據 PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發生 20 起較為突出的安全事件,危害程度評級為「中級」,涉及DeFi 4 起、錢包安全 1 起,公鏈安全 1 起, 勒索相關 3 起,詐騙跑路 11 起等。
6月份共發生4 起DeFi 安全事件,具體如下:
1)知名 DeFi 平台 Balancer 流動性池遭駭客閃電貸攻擊,損失50萬美金。PeckShield 安全人員介入分析後,迅速定位到問題的本質在於,Balancer上的通縮型代幣和其智能合約在某些特定場景不兼容,使得攻擊者可以創建價格偏差的 STA/STONK 流通池並從中獲利。
(詳見:圖文拆解:DeFi 平台 Balancer 遭駭客攻擊的全過程 (BAL))
此次駭客實施攻擊共計分了四個步驟,具體而言:
1)攻擊者通過閃電貸從 dYdX 平台借出了 104,331 個 WETH;
2)攻擊者反覆執行 swapexactMountin() 調用,直至 Balancer 擁有的大部分 STA 代幣被消耗殆盡,進而開始下一步攻擊。最終 Balancer 僅僅剩餘 0.000000000000000001 個STA。
3)攻擊者利用 STA 代幣和 Balancer 智能合約存在的不兼容性即記帳和餘額的不匹配性實施攻擊,將資金池中的其他資產耗盡,最終共計獲利價值 523,616.52 美元的數位資產。
4)攻擊者償還從 dYdX 借出的閃電貸,並捲走了攻擊所得的數位資產。
2)DeBank 工程師 frenzy_hao 昨日在推特上表示,駭客再次利用 dYdX 的閃電貸攻擊了 balancer 部分流動性礦池中的 COMP 交易對,將池子中未領取的 COMP 獎勵取走,共獲利 10.8 ETH。
延伸閱讀:什麼是「閃電貸 Flash Loan」?十幾秒內從借貸協議 bZx 狠賺 35 萬美元的 DeFi 策略
3) 去中心化協議 Bancor 官方披露了安全漏洞細節,原本應該設置為私有的函數 safeTransferFrom 被定義為公開函數,所以導致任何人都可以轉移代幣。慶幸的是,並沒有發生太大安全損失,在發現漏洞之後團隊進行了白帽攻擊,以將資金轉移到安全地址。
4) 6月21日,安全研究員 samczsun 私下披露了目前 AtomicLoans 部署的合約和借貸代理中的兩個漏洞。這兩個漏洞可能導致借款人在特定情況下無需償還貸款即可解鎖部分或全部 BTC 抵押品。
PeckShield 點評:
隨著 DeFi 項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與用戶資產的緊密聯繫,DeFi 項目的安全問題非常嚴峻。
由於各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平台交互的過程中出現安全問題,進而腹背受敵。筆者在此建議,DeFi 項目方在上線之前,應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
數位錢包安全
6 月份共發生 1 起錢包安全事件:
1)網路安全公司 OpenZeppelin 研究人員發文稱,發現以太坊錢包 Argent 上出現高危漏洞。漏洞可使攻擊者接管用戶錢包,特別是那些沒有激活「守護」功能的用戶。與此同時,Argent 團隊很快修復了漏洞,並已經聯繫受影響的用戶。
PeckShield點評:
數位錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網路連接的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,用戶也要謹防網路釣魚,惡意代碼注入等攻擊方式。
延伸閱讀:威廉的分佈式隨筆|邁向趨近 Internet 的使用體驗〈一〉區塊鏈如何嚇跑使用者?
公鏈安全
6 月份共發生 1 起公鏈安全事件:
1)Blockstream商業側鏈 Liquid Network 被曝存在安全漏洞。由於哈希時間不一致,網路中的重要帳戶會收到技術漏洞影響,可導致上百萬美元的 BTC 被盜。目前,Blockstream 網路管理員已通過恢復多簽名合約暫時扣押 Liquid 網路上存儲的 870 枚比特幣。
PeckShield點評:
公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。
延伸閱讀:區塊鏈技術公司 Blockstream 在台北:深入比特幣側鏈 Liquid Network
勒索相關
6月份共發生4 起勒索相關安全事件:
1)安全公司 Unit 42 的研究人員發現一種新的惡意軟體 “Lucifer” 正在傳播,該軟體是某種舊的加密貨幣勒索軟體的變種。新的變體可用於惡意加密貨幣挖礦,但也可以用來進行 DDoS 攻擊。
2)ST Engineering Aerospace 美國子公司遭遇勒索軟體攻擊,該公司及其合作夥伴被盜 1.5TB 的敏感數據。此前 2月份消息,駭客 Maze 入侵五家美國律師事務所,要求支付超過 93.3 萬美元BTC 贖金。此前 3 月份消息,加密勒索組織 Maze 聲稱使用駭客軟體攻擊保險業巨頭 Chubb。
延伸閱讀:華碩 LG 等 650 家企業敏感數據「被放上暗網拍賣」!駭客組織攻擊美國律所並勒索比特幣
3)英國肯特郡一公司Kent Commercial Services(KCS)近期遭遇駭客客勒索攻擊,駭客要求80萬英鎊的比特幣贖金,否則將在暗網上洩露了該公司的數據。KCS 方面表示,該公司並沒有支付贖金,也沒有涉及納稅人的個人數據被盜。
4)針對 2 起異常天價以太坊手續費轉帳行為,PeckShield 安全公司研究人員認為,這可能是來自韓國的山寨交易所 GoodCycle 遭到了駭客勒索攻擊。駭客通過釣魚攻擊等方式獲取了該交易所的部分權限,因此採用揮霍 GasPrice 的行為對其實施勒索。(詳情:完整解析|以太坊天價手續費的真相: 資金盤直銷騙局GoodCycle上演誤殺瞞天記!)
PeckShield點評:
勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
詐騙跑路事件
除上述之外,6月份還發生了多起詐騙跑路事件值得警惕,例如:
1)據數位資產可視化追蹤平台 CoinHolmes 數據顯示,6月22日下午起,PlusToken 跑路資金發生異動,26,316,339個EOS,2,503個BTC;789,533個ETH 被轉移。
2)韓國首爾警方今日發起一項調查,針對兩家涉及 ETH 犯罪的無名數位貨幣交易所,犯罪分子採用多層次龐氏騙局手法騙取受害人的數位貨幣。已有433名投資者向警方投訴,尚有1000名投資者未與警方取得聯繫,涉案ETH 價值4150萬美元。
3)中國媒體廣泛報導的伊朗交易所 bitisis 已經跑路,多個消息源指出其背後實控人是中國詐騙分子,掌握多個宣稱能搬磚套利的海外交易所吸納散戶資金再捲款跑路。目前各地警方已經立案。該交易所將用戶資產轉移到三個地址,其中有平台已緊急將相關地址凍結。
4) Bibox 官方公告,有不法分子山寨 Bibox APP、冒充 Bibox 客服,誘導用戶交易,請用戶提高警惕。
5) 火幣全球站接到舉報,有釣魚詐騙網站冒充火幣發佈公告,在社群傳播「ERD空投活動」。火幣全球站鄭重聲明,火幣未發布任何關於ERD空投活動,請廣大交易者提高警惕,認清火幣官方網站地址。
延伸閱讀:高虹安、鍾沛君召開記者會「親揭 9億傳銷騙局」,CloudToken受害者泣訴
延伸閱讀:蘋果爆料: 天沐集團美容通證「美人幣 MUB」違反銀行法,負責人裁定交保限制出境
延伸閱讀:剛買瑪莎拉蒂就被捕,桃園警方破獲「比特幣詐騙集團」犯罪所得近千萬
6) 抹茶交易所發公告稱,近日,有不法分子冒充多家交易所客服人員,並創建詐騙網站誘導用戶交易,或要求向詐騙網站轉入數位資產。MXC 抹茶沒有開通官方微信號,微信上任何「 MXC 抹茶」帳號均非官方帳號。如遇到以MXC抹茶名義聯繫用戶並要求向其他平台「轉帳數位資產」等行為,可通過 MXC 抹茶官網客服通道對其進行身份核驗。
7)近日,中國山東煙台警方在深圳、惠州、合肥三地同時收網,成功打掉一個以虛擬貨幣投資為幌子,利用假投資平台實施詐騙的犯罪團夥,涉案金額1,400餘萬人民幣。
8)中國山東省菏澤市鉅野縣公安局近日破獲一起特大電信網路詐騙案,打掉多個涉嫌以網貸和投資比特幣為名,實施電信網路詐騙的團夥,抓獲犯罪嫌疑人 83 名,扣押、凍結涉案資金 2700 多萬人民幣,目前30名主要犯罪嫌疑人已被鉅野警方依法移送到檢察機關審查起訴。
9)近期一名南寧 OTC 商疑似協助電信詐騙犯罪分子洗錢,遭到警方調查抓獲,側面說明U SDT、加密貨幣與電信詐騙在中國的結合愈加緊密,可能對普通用戶帶來更多的凍卡風險,OTC 商也需要加大甄別力度。
10)據此前報導,不法分子正在 YouTube 上利用特斯拉創始人 Elon Musk 及其公司 SpaceX 的名字進行比特幣詐騙。據統計,總共有214個 BTC 被發送到此類詐騙地址上,價值超過 200 萬美元。
11 ) DeFi 貨幣市場協議DMM 官方推特表示,在公募期間其電報群遭到惡意劫持,攻擊者冒名頂替了DMM 基金會,目的是為了竊取資金。對於在代幣銷售中被騙的人補償了相應DMG 數額,希望確保所有資金損失的人都得到了對應補償。
PeckShield 點評:
因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
點擊這裡,限時加入 LINE 新功能 5000人動區討論群組
📍相關報導📍
Defi突發警示|駭客重現閃電貸手法,耗盡 Balancer 資金池超過 50 萬美元資產 (Bal)
天價!全球最大外匯經紀商遭駭客勒索停擺,交付6900萬比特幣贖金擺平 (Travelex)
你該擔心的三個「隱形炸彈」?大戶砸盤、駭客贓款、Defi 系統性風險
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
