• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:230

KickICO是一個基於以太坊區塊鏈的資金募集平台，上週五，KickICO披露了一項安全漏洞，根據KickICO的官方公告，KickICO遭黑客入侵存取其錢包並竊取超過7000萬KICK虛擬代幣(Token)（時約770萬美元）。

事件發生在7月26日09:04 UTC，KickICO執行長Anti Danilevski表示，在接獲幾名受害者的投訴他們的錢包帳戶裡價值80萬美元的代幣不明原因消失後，該團隊即發現其安全漏洞，會導致攻擊者獲得KICK智慧合約(smart contract)帳戶，從而控制KickICO代幣平台。

截至週五，該公司宣佈局勢得到控制，智慧合約已經恢復。 KickICO宣布將把所有被盜的KICK代幣歸還給他們的合法所有者，因此，受影響的用戶被要求發送電子郵件到report@kickico.com「以便將資金返還給錢包帳戶」。

該公司迅速開始對安全漏洞進行調查，內部員工發現攻擊者設法存取開發人員用來管理KICK虛擬代幣的智慧合約在KickICO平台的私鑰。

一旦獲得密鑰，攻擊者能夠透過存取控制KickCoin智慧合約的私鑰來進行攻擊，使用KickCoin智慧合約與Bancor網路整合的方法破壞了大約40個地址的代幣，並在相應數量的其他40個地址創建代幣，因此，KickCoins的總數未受影響。

幸運的是，社群很快發現了安全漏洞並幫助平台緩解了這一漏洞。 KICKICO透過將另一個離線儲存(或稱冷儲存, cold storage)的相關私鑰替換遭駭的私鑰，迅速做出反應並防止了進一步的損失。

曲速未來實驗室認為，目前市面上大部分的以太坊智慧合約，大多設立owner特權角色。即使一份智慧合約沒有程式碼上的缺陷，也會有很大的風險，稱之為「單點威脅」，因為owner特權角色在一定程度上可以影響該智慧合約的執行秩序，而並不能保證owner自己不作惡又或是owner特權不會被攻擊者竊取，而這次的KickICO盜幣事件就是由於owner私鑰被竊取導致。 

曲速未來實驗室表示，雖然KickICO重新控制了智慧合約，並且保證所有被盜的資金都將歸還到原錢包帳戶中。但目前大部分智慧合約設立特權角色，雖然說從業務角度來說是可以理解的，但是這是與區塊鏈的核心思想相悖的，區塊鏈去中心化的目的之一就是消除單點威脅，而設立特權角色實際上是製造單點威脅。 

曲速未來實驗室建議，面對「假去中心化」的專案，投資人需要謹慎以及提高警惕，因為特權帳戶隨時可能會監守自盜亦或是特權帳戶被竊取而產生大量經濟損失。

攻擊手法：Gain privilege

參考連結：

https://securityaffairs.co/wordpress/74910/hacking/kickico-hack.html
https://medium.com/@kickico/kickico-security-breach-issue-under-control-all-kickcoins-will-be-returned-ebe65a491dec
https://cryptovest.com/news/kickico-suffered-77m-hack-attack-says-will-return-stolen-kicko-tokens/
https://read01.com/ePG4407.html#.W2D_OqSFOUk
https://itw01.com/QVDXGEF.html