盘点 | 成都链安：12月发生较典型安全事件超『9』起

据成都链安态势感知平台（Beosin-Eagle Eye）统计数据显示，在过去一个月（12月）中，共发生『9』起较典型的安全事件。

其中包括：

• DApp方面，本月内仅发生『1』起在波场上的安全事件：12月6日，Tron Lounge DApp遭到回滚交易攻击，共计损失54653TRX。

• 公链方面，本月内共发生『4』起安全事件。

1. 12月14日，唯链官方宣布遭遇黑客攻击，被盗走了11亿枚VET， 640万美元不翼而飞，超级权益节点已对黑名单中469个与窃贼相关的地址进行了拦截，从而冻结共计约7.27亿VET。

2. 12月20日，NULS公链官方账户被盗200万NULS代币，凌晨2点官方修复完漏洞，有548354.34696095NULS已流入到交易市场；硬分叉后，未流入到交易市场的1451645.65303905NULS将会以永久冻结的方式销毁。

3. 12月30日，公链IOTA主网出现共识分裂而无法更新的情况，TPS 一度接近 0，原因是在极端情况下，IRI（IOTA 主网客户端名称）没有考虑两个不同 bundle 之间共享的交易；一旦在一个 bundle 将某个交易标记为『已计数』，下一个 bundle 就会将其忽略，这一 bug 导致了账本状态的损坏，目前漏洞已修复。

4. 12月1日，Vertcoin（VTC）遭受了51％攻击，攻击者成功利用自己的553个区块替代了603个VTC主链区块，此次攻击攻击者花费大概超过0.5BTC，然而收到的区块奖励总价值为13825VTC（0.44BTC）。值得一提的是，2018年12月VTC公链也曾遭到51%攻击。

• 钱包方面，本月内发生『1』起恶意代码注入事件：以太坊钱包『Shitcoin Wallet』疑似被恶意JavaScript代码，企图从浏览器窗口抓取数据并发送至远程服务器erc20wallet.tk。

• 其他方面发生的安全事件有：

1. Poloniex加密货币交易所发邮件告知客户或存在数据泄漏，泄露的电子邮件地址和密码列表可能会被用于登录Poloniex帐户；交易所强制在拥有该交易所帐户的任何电子邮件地址上重设密码。

2. 黑客被发现利用著名流行歌手泰勒·斯威夫特（Taylor Swift）的JPEG照片来隐藏恶意加密挖矿软件MyKingz。

3. 58COIN官方公告，通过用户反馈，近期有不明人士或团伙冒用58COIN官方名义，利用高仿网站、高仿社群、高仿客服等手法误导投资者以达成钓鱼目的。

总的来说，12月较11月所发生的安全事件有所减少，在钱包、交易所、DApp方面发生的安全事件较少，且并未造成恶劣影响。

值得关注的是，本月发生的两起公链安全事件，唯链和NULS公链的接连『爆雷』，都在警示我们公链安全问题不容忽视，不能够简单认为通过审计代码便是万无一失。

鉴于当前区块链安全领域的新形势，『成都链安』在此提醒：

• 公链方面应尤其需要重视安全风险的发生。公链运营方需要从代码安全、人员安全培训、项目风险预案等多方面，建立起一套完善的安全体系来提高抵御攻击的能力和降低被攻击的风险。

• 必要时可寻求安全公司合作，通过第三方技术支持，完成安全检测、安全加固等基础设施建设，排查安全漏洞，以避免造成不必要的损失。