据成都链安安全舆情监控数据显示:2021年1月,据不完全统计,整个区块链生态发生的典型安全事件超25起,所造成的经济损失依然主要覆盖在交易所、DeFi、跑路/加密局、勒索软件/挖矿木马、暗网、其他等几个方面。总的来看,2021年1月整体安全风险评级为,仍然不可掉以轻心。相较于2020年12月,1月所发生的典型安全事件的数量有所减少;然而,在,事件数量依然居高不下,值得行业各方从业者重点关注。随着区块链技术与虚拟资产的普及程度不断上升,而大众的相关知识储备却并未得到同等程度的提高,导致不少投机者及者开始炮制各类局,进而导致该领域安全事件数量呈高发态势。以下为本月安全月报的详细事项。交易所方面:共发生『2』起典型安全事件
01俄罗斯虚拟资产交易所Livecoin宣布将终止其服务,并敦促其客户继续提款。02日本虚拟资产交易所Liquid近日公布针对去年11月因遭入侵而用户数据泄漏的最终调查结果。Liquid表示,包括电子邮件地址,名称,加密密码,API密钥等169782项用户数据信息已泄漏。DeFi方面:共发生『3』起典型安全事件
巧克力COCO智能合约已通过Beosin(成都链安)安全审计:据官方消息,Beosin(成都链安)近日已完成巧克力coco智能合约项目的安全审计服务。据介绍,巧克力COCO是基于波场底层打造的一个去中心化开放金融底层基础设施。结合波场TICP跨链协议,订单簿DEX,智能挖矿等等功能的创新和聚合,进而打造全面去中心化金融平台。巧克力COCO无ICO、零预挖且零私募,社区高度自治。合约地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC审计报告编号:202010042149[2020/10/5]
011月2日,推特用户NourHaridy发推表示,yCredit的智能合约容易受到攻击,或导致所有用户资金受到损失;并建议已使用ETH存入合约或在Sushiswap上购买了yCredit的用户立即将其撤回或出售,随后其将发布漏洞利用程序。02picklepDAI池的黑客地址继1月8日异动后,再次于1月14日发生异动。此前黑客地址转移了1500万DAI到5个新地址,现除了地址,其余四个地址均发生异动,共转入400万DAI。031月27日,SushiSwap的DIGG-WBTC交易对的手续费被攻击者通过特殊的手段盗取。跑路/加密局方面:共发生『6』起典型安全事件
OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息,OneSwap已9月6日顺利通过智能合约代码安全审计,此次审计工作由三家业内知名的安全公司慢雾科技,派盾PeckShield,成都链安完成。在审计过程中,三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作,以最大程度确保及时发现漏洞。
审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准,审计中发现的问题目前都已解决或正在解决中。
OneSwap是一个基于智能合约的完全去中心化的交易协议,在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可,可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息,Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]
011月1日,印度于英迪拉·甘地国际机场逮捕一名60岁男子UmeshVerma,罪名是通过加密局至少45人,金额共计2.5亿卢比。02美国联邦调查局正在调查一起庞氏局,3名嫌疑人通过承诺虚拟资产和其他投资回报从投资者处窃取了约2800万美元。031月9日,西班牙拘留了4名不同国籍的人,因其涉嫌实施一起价值约1500万美元的加密庞氏局。04在过去几周内,假冒特斯拉首席执行官埃隆·马斯克个人资料的推特虚拟资产赠品局有所增加。到目前为止,这些局已经获得了超过58万美元的BTC。05加利福尼亚州一男子声称,在SIM交换加密局中损失了约27000美元的BTC。06近日,网传多名流动性“矿工”称币安智能链上又一个DeFi“土矿”popcornswap跑路,项目方卷走近48000个BNB,价值约215万美金。数日内还有3个项目跑路。目前SharkYield跑路疑似带走了6000个BNB。
成都链安CEO杨霞:DeFi项目方应重视合约安全问题:据官方消息,在由OKEx主办的“后疫情时代:DeFi的机遇与挑战”社群活动上,成都链安创始人兼CEO杨霞谈到最近dForce攻击事件,她表示,DeFi项目正在快速发展壮大,据我们统计截止2020年,锁定在以太坊DeFi应用中资产已达到10亿美元。DeFi项目火爆主要来源它的高收益。DeFi又被称为“去中心化金融”,开放式金融基础,则是高达8%-10%收益率必然会伴随巨大风险。各方DeFi团队开发自己合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格安全审计,这就导致各种合约漏洞与相关安全问题层出不穷,此次事件项目方就应该进行重入防护:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合约状态变量,再进行外部调用。任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。[2020/4/30]
动态 | 成都链安获得前海母基金新一轮融资:金色财经报道,2020年2月,成都链安科技有限公司正式宣布,获得前海母基金新一轮融资,以推动区块链安全事业健康有序发展。此前,成都链安已在2019年12月获得由联想创投、复星高科领投,成创投、任子行战略投资的数千万元融资,以及在2018年3月获得分布式资本的种子轮投资,在2018年9月获得界石资本、盘古创富的天使轮投资。据了解,前海母基金是目前国内商业化募集母基金,截至目前已完成募集规模285亿元。[2020/2/25]
Beosin评论从近几个月的安全形势来看,所发生的事件数量呈现出稳步爬升的走向,并且所造成的经济损失远远超于来自黑客的攻击行为和盗窃行为。与此同时,无论是行为,还是跑路行为,涉案范围都通过互联网进而波及全球。针对如此严峻的安全形势,作为用户和投资者,更需要擦亮双眼,谨慎甄别。勒索软件/挖矿木马方面:共发生『5』起典型安全事件
01某网站所有者收到电子邮件威胁称,需要发表对于coinmama.com的5星评论,并要点赞或分享两次。如果收件人在48小时内不完成这些事情,勒索者声称将从网站创建数以百万计的反向链接到收件人网站,破坏其声誉。02在世界各地的公司遭到入侵后,据称Ryuk勒索软件的运营者从赎金支付中赚取价值超过1.5亿美元的BTC。03网络安全公司Intezer发现了一种新型恶意病ElectroRAT,该病可以在Windows,Linux和macOS上运行以窃取虚拟资产。该恶意程序已经活跃了1年多,并通过专门的论坛和市场营销活动进行推广,Intezer估计下载了该恶意软件的受害者数量约为6500人。041月11日,美国密歇根州称,一名匿名人士向州长GretchenWhitmer和该州雇员邮寄死亡威胁信,试图收取价值约200万美元的BTC。05智能化解决方案供应商Radware的5名客户在去年12月和今年1月收到了勒索信。威胁称,如果他们不向一个组织支付5个BTC,就会遭到DDoS攻击。暗网方面:共发生『4』起典型安全事件
分析 | 成都链安:钱包Safuwallet服务器是否存储了用户的私钥是关键:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事,成都链安在接受金色财经采访时指出:“safuwallet是第三方extension插件钱包,用户资产被盗,主要原因还是私钥被盗,发生了这样的问题,对于钱包服务器而言只要不存储用户的私钥,只做相关交易数据的处理的话,两者之间就没有关系,如果服务器存储了用户的私钥,那黑客就有可能通过攻击服务器获取到用户的私钥。推特消息称是safuwallet被注入了恶意代码,黑客可能先将恶意代码注入到safuwallet中,然后引诱受害者安装钱包,再获取到受害者的私钥后,进行相关代币的转移。事实上,对于非官方钱包,安全性确实不太好保障。对于此类钱包,私钥被盗的时间时有发生。对于这个事件,后续的影响主要是用户的损失、钱包和交易所的声誉。”[2019/10/12]
01暗网论坛Dread的管理员Hugbunter称,目前所有v3洋葱地址均已无法访问,事故发生原因未知,但可能会对整个网络造成巨大攻击。021月11日,德国切断并关闭了被认为是世界上最大的暗网交易平台服务器“黑市”,该非法交易平台上卖家超过2400个,客户近50万。03网络安全公司CheckPoint在暗网上发现了许多销售Covid-19疫苗的卖家,卖方要求用比特币进行付款;但在付款后,并没有交付货物。04暗网Joker'sStash将于下个月关闭,暗网网络安全公司GeminiAdvisory的报告显示,该网站过去一年的比特币收入超过10亿美元。
Beosin评论本月,所发生的事件数量有所提升,对从事网络安全及区块链安全的各方从业者敲响警钟,不能忽视整个行业生态的安全建设。长久以来,暗网充斥着各类非法犯罪行为,无形中威胁着国际社会的稳定与安全。加强暗网治理有关技术,提升全球治理和管理暗网的整体实力,是必须采取的高效措施。其他方面:共发生『5』起典型安全事件
01英国一IT工程师不小心将藏有7500个BTC私钥的硬盘当垃圾扔掉,按照3.2万美元估算约为2.4亿美元。02据FinancialTribune一份报告显示,伊朗当局关闭了1620个非法虚拟资产矿场,在过去18个月中,这些矿场共消耗了250兆瓦的电力。03因极右翼极端分子在BitTorrent旗下流媒体平台DLive直播美国国会大厦的暴力暴动事件,DLive遭到抨击。有用户指控称,DLive自成立以来,已经通过将虚拟资产内置在网站提供的服务中,向极端分子支付了数十万美元资金。04去中心化虚拟游戏平台沙盒游戏TheSandbox表示,TheSandboxASSET智能合约很容易出现重复问题,目前还没有恶意用户利用该漏洞进行攻击,其他所有智能合约均不受影响,SAND和LAND智能合约也没有风险。051月27日,Coinbase钱包工程主管PeteKim发推称,如果在苹果iOS设备上使用移动加密钱包,一定要尽快更新iOS系统。因为iOS系统更新包含一个远程代码执行漏洞的修复。该漏洞可能会威胁移动加密钱包的安全。
鉴于当前区块链生态的安全态势,『成都链安』在此总结:尽管2021辛丑牛年的新春佳节来临在即,但黑客、者、攻击者等犯罪分子并不会因为春节到来而减缓非法行为的推进步伐。相反,愈逢佳节,犯罪分子愈将抓住大众疏于防范的心态,潜藏的安全风险也很有可能集中性爆发。因此,越是临近春节,越要筑牢安全防线。虽然整体上来看,2021年1月的区块链整个生态的典型安全事件较2020年12月呈有所下降,整体安全风险也从回落到,但依然可以清楚地看到,在、、仍旧态势严峻。尤其是,涉案人员多、涉案范围广、涉案金额高,全球范围内各国都已开始重视跑路及加密局所造成的恶劣影响,并相继发布关于虚拟资产安全监管和合规的政策法规,以推动整个区块链生态监管进程建设。在此,成都链安提醒广大用户和投资者在项目选择阶段,切记一定要谨慎,不要被所谓的“利益”蒙蔽了双眼,天下没有免费的午餐,馅饼也不会不偏不倚地恰好掉进自己的嘴里,切莫因小失大。在春节期间,更要提高自身安全防意识,抛弃不切实际的心态。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。