6月发生典型安全事件超36起 “DeFi”与“虚拟货币”安全风险居高不下

据成都链安【链必安-区块链安全态势感知平台(Beosin-Eagle Eye)】安全舆情监控数据显示:2021年6月,据不完全统计,整个区块链生态发生的典型安全事件超36起,整体安全风险评级为【高】。本月,【DeFi方面】依然是典型安全事件频发的主要阵地,“闪电贷攻击”依然是黑客采取的主要攻击手段。另外,【跑路/加密局方面】安全态势同样严峻,不可掉以轻心。

较5月而言,DeFi生态的攻击事件不再局限于BSC链上项目,随着DeFi生态趋于繁荣,各类DeFi项目也由于其产品设计与实现上的不同,暴露出了不同的安全风险。例如,xWin Finance被黑事件中,攻击者就利用了项目本身在“推广手段和奖励机制”上存在的漏洞而发动攻击;而在SafeDollar被黑事件中,攻击者则是利用了项目合约在“抵押和计算奖励”上存在的逻辑缺陷。

以下为本月安全月报的详细事项。

交易所方面

共发生『2』起典型安全事件

01

韩国当局新规,交易平台工作人员如果在自己的平台上进行交易,其交易平台将面临最高1亿韩元(约合9万美元)的罚款和暂停交易许可。

02

韩国警察因涉嫌违反有关限制非法信用行为的法律和,逮捕了虚拟货币交易平台“V Global”的代表A某和经营人员等4人。

DeFi方面

共发生『11』起典型安全事件

PancakeHunny遭遇黑客攻击,短时间内增发大量的代币并抛向市场。

SushiSwap帮助Alchemix发现了一个能从他们的奖励合约中抽走ALCX的漏洞,从而Alchemix请求SushiSwap禁用他们的“双挖奖励”。

03

收益农场EvoDefi遭到攻击,导致其代币GEN价格从2.1美元/枚跌至0.9美元/枚,跌幅达57%。

04

DeFi固定利率生成协议88mph,发布init( )函数严重漏洞的修复报告。

05

Alchemix alETH池疑似出现漏洞,用户可以在未偿还alETH债务的情况下提出抵押的ETH。目前团队已停止该池的抵押借贷并展开调查。

06

DeFi协议Impossible Finance疑似遭到闪电贷攻击。

Theta Network将于4月21日发布主网3.0:3月2日,去中心化流媒体平台Theta Network官方发推宣布,Theta主网3.0将于4月21日发布。Theta主网3.0将引入TFUEL质押功能和销毁机制。届时用户可以将TFUEL质押到边缘节点上,并将其升级为Elite Edge节点,以从视频平台获得额外的TFUEL。销毁机制方面,在Theta 3.0中,将至少销毁向边缘网络支付的TFUEL费用的25%。TFUEL(Theta Fuel)是基于Theta网络发行的手续费代币(Gas Token)。Theta边缘节点设备可因其贡献而在Theta区块链上获得TFUEL代币。[2021/3/2 18:07:00]

07

Eleven Finance中与Nerve相关的机池或遭闪电贷攻击。Nerve Finance团队表示资金安全。

08

6月25日,BSC链上DeFi协议xWin Finance遭到闪电贷攻击。

09

6月28日,SafeDollar疑似遭到黑客攻击,一份未经证实的合约抽走了25万美元的USDC和USDT。

10

THORChain遭受到恶意攻击,该次攻击造成14万美元资金损失,但THORChain表示用户资金不会受到影响,将会用资金库来弥补漏洞资金。

11

收益聚合器Merlin Lab,由于MerlinStrategyAlpacaBNB中存在的逻辑漏洞遭到了黑客的攻击,其漏洞是合约误将收益者转账的WBNB作为挖矿收益,使得合约增发更多的$MERL作为奖励。

Beosin评论?

本月,DeFi方面典型安全事件突破“10起”关口,安全态势依然严峻。诸如闪电贷攻击、业务逻辑漏洞、项目奖励机制等原因,均成为了黑客发动攻击行为的“裂口”,因此作为项目方而言,切记要注重项目本身的设计和实现。必要时,可借助第三方安全公司的力量,开展项目自查工作,排除可能存在的安全隐患。

跑路/加密局方面

共发生『8』起典型安全事件

6月1日,涉嫌通过比特币点对点平台LocalBitcoins进行的2名男子被拘留。在该中,近36人以及约13.6万美元的虚拟货币被。

6月12日,推特用户称收到了来自团队的邮件,其打开了其中附带的Microsoft Word标识的scr文件,随后便遭到攻击。

英国诺丁汉郡一名男子称被虚假的经纪公司在加密局中窃取了20万英镑(约28.2万美元)。

币安智能链(BSC)上稳定币兑换自动做市商StableMagnet Finance,卷走用户2200万美元后跑路。

虚拟货币投资平台Africrypt创始人失联,平台上6.9万枚比特币(约为23亿美元)被转移。

6月24日,西昌市局在强化打击电信网络犯罪过程中,首次打掉利用虚拟货币为电信网络犯罪“”的团伙。

欧洲刑警组织打击了比利时庞氏局Vitae。在此次行动中,执法人员收回了110万欧元现金和150万欧元的虚拟货币。

有子冒充虚拟货币分析师PlanB的身份,在推特上进行,已有许多人的资金被盗。

Beosin评论

近两个月以来,发生在【跑路/加密局方面】的典型安全事件居高不下,足以见得,虚拟货币已越发成为影响整个区块链安全生态的“害群之马”。日益高发的安全态势不仅严重威胁到用户财产安全,也对区块链整个行业向好发展带来巨大阻力,这值得引起警惕!

勒索软件/挖矿木马方面

共发生『4』起典型安全事件

美国司法部日前指控拉脱维亚公民Alla Witte涉嫌参与一个国际网络犯罪组织,该组织创建并部署了一套名为Trickbot的计算机银行勒索软件,试图消费者、企业和其他组织。

美国追回了之前支付给Colonial?Pipeline勒索软件黑客的数百万的虚拟货币。

巴西肉类加工JBS SA美国子公司JBS USA Holdings首席执行官Andre Nogueira称,公司已向网络犯罪分子支付了1100万美元赎金,以解决勒索软件攻击。

门罗币(Monero)恶意挖掘软件“Crackonosh”已感染22.2万台计算机。

其他方面

6月3日,苹果联合创始人蒂夫·沃兹尼亚克去年7月起诉YouTube,指控该平台放任他人利用自己的的形象发布比特币视频,该诉讼周三被加州一家法院驳回。

韩国虚拟货币交易所Upbit的11名用户对其运营商Dunamu Inc.提起集体诉讼,要求赔偿疑似因技术故障导致的资金损失。

斯里兰卡总理官方网站遭匿名黑客团体入侵,并被重新定向到了另一个名为去中心化虚拟货币比特币的网站。

SiaStats发推称Sia网络在最近48小时内一直受到DDoS攻击,最大的目标是网络主机、存储供应商,大约30%遭遇停电。

DeFi资产管理平台Zapper发推称,其在旧版“Polygon Bridge”智能合约中发现了一个漏洞,该漏洞允许攻击者窃取无限批准的资金。

有Twitter用户表示Curve上100万美元USDC/ETH的交易比1000万美元的USDC/ETH交易的滑点更高,疑似是路由选择错误导致。目前该漏洞已被修复。

孟买居民Makarand Pardeep Adivirkar被印度禁局(NCB)逮捕,他被称为该国地下循环中的“加密王”,印度虚拟货币交易所Wazirx表示,被告不是其客户。

算法稳定币协议Malt Protocol公布了一项计划,以补偿受到漏洞影响的投资者,这些漏洞阻碍了该协议的推出,并锁定了流动性提供者。

一位名叫Hwang Byung-gwang的税务官员,凭借敏锐的调查技巧成功追回了高达3200万美元的税款资金,国家税务局决定表彰并授予他“优秀公务员”的称号。

安全公司Fireblocks回应StakeHound价值7500万美元以太坊丢失事件,称其事件是因为StakeHound未按照要求使用第三方容灾服务备份BLS密钥导致,而该要求在双方签订协议时已通过书面传达。

6月29日,英国Natwest银行出于对投资和欺诈的担忧,限制了客户每天可以发送给虚拟货币交易所(包括币安)的金额。

鉴于当前区块链生态的安全态势,『成都链安』在此总结:

从总体上来看,6月典型安全事件较5月略微上升,整个区块链生态的安全态势依然处于【高风险水平】。不难看出,在6月的安全事件类型分布上,【DeFi方面】以及【跑路/加密局方面】依然需要区块链各方从业者引起重视。

就【DeFi方面】而言,随着DeFi生态的持续发展,各类五花八门的DeFi项目如雨后春笋般不断涌入,其链上资产集聚程度越高,用户覆盖程度越广,自然就越发会成为黑客的攻击目标。成都链安·安全团队建议各大DeFi项目方一定要做好安全审计和安全防范工作。

就【跑路/加密局方面】而言,随着虚拟货币市场的高速扩张,各类、跑路犯罪活动也日益猖獗。成都链安·七星实验室注意到,近期有越来越多的不法分子开始利用虚拟货币进行着诸如、、、网络等违法犯罪活动,建议投资者勿盲从、勿轻信,避免掉进不法分子“精心炮制”的陷阱。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

BTCNFT 有哪些社会价值?

目录 NFT的价值导向 艺术品买卖 真实性证明 稀缺性保护 虚拟物品证明 新工作 新经济 平行世界 NFT 如何助力慈善事业 刺激捐赠 品牌和身份 互惠性 慈善拍卖 BeNeFiT 收入分享功能 NFTb 非营利组织 Alex's Lemonade Stand Binance Charity 挑战与问题 解决方案 结语 当前。

DYDXBitMEX创始人:加密货币的问题真的是杠杆吗

几天前,电影《大空头》主角原型 Michael Burry 曾表示,所有炒作和投机行为都是导致崩盘的起因,当加密货币从数万亿美元下跌,或者 meme 股票从数百亿美元下跌时,散户的损失将接近国家的规模。同时他还提到与大多数资产一样,加密货币的问题在于杠杆,「如果你不知道加密货币有多少杠杆,那么你就对加密货币一无所知。

NEAR元宇宙是人类内卷的产物?Web3.0时代的元宇宙带来了什么?

上学那会看到同学在玩一个叫《模拟人生》的游戏,就好奇地凑过去问他这游戏的目的是干啥,怎么通关? 他回答说:“这游戏没有目的,也不存在通关,就是扮演一个虚拟的你,游戏世界里的你想干啥都行”。 当时习惯了RPG这种关卡设计,与CS、星际这种目的性很强的游戏的我,表示不能理解。然而直觉上,我觉得这是个很有新意的游戏,虽然对我并没有什么吸引力。

[0:15ms0-6:817ms