據PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生15 起較為突出的安全事件,危害程度評級為「中級」,受損金額達上千萬美元,涉及DeFi 5 起、交易所2 起、DApp 1 起、詐騙跑路7 起等。
DeFi 安全
4 月份共發生 5 起DeFi 安全事件,具體如下:
1)4月18日,駭客利用 DeFi 平台 Uniswap 和 ERC777 標準的兼容性問題缺陷,對Uniswap 實施了重入攻擊。具體而言,駭客在交易ETH-imBTC 時,利用ERC777 標準中進行轉帳的 tokensToSend 回調函數實現了重入攻擊,總獲利34 萬美元。
2)僅僅在24小時後,4月 19 日又一知名 DeFi 平台 Lendf.Me 也被駭客以類似的手段實施了攻擊。合約 supply()函數中調用真實轉帳函數 transferFrom()時,被Hook的攻擊者合約裡嵌入了盜用Lendf.Me的withdraw()的提幣操作。
詳情參閱 :資安報告|DeFi 樂高下的米蘭諾鬆塔:Uniswap 和 Lendf.Me 遭駭始末
3)4月 20 日,DeFi 穩定幣交易平台Curve 公佈sUSD 資金池合約存在借貸漏洞,並稱所有的漏洞已經解決,資金安全,無損失發生。
4)4月 23 日,DeFi 平台 PegNet 疑似遭受頂級礦工 51% 攻擊,四名礦工控制了網路 70% 的哈希率,從而實施了此次攻擊。
5)4月27日,DeFi 項目Hegic 代碼出現漏洞導致用戶資產被用戶永久鎖定。在該項目上線幾小時後,其代碼中的一個錯誤鎖定了該平台智能合約價值 2.8 萬美元的用戶資金,由於該漏洞將資金鎖定在了過期合約中,使其無法被訪問,Hegic 團隊承諾用他們自己的資金補償所有受影響的用戶。
點評:
隨著 DeFi 項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露,鑑於其與用戶資產的緊密聯繫,DeFi項目的安全問題非常嚴峻。特別是 DeFi業務組合可能存在的系統性風險問題,平台方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查,還要在不同產品做業務組合時考慮因各自不同業務邏輯而潛在的系統性風控問題。
據安全團隊 PeckShield 建議,DeFi項目方在上線之前,應當盡可能尋找對 DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
延伸閱讀:Lendf.me 神轉折!駭客將「7.5億贓款」全數歸還,疑因經驗不足 IP 洩漏身份遭掌握
交易所安全
4 月份共發生 2 起交易所安全事件:
1)4月 9日,加密貨幣交易所Bisq 被盜,攻擊者利用 Bisq 交易協議中的一個缺陷,針對單筆交易來竊取交易資金。7 名受害者共損失3個BTC 和4,000 個XMR。
2)4月29日,幣安交易所遭受 DDoS 攻擊,合約頁面大範圍卡頓,造成網路短時間滯後和訪問中斷。
點評:
針對層出不窮的交易所安全事件,交易所應使用更加安全的防範系統,類似DDoS攻擊,交易所可配置多台備用機器,避免單點故障給系統帶來的風險。
延伸閱讀:幣安網域「被牆」,中國用戶無法登入,但國外用戶仍可正常操作
DApp 安全
4 月份共發生1 起 DApp 安全事件,存在於 EOS 網絡。具體而言,4月30日,風控平台DAppShield 監測到駭客向EOS 競猜類游戲 Felix 發起連續的假EOS 攻擊,獲利數萬 EOS,且大部分資金已轉移到其他帳號。
點評:
項目方在完成智能合約的開發時,務必在合約上線前做好安全測試,必要時可尋求第三方安全公司完成審計評估,幫助其完成合約上線前攻擊測試及基礎安全防禦部署。
詐騙跑路事件
除上述之外,4 月份還發生了多起詐騙跑路事件值得警惕,例如:
1)EOS 生態騙局崩盤,價值上億人民幣的EOS 被轉移,受害者多達38 萬餘人。
2)Telegram 「搬磚套利」 詐騙總金額達到35,000 枚ETH,其中大多數已經流入各個交易所套現。
3)警惕釣魚網站 airdrop-box 空投HT 詐騙,該網站誘導用戶點擊釣魚鏈接,用戶一旦輸入私鑰即被盜資產。
點評:
因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
?相關報導?
資金盤「EOS 生態」傳捲款跑路!打著官方節點名號,詐騙金額高達 14 億台幣
PeckShield 資安報告: 3月共發生19 起安全、駭客事件,損失超過 10 億美元
曾經稱霸比特幣市場的最惡交易所 Mt. Gox ,這些年究竟發生了什麼?
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
