PeckShield: 2月共发生安全事件11起，损失4,823万美元

据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共发生11起较为突出的安全事件，危害程度评级为「中级」，受损金额4,823万美元，涉及DeFi4起、交易所4起，DApp1起，个人被盗1起，钱包1起等。DeFi安全

2月份共发生4起DeFi安全事件，具体如下：1）02月15日，DeFi项目bZx团队在官方电报群上发出公告，称有黑客对bZx协议进行了漏洞攻击。PeckShield安全人员主动跟进bZx攻击事件，发现这起事件是针对DeFi项目间共享可组合流动性的设计进行攻击，特别在有杠杆交易及借贷功能的DeFi项目里，该问题更容易被利用。2）02月18日，bZx再次遭遇了类似的攻击，这一次的攻击从技术原理与上一次不同，黑客通过操纵Oracle价格对bZx合约进行了“蒙”，而根本原因还是由于平台间共享流动性过小以及价格机制设计缺陷导致的。3）02月23日，预言机Chainlink因一次功能升级时的人为错误，把黄金的价格错误地标记成了白银的价格，造成了约四万美元损失。4）02月29日，去中心化稳定币交易平台Curve出现一笔异常交易，该笔交易使用价值8.9万美元的USDC兑换了价值46.5万美元的BUSD。攻击者对Curve的busd.curve.fi以及y.curve.fi两种资金池进行一次钳形攻击。PeckShield点评：随着DeFi项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系，可见DeFi项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。PeckShield在此建议，DeFi项目方在上线之前，应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。交易所安全

ApeCoin社区通过AIP-280号提案，Meta Merge成为ApeCoin DAO官方合作手游:7月20日消息，ApeCoin社区通过AIP-280号提案，元宇宙游戏平台Ultiverse孵化的AIGC游戏Meta Merge成为ApeCoin DAO官方合作手游，将支持APE作为支付方式，该游戏已经得到联合创始人jimbol的无聊猿和Ultiverse的Electric Sheep NFT的知识产权授权，团队计划利用Web2渠道进行广告推广。[2023/7/20 11:07:04]

2月份共发生4起交易所安全事件，其中包含两起黑客入侵：1）02月10日，Altsbit交易所存放热钱包私钥的服务器被入侵，热钱包私钥被盗导致用户资产丢失。2）02月17日，VBITEX交易平台发布公告称被黑客入侵，导致平台数据被恶意篡改、虚拟资产被盗。3）02月17日，FCoin交易所声称由于资金困难导致资金储备无法兑付用户提现，且预计无法兑付的资金规模介于7,000-13,000BTC之间。4）02月28日，OKEx、Bitfinex等交易所频繁遭受DDoS攻击，相关服务受到影响。其中针对FCoin交易所出现的资金困难问题，PeckShield安全团队旗下可视化数字资产追踪系统CoinHolmes对涉及的相关地址展开了定向追踪和剖析。CoinHolmes链上追踪系统囊括了数十个交易所，超6,000万地址标签，涉及BTC、ETH、USDT等多种主流数字资产。利用CoinHolmes一图概览FCoin资产流向，如下图：

PeckShield：Merlin攻击者将6.5万枚DAI转至中间地址，并兑为6.5万枚USDC:5月18日消息，据PeckShield监测，zkSync生态DEX Merlin攻击者地址将6.5万枚DAI转至中间地址，并兑换为6.5万枚USDC。此前报道，Merlin发生Rug Pull，约182万美元资产被盗取并转移到以太坊上。[2023/5/18 15:10:39]

结合数据分析和可视化图形展示，PeckShield安全人员猜测FCoin的资金链可能在2018年07月就出现了问题。PeckShield点评：透过FCoin此次事件，大家开始认识到中心化交易所因资产缺乏透明性而潜在的危机。这是一次灾难，但同时希望也会是一次拐点，希望更多中心化交易所能够认识到资金透明性以及准备金赔付机制的重要性。而对于交易所私钥被盗，服务器遭受入侵等问题，PeckShield建议交易所使用更加安全的防范系统，保管好自己的私钥，及时修补操作系统或第三方软件漏洞。DApp生态

ApeCoin DAO启动第二届特别委员会选举，申请提交拟于美东时间5月20日截止:5月8日消息，ApeCoin DAO现已启动第二届特别委员会选举，至少持有1枚ApeCoin的ApeCoin DAO贡献者都可进行申请，争取成为下一届特别委员会成员，申请提交拟于美东时间5月20日21:00截止。据悉，ApeCoin第二届特别委员会候选人投票将于6月15-21日启动，特别委员会成员投票将于6月22日-28日进行，新成员的任期将于2023年7月1日开始。[2023/5/8 14:49:59]

2月份共发生1起DApp安全事件，存在于TRON网络。具体而言，02月03日，TKnzni地址开头的黑客通过创建攻击合约的方式对TGsyJF开头的LuckLambo104合约地址持续发起交易回滚攻击，并获利6,588个TRX。PeckShield点评：DApp生态安全事件大多都是由合约玩家导致的，DApp在接收玩家代币或者返利之前应检查目标账户是否为智能合约。同时开发者在合约上线前应做好安全测试，防御已知的攻击方式，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。SIM卡攻击

Yat Siu：有人提议批准AIP-4但拒绝AIP-5，仅AIP-4无法运行Apecoin分配:3月29日消息，Animoca Brands联合创始人兼CEO Yat Siu今日在推特上表示：Apecoin论坛已上线，我鼓励大家阅读有关AIP-4和AIP-5的讨论。特别是Matt Galligan提出了一个有趣的提议，即批准AIP-4但拒绝AIP-5。 实现AIP-4的步骤之一要求‘通过ApeCoin DAO起草并批准一项提案，以便为AIP-4分配ApeCoin。’ 这本质上意味着，为了实现AIP-4，社区需要批准一个质押提案，它不需要是AIP-5。如果社区认为AIP-4的支撑机制是可以接受的，批准AIP-4将允许基金会立即开始工作，这可能需要3.5-4.5个月的时间来安全地构建。批准AIP-4并拒绝AIP-5允许现在构建质押基础设施，同时让社区有更多时间讨论质押池并增加NFT质押上限的提议。没有社区批准，仅AIP-4就无法运行Apecoin分配。[2022/3/29 14:24:23]

2月份发生了一起BTC巨鲸账号被盗大案，02月22日，一名自称“zhoujianfu”的用户在Reddit发帖称遭受黑客攻击，损失了1,547个BTC和60,000个BCH，价值约2.6亿人民币，这是近几年最大的个人被盗事件。根据受害者提供的地址，PeckShield安全团队旗下可视化数字资产追踪系统CoinHolmes很快锁定了黑客的相关地址，并展开了定向追踪和剖析，最终绘制了一个可视化路径转移全景图：

ApeCoin突破12美元，日内涨幅62.3%:ApeCoin突破12美元，现报12.02美元，日内涨幅达到62.3%，行情波动较大，请做好风险控制。[2022/3/18 14:04:30]

如图所示，此次黑客转移链上资金的手法非常专业、复杂，以致于用可视化工具做出来之后已经没了明晰的分层和脉络。通过跟进分析巨鲸账户被盗的BTC资产，PeckShield安全人员发现黑客在盗取1,547个BTC后，迅速把资金切割分散，进行小额拆分，并进一步试图通过更复杂的混淆系统，让资产追踪变得极其困难。自02月22日事件发生以来，短短几天时间，黑客就用了上百个地址来转移资金，最深的层级达到了20层，在资金拆分转移的过程中，已有11.19个BTC通过多次交易流入到了Bittrex交易所地址。截至目前，大部分被盗资金还驻留在黑客地址中，PeckShield也正锁定监控目标资金转移进一步的动向。PeckShield点评：有理由相信，此次攻击的黑客是一支专业和技术过硬的团伙。该团伙从选定目标，到链上+链下长时间的追踪和突破，下了不少功夫。这似乎给一些早期获得加密资产且获利颇丰的大佬们提醒，需警惕SIM卡攻击，网络钓鱼等常见的盗币手段，谨慎保护好自己的加密资产。其他

除上述之外，2月份还有一些安全事件同样值得警惕：1）黑客利用IOTA官方钱包应用Trinity的漏洞窃取资金，官方之后宣布关闭整个网络。2）警惕名为“浣熊(Raccoon)”的恶意软件利用网络钓鱼和工具包通过浏览器来窃取用户的数据和加密货币。PeckShield点评：因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、等各类事件就是典型。在此提醒，用户应谨慎保管各类私密信息，任何小的疏忽都可能造成不可挽回的损失。

标签：COIOINCOINAIPbig-bang-game-coinEVCOIN币Ouro StablecoinAIPAD

抹茶交易所热门资讯