零时科技：2020年5月区块链安全大事件 | 黑客攻击手法种类繁

事件分析

据 零时科技 区块链安全威胁情报平台 数据统计，2020年5月，整个区块链生态被公开的区块链安全事件共31起：其中挖矿病毒软件发生7起，交易所攻击5起，勒索软件攻击4起，丢币盗币事件2起，数字货币洗钱事件4起，数字货币诈骗事件9起。

list.png

从图表数据来看，本月安全区块链安全攻击事件中，

数字货币诈骗事件依旧占比最大；挖矿病毒软件攻击和勒索软件几乎每周都在发生，其中挖矿病毒软件攻击事件相比上月增加一倍；交易所攻击事件中损失较大的为LMEX联交所声明平台遭黑客入侵被盗15万USDT，其他交易所攻击事件中主要攻击手法为DDOS攻击，目前相关交易所均已提高自身防护能力；数字货币洗钱事件中，影响较大的为Upbit涉案地址的洗钱过程，在2020年一月完成第一次洗钱后，本月继续洗钱4万ETH，涉案地址基本已将所有的数字货币清洗完毕。

我们对比较重大的黑客事件进行简单分析回顾

交易所攻击事件

LMEX联交所声明：平台遭黑客入侵被盗15万USDT，平台目前资不低债

5月27日，LMEX联交所在社群发布关于交易所运营调整通知。说明了平台的快速发展，超出平台系统的负荷，开通交易后，大量会员涌进登陆，导致APP卡顿严重，同时黑客还系统进行了入侵与攻击。目前在核查数据的情况与修复。黑客入侵被盗USDT，核实大概是15万USDT,单币最大52000USDT，平台目前资不低债，并平台关闭充提。

路印已完成因前端安全漏洞造成的交易所维护升级。

5月7日，路印发布公告称，Loopring Exchange 维护升级已完成，目前已重新部署了个新的版本，用户只要重置密码就可以使用。路印同时在公告中报告了此次前端代码的安全漏洞，此次漏洞是由 StarkWare 产品负责人 Avihu Levy 和其产品经理 Louis Guthmann 报告的一个路印交易所前端生成 EdDSA 密钥对的逻辑漏洞，该漏洞由于用户的 EdDSA 密钥对实际被限制在了一个 32 位整数空间，导致黑客可以通过穷举，找出所有用户的 EdDSA 密钥对。

新加坡BitSG币星交易所开启全面防御 阻击黑客进攻

5月18日，币星官方最新消息：BitSG官网及APP仍处在被黑客连续不间断攻击中，上一周遭到黑客DDOS攻击峰值达到200GB，CC攻击累计超过100万次。通过技术人员与安全公司的通力配合拦截，并没有对官网及APP造成大的威胁，用户的访问、浏览、登录体验未受到影响。

挖矿病毒软件

H2Miner黑产团伙利用 SaltStack 漏洞控制服务器挖矿，已获利 370 万元

2020年05月06日，腾讯安全威胁情报中心检测到H2Miner木马利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。H2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。

Souleman矿工利用永恒之蓝漏洞攻击企业，通过挖矿、窃密、盗窃数字货币三招获利超27万元

5月3日，腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现，攻击时利用永恒之蓝漏洞在内网攻击传播，攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时，会结束其他挖矿木马进程以独占资源。通过公开的钱包地址查询交易历史记录，发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。

勒索软件

用Google广告处置服务的勒索分析

5月23日，一种新型电子邮件勒索正在传播，针对的目标是通过 Google AdSense 服务投放广告的网站所有者。在近期出现的该类勒索中，攻击者要求受害者使用比特币支付勒索金额，支付后攻击者就不会向广告商投放的广告发起大量的虚假流量、垃圾流量。否则 Google 的自动反欺诈系统就会因为发现可疑流量而暂停用户的 AdSense 账户。

Ragnar Locker勒索软件攻击超出计算机本地杀毒软件的能力范围

5月23日消息，英国网络安全公司Sophos一项新研究警告，使用VirtualBox应用的Ragnar Locker勒索软件攻击超出了计算机本地杀毒软件的能力范围。

数字货币洗钱

Upbit交易所被盗资产洗钱

2019年11月，韩国三大加密交易所之一的Upbit交易所被盗，有34.2万枚 ETH（49,848,273 USD）从Upbit转移到未知钱包（0xa09871aeadf4994ca12f5c0b6056bbd1d343c029），加上其他代币，价值约5000万美元。

2020年01月，Upbit被盗地址开始进行了第一轮的洗钱过程，通过几层涉案账户地址的清洗，第一轮洗钱数额为20多万枚ETH，余下的涨幅一直未有大的动作。

2020年05月，Upbit涉案地址在转账100ETH后，连续转了两笔2000ETH，目前Upbit交易所被盗资产已基本洗钱完毕。

安全建议

• 交易所要对系统安全体系应足够重视，定期对系统进行整体的安全评估测试
• 交易所要建立完善的风控应急预案，比如控制转账频率，大额转账等
• 不要随意安装未知来源的软件，选择正规渠道进行下载安装
• 电脑服务器应避免打开不必要的端口，相应漏洞应及时打补丁，主机建议安装有效可靠的杀毒或其他安全软件
• 在WEB浏览器上安装挖矿脚本隔离插件，例如MinerBlock，NoCoin等

5月区块链安全总结事件

• 勒索软件攻击事件的数量在哥伦比亚呈上升趋势
• Ragnar Locker勒索软件攻击超出计算机本地杀毒软件的能力范围
• 用Google广告处置服务的勒索分析
• 新勒索软件Instabo要求用户支付比特币以解锁文件
• 黑客组织BlueMockingBird在数千台企业电脑中非法开采门罗币
• Souleman矿工利用永恒之蓝漏洞攻击企业，通过挖矿、窃密、盗窃数字货币三招获利超27万元
• 欧洲多台超级计算机中毒 沦为挖矿肉鸡
• Mykings 僵尸网络更新基础设施 大量使用 PowerShell 脚本进行“无文件”攻击挖矿
• H2Miner 黑产团伙利用 SaltStack 漏洞控制服务器挖矿，已获利 370 万元
• “8220”挖矿木马入侵服务器挖矿，已检测到挖矿木马变种攻击
• LMEX联交所声明：平台遭黑客入侵被盗15万USDT，平台目前资不低债
• 路印已完成因前端安全漏洞造成的交易所维护升级
• 新加坡BitSG币星交易所开启全面防御 阻击黑客进攻
• Youbi交易所开启平台币YT认购连续3天遭遇DDOS攻击
• 新加坡BitSG币星交易所成功抵御黑客百G DDOS攻击
• Facebook诈骗广告使用虚假福布斯加密货币文章
• 济南一男子买比特币被骗近19万 民警协助追回钱款
• 承德一男子“中枪”虚拟货币掉进陷阱被骗30余万元
• 比特儿交易所被盗过亿数字资产 涉嫌百亿非法经营
• 一起虚拟货币诈骗案 涉案金额超15万人民币
• 广州警方抓获首个虚拟货币OTC洗钱团伙细节曝光：系假冒火币网站诈骗
• CoinHunter：Telegram「搬砖套利」诈骗最新案例，单一用户被骗 281 个 ETH
• 浙江东阳检察院对一起数字货币诈骗案提起公诉，涉案金额达 3.8 亿元
• 不法分子利用雷军、微软总裁等知名人士名义进行比特币诈骗
• 纽约居民被控涉嫌参与9400万美元的比特币换卡计划而面临监禁
• Bitfinex2016年被盗比特币部分流入未知钱包地址
• 3000枚Upbit被盗ETH转入未知地址，价值约60.4万美元
• 2362.75万枚STEEM转入Bittrex
• Reddit用户：黑客利用GitHub信息抓取机器人窃取加密货币