IT業界社群及資訊平台

【拋磚】地下討論區搞加密貨幣攻擊大賽 90萬港元奬金召喚高質方法

「重賞之下必有勇夫」這句說話可謂世界通行,有黑客組織早前就在俄羅斯一個地下討論區,以 11.5 萬美元獎金,邀請有才之士提供針對加密貨幣 (cryptocurrency) 及攻擊相關技術的可行方法,包括挖礦工具、智能合約及非同質化代幣 (NFT) 等等。比賽將於 9 月 1 日結束,不過主辦方現時已收到不少「學術」研究。

集思廣益是其中一個搵出漏洞的最佳方法,白帽黑客界亦有採用這種方式,當中以 HackerOne 賞金獵人 (bug bounty hunter) 平台最有名氣,旗下擁有約 60 萬會員,成員更來自全球 170 個地區。上年其中一個會員 Cosmin Lordache 更憑實力,於一年內靠鑽漏洞賺得過百萬美元賞金,成為白帽黑客界一時佳話。

而在黑帽方面亦有相同諗法,過往類似的地下討論區,亦有舉辦針對入侵手機作業系統、ATM 提款機及 POS 系統等等的賽事,獎金就只有一萬美元,不過但凡提交研究報告都可獲 50 美元獎勵。根據 Intel 47 網絡安全團隊所說,今次針對加密貨幣的賽事則早於四月中舉行,從現時討論區會員的投票結果顯示,大約可了解到相關提案的內容。

比較大路的方法,是透過釣魚電郵騙取用戶的帳戶登入資料及金鑰。不過亦有較高層次的建議,例如其中有研究提議建立一個虛假的區塊鏈 (Blockchain) 網站,以套取加密貨幣持有人的帳戶密碼。又有人建議從無到有建立一個新的加密貨幣,增加 hash rate 速度以吸引用戶挖礦,從而盜取其電腦內其他加密貨幣及電子錢包資訊。此外,亦有參加者建議透過操控與加密貨幣有關的知名網上服務的API,從中盜取其帳戶登入資料。

雖然網絡罪犯正透過拋磚引玉的方法,壯大自己的攻擊力,不過,專家就認為這些比賽正好讓白帽黑客及安全研究組織,了解對家的想法及漏洞存在的可能性,除非內容完全保密,否則多留意這些地下討論區,依然會有所得益。

資料來源:https://bit.ly/3gc5xR6

Privacy Preference Center