021/10/22 20:48:52]

2.Cisco路由器被攻擊事件

BlockBank運營主管：沒人知道誰在控制薩爾瓦多的BTC密鑰:9月28日消息，薩爾瓦多本月早些時候正式承認比特幣為法定貨幣，但許多問題仍未得到解答，其中包括一個出于安全目的的重要問題：誰控制著該國比特幣存儲的私鑰？加密錢包提供商 BlockBank 運營主管 Nolvia Serrano 在接受采訪時提出了這個問題，她表示：今天我們的標準是什么？薩爾瓦多會購買更多比特幣嗎？是不是要等到下個月？我們不知道。他們是否打算購買更多比特幣？購買過程是什么？誰在控制BTC密鑰？誰在監督這些過程？此外，Nolvia Serrano還成薩爾瓦多政府尚未披露為 Chivo 錢包選擇供應商的標準，并認為比特幣對透明度的承諾與薩爾瓦多缺乏公開信息的比特幣政策存在明顯差異。根據弗朗西斯科加維迪亞大學公民研究中心委托今年 7 月進行的一項調查發現，77% 的薩爾瓦多人認為該國總統的比特幣法案不是明智之舉，今年 9 月進行的第二項調查發現，超過三分之二 (67%) 的受訪者不同意或強烈反對比特幣成為薩爾瓦多的法定貨幣。[2021/9/28 17:11:28]

2018年1月，Cisco官方發布了一個有關CiscoASA防火墻webvpn遠程代碼執行漏洞的公告。2018年3月，Cisco官方發布了CiscoSmartInstall遠程命令執行漏洞的安全公告。這兩個漏洞都是未授權的遠程命令執行漏洞，攻擊者無需登錄憑證等信息即可成功實施攻擊。2018年4月6日，一個名為"JHT"的黑客組織攻擊了包括俄羅斯和伊朗在內的多個國家網絡基礎設施，遭受攻擊的Cisco設備的配置文件會顯示為美國國旗，所以該事件又被稱為"美國國旗"事件。

BMEX與幣圈都知道社區達成深度戰略合作:據官方消息，目前BMEX已與幣圈都知道社區達成深度戰略合作關系，雙方將在福建成立大型區塊鏈培訓基地。

幣圈都知道社區是集區塊鏈知識普及、行情分析研究、二級市場培訓于一體的綜合性社區，在全國多地設立有培訓基地。

BMEX是一個數字資產綜合服務平臺，致力于為用戶提供安全、可信賴的數字資產交易及資產管理服務。[2021/3/4 18:13:53]

3.供應鏈攻擊

供應鏈攻擊一直以隱蔽、高效著稱。2018年供應鏈攻擊在不同層面都有發生、發生原因也不盡相同。有火絨安全最先曝光的針對驅動人生公司進行的攻擊，有由于NodeJS庫作者隨意給相關庫權限導致被攻擊者植入后門的攻擊，也有感染易語言模塊并使用“微信支付”進行勒索的勒索病。供應鏈中任何薄弱的地方都有可能導致供應鏈攻擊的發生。

4.GPON遠程命令執行漏洞

聲音 | Cobra：想知道真正的金融科技長啥樣 看看比特幣白皮書:比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra剛剛發布推文稱，大多數金融科技公司幾乎沒有什么真正創新，不過都是建立在數十年前VISA和萬事達(Mastercard)后端基礎上的看起來不錯的應用程序。Cobra稱：“想知道真正的金融科技是什么樣的嗎？去看看比特幣白皮書吧。”[2019/11/7]

2018年4月30日，vpnMentor公布了GPON路由器的兩個高危漏洞，繞過驗證漏洞和命令注入漏洞。結合這兩個漏洞，只需要發送一次請求就可以在GPON路由器上執行任意命令。在該漏洞披露后的十天內，該漏洞就已經被多個僵尸網絡家族整合、利用、在公網上以蠕蟲的方式傳播。

5.Java反序列化漏洞

2018年的Java反序列化漏洞還在持續爆發，在知道創宇404實驗室2018年應急的漏洞中，受此影響最嚴重的是WebLogic，該軟件是美國Oracle公司出品的一個ApplicationServer。2018年知道創宇404實驗室應急了5個WebLogic的反序列化漏洞。由于Java反序列化漏洞可以實現執行任意命令的攻擊效果，是黑客用來傳播病，挖礦程序等惡意軟件的攻擊方法之一。

聲音 | Ledger首席執行官：很多人仍然不知道如何保護他們的加密資產:法國硬件錢包制造商Ledger首席執行官EricLarchevêque表示，他對加密貨幣行業的未來持樂觀態度，他正在為“新一代消費者”做準備。然而，Larchevêque聲稱，在加密貨幣存儲教育方面，仍然是一個值得關注的領域，許多用戶無法充分保護他們的資金。談到Cryptopia黑客和2018年的其他各種損失，總額接近10億美元，Ledger首席執行官認為，很多人們仍然不知道如何保護他們的加密資產。[2019/2/5]

6.Drupal遠程代碼執行漏洞

Drupal是使用PHP編寫的開源內容管理框架，Drupal社區是全球最大的開源社區之一，全球有100萬個網站正在使用Drupal，今年3月份，Drupal安全團隊披露了一個非常關鍵的(21/25NIST等級)漏洞，被稱為Drupalgeddon2(CVE-2018-7600)，此漏洞允許未經身份驗證的攻擊者進行遠程命令執行操作。

7.數據泄漏事件

2018年多起大型數據泄漏事件被曝光，2018年6月12日，知道創宇暗網雷達監控到國內某視頻網站數據庫在暗網出售。2018年8月28日，暗網雷達再次監控到國內某酒店開房數據在暗網出售。2018年11月30日，某公司發布公告稱，旗下某酒店數據庫遭入侵，最多約5億客人信息被泄漏。2018年12月，一推特用戶發文稱國內超2億用戶的簡歷信息遭到泄漏。除此之外，facebook向第三方機構泄漏個人信息數據也引起了極大的關注。隨著暗網用戶的增多，黑市及加密數字貨幣的發展，暗網威脅必定會持續增長，知道創宇404安全研究團隊會持續通過技術手段來測繪暗網，提供威脅情報，追蹤和對抗來自暗網的威脅。

8.EOS平臺遠程命令執行漏洞

2018年5月末，360公司Vulcan團隊發現EOS平臺的一系列高危漏洞，部分漏洞可以在EOS節點上遠程執行任意代碼。這也就意味著攻擊者可以利用這個漏洞直接控制和接管EOS上運行的所有節點。從漏洞危害等方面來說，稱該漏洞為“史詩級”名副其實。

9.多個區塊鏈項目RPC接口安全問題

2018年3月20日，慢霧區和BLOCKCHAINSECURITYLAB揭秘了以太坊黑人節事件相關攻擊細節。2018年8月1日，知道創宇404實驗室在前者的基礎上結合蜜罐數據，補充了后偷渡時代多種利用以太坊RPC接口盜幣的利用方式：離線攻擊、重放攻擊和爆破攻擊。2018年08月20日，知道創宇404實驗室再次補充了一種攻擊形式：“拾荒攻擊”。RPC接口并非以太坊獨創，其在區塊鏈項目中多有應用。2018年12月1日，騰訊安全聯合實驗室對NEORPC接口安全問題提出預警。區塊鏈項目RPC接口在方便交易的同時，也帶來了極大的安全隱患。

10.區塊鏈智能合約相關漏洞

區塊鏈安全漏洞很多都出現在智能合約上。昊天塔(HaoTian)”是知道創宇404區塊鏈安全研究團隊獨立開發的用于監控、掃描、分析、審計區塊鏈智能合約安全自動化平臺。將智能合約各種審計過程中遇到的問題總結成漏洞模型，并匯總為《知道創宇以太坊合約審計CheckList》。涵蓋了超過29種會在以太坊審計過程中會遇到的問題，其中部分問題更是會影響到74.49%已公開源碼的合約。

隨著2017年年末的一款名為CryptoKitties(以太貓）的區塊鏈游戲爆火，智能合約DApp成了2018年區塊鏈發展的主旋律。2018年4月22日，攻擊者利用BEC智能合約轉賬函數中的一處乘法溢出漏洞，清空了BEC的所有合約代幣。2018年7月24日，外國的一位安全研究者利用Fomo3D的Airdrop特性加上隨機數漏洞，讓Fomo3D損失了空投池中所有的代幣。2018年8月22日，Fomo3D第一輪大獎被開出，攻擊者利用以太坊底層的交易順序問題獲得了超過10000枚以太幣，這個漏洞的曝光也標志著對交易順序依賴的智能合約正式的死亡。包括以太坊DApp和EOSDApp在內，從實際的安全漏洞到業務安全問題，智能合約安全漏洞直接威脅著代幣安全，這也標志著智能合約會經受著更大挑戰。

本文來源于非小號媒體平臺：

知道創宇

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627125.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

從2018年度區塊鏈安全大事件，看當前區塊鏈安全發展與問題

下一篇：

日本通證監管探索之路，案件推動，多措并舉

Tags：比特幣區塊鏈PALSCO比特幣美元華爾街見聞以下哪項不是區塊鏈目前的分類pala幣價值LooksCoin

火必交易所