据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生28起较为突出的安全事件,危害程度评级为「中级」,涉及DeFi8起、钱包安全2起,公链安全6起,交易所相关1起,勒索相关4起,跑路7起等。
DeFi安全
8月份共发生8起DeFi相关安全事件,具体如下:1)DeFi项目YamFinance发布推文称,在Rebase合约时发现一个bug。初始重新设置之后的Rebase将产生比预期更多的YAM。具体参看PeckShield安全团队跟进分析的技术解读文章《回天乏术,一开始就注定失败的YAM投票拯救行动!》2)DeFi项目YFValue发布公告称,团队于昨日在YFV质押池中发现一个漏洞,恶意参与者借此漏洞对质押中的YFV计时器单独重置。3)08月05日,DeFi期权平台Opyn的看跌期权智能合约遭到黑客攻击,损失约37万美元。攻击者发现Opyn智能合约行权接口对接收到的ETH存在某些处理缺陷,其合约并没有对交易者的实时交易额进行检验,使得攻击者可以在一笔对自己发起真实的交易之后,再插入一笔伪装交易得卖方所抵押的数字资产,进而实现空手套白狼。具体参看《PeckShield:DeFi平台Opyn智能合约漏洞详解——攻击者空手套白狼!》4)YFII的硬分叉项目YYFI已在8月1日凌晨彻底成为了“退出局”,从一开始这个项目似乎就打定了注意为自己的跑路做好了准备。5)推特上有网友爆料称DeFi流动性挖矿项目Degen.Money通过两次授权获取用户资金。第一次授权给了质押合约,第二次授权给了转账权,会导致用户资金被攻击者拿走。6)新兴的自动做市商平台SushiSwap,被曝智能合约中存在多个安全漏洞。该漏洞可能会被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。7)DeFi流动性耕种匿名项目BASED官方宣布将重新部署质押池,官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。8)两个小型代币项目——NUGS和NEXE——在上线Uniswap不久后疑似已进行了“跑路”。NUGS项目将这一举动归咎于“智能合约漏洞”,在其官方电报频道,NUGS表示其智能合同现已“无法修复”。另一个项目NEXE疑似也已跑路,该项目的社交媒体账号已被删除。PeckShield点评:随着DeFi项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield在此建议,DeFi项目方在上线之前,应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。数字钱包安全
黄立成宣布将发起ApeCoin提案收购BAYC、MAYC等蓝筹NFT:6月22日消息,“麻吉大哥”黄立成在社交媒体宣布将发起ApeCoin AIP提案,拟收购1000枚“无聊猿”BAYC、2000枚“变异猿”MAYC、以及一些CryptoPunks蓝筹NFT。黄立成表示将会把这些NFT捐赠给全世界的博物馆,并询问社区是否还要增加购买其他NFT项目,据悉该提案将由ApeCoin特别委员会成员Bored Ape G撰写。此前黄立成曾发文称ApeCoin DAO的架构存在一定问题,过于中心化,导致DAO的投资愿景无法实现。[2023/6/22 21:53:54]
8月份共发生2起钱包安全事件:1)一GitHub用户表示其比特币巨额款项被黑客盗取。据悉,该用户使用的是比特币钱包Electrum软件,上次访问是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装,因此他这回转移比特币之前,被提示更新和修补潜在问题。但当他根据提示操作的时候,该软件利用一个漏洞连接了黑客的服务器,1400枚BTC随即从他的钱包中被取出,存入了黑客的钱包中。2)8月30日消息,加密钱包提供商Ledger最近出现了数据库泄露以及钱包漏洞,使用户的比特币面临风险。Ledger首席技术官CharlesGuillemet对此表示,就数据库泄露而言,攻击者通过第三方在我们网站上配置错误的API密钥访问了我们的电子商务和营销数据库的一部分,允许未经授权访问我们客户的联系方式和订单数据。Ledger在同一天修复了这个问题,并禁用了API密钥。PeckShield点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。公链安全
PeckShield:DecentraWorld发生RugPull,代币DEWO下跌97%:5月25日消息,据PeckShield监测显示,BNBChian上项目DecentraWorld发生RugPull,代币DEWO下跌97%,DecentraWorld社交账户已注销,约3200枚BNB(约100万美元)从DecentraWorld合约部署器中被提取。[2022/5/25 3:39:40]
8月份共发生6起公链相关安全事件:1)8月4日早间,AdamantCapital创始人TuurDemeester发推称,今日比特币全节点可能正在遭受连接槽耗尽攻击。而根据TuurDemeester所转发的Blockstream副总裁WarrenTogami发布的消息,其监测的几个比特币全节点,所有转入的连接插槽都满了。WarrenTogami表示,当公共传入连接槽耗尽时,来自本地主机的传入连接将停止。2)根据北京大学、北京邮电大学、浙江大学和昆士兰大学的研究人员的一项新研究,以太坊区块链上价值超过10亿美元的代币缺少2017年发布的一项软件标准,使这些代币容易被劫持并从交易所流失。该软件漏洞被称为假冒存款漏洞,已在7772个ERC-20代币发行商处被发现。该研究表明,通过操纵使用了不足的交易验证方法的ERC-20代币智能合约中的代码,黑客几乎可以无成本取大量资金。假冒的存款攻击随后可能会使交易所崩溃,导致ERC-20代币和其他加密货币持有人损失其资金。3)OpenEthereum中的一个更新使运行在新版本上的节点基本上无用,这个bug似乎是在OpenEthereum的2.7.2版本中引入的。OpenEthereum决定简单地废弃2.7版本,因为此版本及其bug非常难修复。最新的2.5.13稳定版迭代定于9月中旬在Berlin硬分叉之前发布。但是,在此之前,下载新版本的运营商将面临极具破坏性的降级任务。基础架构开发商BlockNative的开发商LiamAharon在Twitter上强调,降级需要完全重新同步区块链,“对于某些节点配置,这将需要数月的时间。”该漏洞影响了当前Parity大约50%的节点,根据Ethernodes的数据,该节点总计占整个网络的12%。OpenEthereum团队正在研究一种转换过程,该过程将帮助节点避免昂贵的重新同步。4)Bitfly发推称,今天,ETC区块链在区块高度10904146经历了一次3693个区块的链重组。这导致所有状态修建节点停止同步。这可能是51%攻击造成的,而后官方寻求所有交易所立即停止存取款,并调查所有最近发生的交易。5)8月30日,Bitfly官方发推称,今日ETC又遭遇了一次大规模51%攻击,导致7000多个区块发生重组,相当于大约2天的开采时间。所有丢失的区块将从未到期的余额中移除,其将检查所有支出以查找丢失的交易。6)8月25日,Filecoin太空竞赛开启,CDSI联盟节点"t02398"便遭受大量恶意非法攻击,攻击者通过已过滤白名单发送大量message堵塞节点,消耗Lotus节点大量运算使得节点不能正常完成任务最终导致丢掉算力。PeckShield点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。交易所相关
韩国加密交易所Upbit将于今日上线ApeCoin代币APE:5月17日消息,韩国加密交易所Upbit将于5月17日18:00上线ApeCoin代币APE,交易对为APE/BTC,APE存款将在公告发布后2小时内开始,仅支持来自ERC-20网络的存款。[2022/5/17 3:21:22]
8月份共发生1起交易所相关安全事件:1)韩国第三大数字货币交易所Coinbit被韩国查封调查,其董事长以及运营方涉嫌交易所内部交易和操纵市场价格。据悉,Coinbit排在Bithumb和Upbit之后,为韩国第三大交易所。称该公司涉嫌利用非法手段赚取了至少1000亿韩元的非法利益,Coinbit同时涉嫌伪造了其超过99%交易量。PeckShield点评:黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。详情可访问www.coinholmes.com了解。勒索相关
8月份共发生4起勒索相关安全事件:1)过去几周,一个犯罪团伙对全球一些最大的金融服务提供商发起了DDoS攻击,并索要比特币赎金。据悉,该组织使用了像ArmadaCollective和FancyBear这样的名字——这两个名字都是借鉴了知名黑客组织——给公司发邮件,威胁将进行DDoS攻击并索要比特币赎金。2)勒索软件犯罪团伙REvil,声称已成功袭击了美国葡萄酒和烈酒巨头Brown-FormanCorp,黑客在其暗网官方博客以大约150万美元的价格出售被盗数据。不过,Brown-FormanCorp在一份声明中表示,他们已经成功地阻止了该网络犯罪团伙加密文件。3)奥地利正在调查炸弹威胁勒索激增的情况,此前有多家公司周二早上收到了勒索比特币的电子邮件。邮件内容显示,如果不在未来80小时内支付价值2万美元的比特币,他们将引爆炸药。奥地利媒体称,电子邮件中还包含有关如何购买比特币的说明。4)特斯拉通过与美国联邦调查局展开合作,成功破获一起计划中的勒索软件攻击。据悉,该起攻击的目标是特斯拉位于内华达州的一处工厂,攻击者要求特斯拉支付价值数百万美元的比特币。PeckShield点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索。其他跑路等事件
OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息,OneSwap已9月6日顺利通过智能合约代码安全审计,此次审计工作由三家业内知名的安全公司慢雾科技,派盾PeckShield,成都链安完成。在审计过程中,三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作,以最大程度确保及时发现漏洞。
审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准,审计中发现的问题目前都已解决或正在解决中。
OneSwap是一个基于智能合约的完全去中心化的交易协议,在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可,可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息,Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]
除上述之外,8月份还发生了多起跑路事件值得警惕,例如:1)兰州市局安宁分局近日成功打掉了一个利用虚假理财平台实施电信网络犯罪的犯罪团伙,共抓获犯罪嫌疑人41人,冻结涉案赃款27万余元、查扣宝马汽车2辆以及用于作案的手机、电脑等工具100余台。2)8月20日,从江苏省苏州市局获悉,在“净网2020”专项行动中,该市破获一起针对虚拟货币的黑客犯罪案件,抓获多名犯罪嫌疑人。嫌疑人专门利用黑客手段盗取账户密码、窃取虚拟货币,并通过暗网联系职业销赃团伙变现,涉案金额达3000余万元。3)以色列网络安全公司Mitiga建议运行某些程序的亚马逊网络服务的所有客户检查自己是否受到了门罗币挖矿软件的恶意感染。在今天的一份报告中,Migita称任何运行基于CommunityAMIs的EC2实例的用户都容易受到该加密挖矿软件的攻击。据悉,Migita是在检查一家金融机4)腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH爆破登陆服务器,然后执行恶意命令下载Muhstik僵尸网络木马。该僵尸网络会控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。5)西班牙加密货币支付应用和信用卡发行商2gether承认,上周五黑客盗取140万美元,公司无法立即偿还受攻击影响的用户,并提出一个折衷方案。2gether一直在努力寻找资金,但是与一家投资集团的谈判失败,未能找到资金向所有用户偿还被盗资金。6)8月15日消息,中国香港逮捕了三名男子,他们涉嫌从比特币ATM机中取近23万港元(合3万美元),这是香港首例此类案件。在两家加密货币交易所提交报告后,在过去两天采取了行动。这些交易所怀疑犯罪分子利用了自动取款机的“漏洞”,在没有得到官方授权的情况下提取现金。7)近期,广州白云在深入开展飓风2020专项行动过程中,发现并打掉了一个借助“跑分”平台进行数字货币交易,从而为电信“”的团伙,抓获涉案嫌疑人9人,缴获作案手机、银行卡等涉案物品一批。PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
金色财经现场报道 PeckShield创始人兼CEO蒋旭宪 :建立区块链安全保护措施和防范机制:金色财经6月3日现场报道,在今天的以太坊技术及应用大会上, PeckShield创始人兼CEO蒋旭做了题为“Code Is Law:以太坊智能合约面临的威胁与挑战”的主题演讲。蒋旭宪说,要思考建立保护措施和防范机制,主要有上线前的智能合约审计;上线后的应急响应;漏洞奖赏计划。[2018/6/3]
编者按:本文来自加密谷Live,作者:Dorothy,翻译:Olivia,Odaily星球日报经授权转载。Nectar是服务于DeversiFi交易所的Utilitytoken和通缩管理者.
1900/1/1 0:00:00以太坊在昨天价格一度达到490美元,晚间由于DeFi概念跳水带动所有币种下跌。积累多日的ETH期货短期基差从年化20%下降到10%,季度基差从年化15%下降到8%.
1900/1/1 0:00:00编者按:本文来自小吒闲谈,Odaily星球日报经授权转载。DeFi像一把火,点燃了,就不是那么容易被扑灭的。DeFi挖矿,就像一个强大的获客工具,用上了就停不下来.
1900/1/1 0:00:00编者按:本文来自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日报经授权转载。LedgerX是美国受监管的期货交易所,已推出实物结算的比特币期货合约.
1900/1/1 0:00:00编者按:本文来自区块律动BlockBeats,Odaily星球日报经授权转载。自从9月5日传出SushiSwap创始人「ChefNomi」套现1.8万ETH的消息传出,SUSHI代币价格已经暴跌.
1900/1/1 0:00:008月28日,数字货币未来与投资论坛暨贝宝金融两周年活动在北京京城俱乐部举行,北京大学光华管理学院金融学副教授王志诚、NEO创始人和分布科技CEO达鸿飞、CyberX创始人王浩、一线交易员许哲、d.
1900/1/1 0:00:00