資安月報｜DeFi 詐騙、跑路頻發！9 月安全事件共 33 起，危害程度評級 HIGH

據 PeckShield 態勢感知平台數據顯示，過去一個月，整個區塊鏈生態共發 33 起較為突出的安全事件，危害程度評級為「高級」，涉及 DeFi 15 起、錢包安全 1 起，公鏈安全 1 起，交易所相關 3 起，勒索相關 7 起，詐騙事件 6 起等。
（前情提要：資安月報｜Defi、錢包、交易所、詐騙……; 8月共28起安全事件，危害程度評級為「中級」）

本文目錄

DeFi 安全

9 月份共發生 15 起 DeFi 相關安全事件，具體如下：

1）開發人員在 SushiSwap 中發現了治理「雙花漏洞」，這個漏洞可以在不需要獲得新代幣的情況下成倍增加某人的治理能力。FTX 執行長兼 SushiSwap 負責人 Sam Bankman-Fried 證實了這個漏洞的存在。他指出，這不會對 Sushi 造成直接問題，因為治理尚未啟動。

延伸閱讀：壽司風波插曲｜SushiSwap 大廚鬧神隱，迫團隊成員「切腹謝罪」？

2）DeFi 穩定幣協議 Lien 發佈公告表示，團隊的審計人員發現一個 Lien App 中的漏洞，決定暫時維護平台以防止漏洞被利用，該項目表示用戶存放協議的以太坊資產是安全的，同時沒有出現資金被盜的問題。

3）9 月 19 號，幣安智能鏈上的項目 Bantiample 團隊已砸盤套現 3,000 個 BNB 跑路，目前團隊的主要開發者已經刪除 Telegram 帳號，項目代幣 BMAP 單日跌幅超過 90%。

延伸閱讀：挽救BNB大漲60％！幣安9月推BSC智能鏈、狂打DeFi戰似乎奏效

4）以太坊挖礦項目 LV Finance 項目疑似跑路，該項目通過偽造虛假審計網站，並提供虛假審計資訊誘騙投資者進行投資，待一段時間後資金池內金額足夠大時進行跑路。目前，該項目網站 lv.finance 已無法訪問。

5）廢老師（微博用戶名「廢 X 廢」）參與了流動性挖礦項目 Soda 發現有一個漏洞，裡面有 2 萬個 ETH 可以直接清算掉。但他選擇了告訴開發組，但開發組並未重視。他只好選擇清算了一個 ETH，並發微博警告，實際操作告訴開發者這個 Bug 的存在。

不到一個小時，項目組發佈公告：在前端停止借款的功能，如果有人因為這個 Bug 收到了損失，我們在未來會盡可能推出補償方案。

6）名為 GemSwap 的 SushiSwap 仿盤項目被曝跑路，LP 被捲走。

查詢發現，該項目在今日 15 點左右發布推特自曝其遭受了「whatitdobb」開發者的攻擊。據了解，該項目今日早些時候完成了流動性遷移，但發起攻擊的開發者在遷移之前就獲得了相關許可，能夠將流動池中的代幣取走，目前尚不清楚此次攻擊造成的具體損失。

7）bZx 官方 Twitter 稱其合約被攻擊，損失了4,700 枚 ETH，隨後兩天攻擊者將所有盜取資產全部返還給項目方。

延伸閱讀：今年第三起！借貸協議 bZx 再傳攻擊事件，損失 800 萬美元全由保險基金承擔

8）至少有 9 個 Chainlink 節點營運商在上週日遭受攻擊，導致其錢包中的約 700 ETH 耗盡。據稱，攻擊利用了節點響應查詢的方式，並涉及了與網路交易成本相關代幣的使用。Chainlink 已確認攻擊並將其描述為對網路進行垃圾交易（spam）的「失敗嘗試」。

延伸閱讀：Chainlink 自爆遭「垃圾郵件攻擊」但未受影響，節點打臉：已損失700 ETH 手續費

9）以太坊研發者 Philippe Castonguay 發推文稱，DeFi 項目 BaconSwap 和 shroom.finance 均存在時間鎖定漏洞，將允許項目所有者在沒有時間鎖定的情況下增發無限代幣。

10）推特帳戶名為 Amplify 的用戶透露自己在新 DeFi 項目 Soft Finance 中因係統漏洞而獲利25萬美元。並稱自己並非作惡者，只是無意中發現了這個「機會」。( 注，Soft Finance 是 Yearn.finance 的分叉協議，發行了軟錨定適應性系統代幣 SYFI，利用 rebase 機制來根據需求調節供應。本月 4 號，該協議在 rebase 過程中發生系統故障而導致價格歸零。)

延伸閱讀：兩分鐘致富！一名DeFi投資者用「200元」賺進29萬美金，連帶使SYFI崩跌99%

11）波場 DeFi 項目櫻桃 CherryFi 在 Telegram 群組表示，USDT 合約在遷移過程中由於一行程式碼導致無法提取 USDT，損失 USDT的用戶可以聯繫管理員，團隊將給出一個賠償方案，建議用戶都把 TRX 提走。據了解，CherryFi 程式碼未經審計。

12）某用戶於社群內表示，其在參與基於 EOS 的流動性挖礦項目 Diamond.finance 時，10 萬 USDT 的資金被盜。PeckShield 安全人員跟進分析認為，該用戶被盜原因和 eosio.code 權限無關，疑似私鑰被盜。

13）EOS 項目 EMD 疑似跑路，截至目前，項目合約 emeraldmine1 已向攻擊者帳號 sji111111111 轉移 78 萬 USDT、49 萬EOS 及 5.6 萬 DFS，並有 12.1 萬 EOS 已經轉移到 changenow 洗幣平台。

14）EOS 挖礦項目珊瑚的 wRAM 遭到駭客「重入攻擊（Reentrancy）」，損失超 12 萬 EOS。攻擊者帳號採用了類似「重入攻擊」的模式，對 eoswramtoken 合約實施了攻擊。具體而言，攻擊者在正常的轉帳操作內嵌入了一次 inline transfer，使得 wRAM 合約在 mint 時判斷 RAM 數額出現問題導致多發。

15）yearn.finance 創辦人 Andre Cronje 剛推出的遊戲項目 Eminence（ENM）遭遇「Flash 貸款」攻擊，駭客將 800 萬美元的資金返還給了 yearn 部署者合約。官方目前正在調查具體情況，並將重新分配受攻擊的 800 萬美元。

點評：

隨著 DeFi 項目功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑑於其與用戶資產的緊密聯繫，DeFi項目的安全問題非常嚴峻。由於各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平台交互的過程中出現安全問題，進而腹背受敵。

筆者建議，DeFi 項目方在上線之前，應當盡可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。

數位錢包安全

9 月份共發生 1 起錢包安全事件：

1）開發 BitBox 硬體錢包的瑞士公司 ShiftCrypto 透露，在 Trezor 和 KeepKey 硬體錢包中發現了一個漏洞，該漏洞允許攻擊者在不靠近設備的情況下，持有用戶的加密貨幣以進行勒索。

點評：

數位錢包作為管理私鑰的工具，是離加密資產最近的地方。

雖然冷錢包是一種脫離網路連接的離線錢包，但也存在被物理攻擊和被盜的風險，而像網頁錢包等熱錢包，用戶也要謹防網路釣魚，惡意程式碼注入等攻擊方式。

公鏈安全

9 月份共發生 1 起公鏈相關安全事件：

1）比特幣工程師 Braydon Fuller 和 Javed Khan 於 2018 年在比特幣區塊鏈上修復了名為 INVDoS 的漏洞，本週又發表了一份研究論文，詳細介紹了他們如何在其他多個區塊鏈迭代中發現 Btcd 和 Decred。

該漏洞的攻擊工作方式是：一個敵對的區塊鏈節點（驗證交易的區塊鏈網路的成員）通過向不存在的交易發出垃圾郵件來淹沒另一個。該漏洞被稱為「拒絕服務」攻擊，可被駭客輕鬆利用，並可用於使整個比特幣節點網路崩潰。報告稱，這可能導致處理交易的延誤，進而導致「資金或收入的損失」。

點評：

公鏈上的漏洞，一旦發現對整個鏈生態的影響極大，因此公鏈在正式版上線前務必做好安全測試和漏洞排查，並尋求第三方安全公司審計，避免因漏洞威脅影響公鏈生態。

交易所相關

9 月份共發生 3 起交易所相關安全事件：

1）歐洲加密貨幣交易所 ETERBASE 遭遇駭客攻擊，導致部分熱錢包資產被盜，包括 BTC、ETH 及 ERC-20 代幣、XRP、TRX、XTZ 和 ALGO。目前，該交易所處於維護模式，正在調查相關問題。

據 The Block Research 分析，ETERBASE 被盜資產超過了 500 萬美元，其中，ETH 和 ERC-20 代幣地址損失的資金最多，達約 390 萬美元；其次是 XTZ 地址，損失約 47.1 萬美元。

2）Kucoin 庫幣交易所遭到駭客攻擊，大量 ETH 和 ERC-20 代幣被轉移，包含 11,000 個 ETH、2,000 萬 USDT、1,100 萬美元的 AMPL、880 萬美元的 OCEAN、720 萬美元的 VIDT、500 萬美元的 DIA、500 萬美元的 AKRO。

此後，該駭客跑路資金遭到各個大交易所聯合封堵，駭客多次使用 Uniswap 進行資金轉移。

延伸閱讀：市場震盪！KuCoin凍結、追回1.3億美元贓款；駭客Uniswap套現4300ETH

3）9 月 2 日，首爾警方對韓國規模最大的加密貨幣交易所 Bithumb 進行搜查。Bithumb 韓國理事會議長李政勳正因欺詐和財產逃逸接受警方調查。

根據首爾公安廳的說法，搜查緝獲與發行 BXA 代幣有關的投資欺詐有關。BXA 受害者表示，李等人以上市 BXA 為名預售 300 億韓元代幣，但實際上並未上市，造成損失。

延伸閱讀：突發！韓國法院沒收「Bithumb 最大股東持股」，負責人李正勳涉詐欺、非法海外匯款

點評：

駭客盜取資產後實施洗錢，不管過程多周密複雜，一般都會把交易所作為套現通道的一部分。這無疑對各大數位資產交易所的 KYC 和 KYT 業務均提升了要求，交易所應加強 AML 反洗錢和資金合規化方向的審查工作。

勒索相關

9 月份共發生 7 起勒索相關安全事件：

1）不久前，杭州市高新區（濱江）一家民營企業向公安機關報案，稱有人惡意攻擊該公司官網，並勒索 1 個比特幣。

2）網路安全網站 Bleeping Computer 的報導稱，巴基斯坦最大的電力生產商 K-Electric 本周遭遇勒索軟體攻擊，駭客索要約 770 萬美元的比特幣贖金。

3）駭客近期攻擊了阿根廷的移民系統，要求阿根廷政府支付價值 400 萬美元的比特幣贖金，導致跨境移民活動暫時癱瘓。但阿根廷政府拒絕與駭客談判，也不會支付贖金。

延伸閱讀：邊境被迫關閉四小時，「阿根廷移民局」遭駭客勒索 1.17 億比特幣贖金

4）智利三大銀行之一的 Banco Estado 銀行 7 日不得不關閉其全國性業務，原因是受到了 REvil 勒索軟體的網路攻擊。據悉，REvil 以拍賣在攻擊中竊取的數據而聞名，並經常要求使用 Monero（XMR）支付贖金。

5）駭客向以色列納斯達克上市無線晶片和感光元件製造商 Tower Semiconductor Ltd（TSEM）進行勒索軟體攻擊，並索要數十萬美元比特幣贖金。為了安全起見，TSEM 關閉了一些正在運行的服務器，並暫停了部分工廠的生產。

6）特斯拉創辦人 Elon Musk 在一條推文中證實，俄羅斯男子 Egor Igorevich Kriuchkov 用 100 萬美元比特幣賄賂內華達州特斯拉工廠一名員工，以便在特斯拉的電腦網路上安裝勒索軟體。該員工沒有執行該計劃，而是通知了其他與 FBI 聯繫的特斯拉員工。

FBI 於 8 月 22 日在洛杉磯逮捕了該男子，如果被判有罪，他將面臨最高五年的監禁。

延伸閱讀：「100 萬美元夠嗎？」俄羅斯駭客小組提 BTC 報酬，專招募美國企業內鬼

7）泰國警方表示，泰國的醫院和公司遭到駭客攻擊，駭客挾持了電腦系統和數據，並要求支付比特幣以恢復資訊。其中，9 月 5 日，Saraburi 醫院無法存取其數據，攻擊者要求獲得 630 億泰銖（28 億澳元）的比特幣來解鎖系統。

點評：

勒索類安全事件一直是影響整個互聯網生態的重大隱患，不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後，不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。

其他詐騙事件

除上述之外，9 月份還發生了多起詐騙跑路事件值得警惕，例如：

1）ESET 的研究人員發現了一個新的惡意軟體，該軟體可通過 Tor 網路和 Bittorent 協議感染用戶設備。該軟體名為「Krypto Cibule」，通過感染用戶設備以進行加密挖礦，並使用「剪貼簿劫持（clipboard hijacker）」將資金轉到駭客的錢包中。

延伸閱讀：微軟警告新木馬程式 Anubis 開始散布，提醒加密錢包用戶留意！

2）哥倫比亞警方向全國民眾發出警告稱，欺詐者正通過比特幣進行詐騙，並發起了一項聲稱得到了總統伊凡 · 杜克（Ivan Duque）支持的倡議。

據欺詐者稱，杜克總統簽署了一份「世紀協議」，將創建一個名為「比特幣時代」的平台，這將使哥倫比亞人能夠從加密貨幣中賺取收入。對此，警方強調，這項針對 COVID-19 經濟影響並以比特幣為重點的投資解決方案是一個騙局，並且沒有以任何方式得到哥倫比亞總統的批准。

3）西安高新區公安局 9 月 2 日抓獲虛擬貨幣詐騙案相關嫌疑人。該犯罪集團此前在網上發布虛擬貨幣 BRTR 的相關虛假資訊，引誘群眾購買，短短一個月詐騙金額已達 500 餘萬元。辦案民警根據前期收集到的偵查線索及嫌疑人供述，已將 500 餘萬元涉案資金全部追回並依法凍結。目前，此案還在進一步審理中。

4）9 月 21 日，中國武漢市公安局東湖新技術開發區分局成功打掉一個詐騙犯罪集團。民警調查發現，該犯罪集團是以炒虛擬貨幣高回報為誘餌，吸引投資者進行投資，進而實施詐騙犯罪集團。

目前，警方已掌握多個被騙人員的情況，涉及金額近 30 餘萬元。涉案的曹某、羅某、陳某、袁某等四人，因涉及詐騙罪已被東新警方予以刑事拘留。案件正在進一步深挖當中。

5）中國北京大興公安分局今天通報稱，警方近日成功打掉一夥以炒「數位貨幣」為名非法吸收公眾存款的據點，刑事拘留四名嫌疑人。據悉，涉案 1,000 餘名投資者的 2,000 餘萬元投資款被套住。四名嫌疑人牟利 200 餘萬元。

6）近日，上海閔行警方搗毀一個以投資虛擬幣為名實施詐騙的犯罪犯罪集團，抓獲犯罪嫌疑人 35 人。該詐騙犯罪集團以電話、微信尋找有投資虛擬幣意向的潛在被害人，將其拉入投資微信群，並誘騙被害人下載「bitex」、「back」、「bitbank」平台進行虛擬貨幣投資，騙取被害人投資本金，實施詐騙犯罪。該犯罪集團共涉案十餘起，涉案金額逾 80 萬，涉及被害人達 100 餘人。

點評：