PeckShield 資安報告： 3月共發生19 起安全、駭客事件，損失超過 10 億美元

據PeckShield 態勢感知平台數據顯示，過去一個月，整個區塊鏈生態共發生19 起較為突出的安全事件，危害程度評級為「中級」，受損金額超過十億美元，涉及DeFi 2 起、交易所2 起，智能合約1 起，詐騙跑路14 起等。

本文目錄

DeFi 安全

3月份共發生2 起DeFi 安全事件，具體如下：

03月12日，由於以太坊ETH 的價格暴跌，MakerDAO 的大量抵押債倉跌破清算門檻，引發了清算程序執行。由於以太坊網絡gas 費用劇增，導致MakerDAO 的清算過程完全缺乏競爭，原本應該參與到清算過程中的清算機器人（Keeperbot）因為設置了較低的gas 值，導致出價受阻，一位清算人（Keeper ）在沒有競爭者的情況下，以0 DAI 的出價贏得了拍賣。
MakerDAO 清算拍賣設計的目的，是盡可能以最少的抵押物回收最大的DAI，這一機制在正常情況下是可以成功運作的。但是當以太坊系統極其擁堵的時候，或者更極端一點來說，只要競拍的參與度不足，就很容易被惡意Keeper 以極低報價獲得拍賣物。針對此次清算出現的問題，MakerDAO 社區也已緊急討論了針對清算機制的改進措施。
03月26日，Synthetix的抵押貸款清算功能被發現存在漏洞，具體而言：Synthetix 近期上線了一個合約，用戶可以在3個月試用期內質押ETH獲取sETH，而在試用期結束後，將啟動關閉所有貸款功能進行清算，即任意擁有sETH的用戶都可以通過調用清算接口得到ETH。然而，該接口的處理邏輯代碼存在一個漏洞會導致任意用戶直接burn掉借款人的sETH資產並獲得ETH。不過由於該功能處於試用期間，並未造成實際損失。目前， Synthetix官網的loan服務仍處於關閉狀態。

點評：

隨著DeFi項目功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑑於其與用戶資產的緊密聯繫，DeFi項目的安全問題非常嚴峻。由於各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平台交互的過程中出現安全問題，進而腹背受敵。PeckShield在此建議，DeFi項目方在上線之前，應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。

延伸閱讀：Defi 事件統整｜MakerDAO 的黑色星期四：832 萬美元的質押品被「0 價格」拍走

延伸閱讀：你該擔心的三個「隱形炸彈」？大戶砸盤、駭客贓款、Defi 系統性風險

交易所安全

3 月份共發生2 起交易所安全事件：

03月02日，美國司法部以陰謀洗錢和無證經營匯款為由，對名為田寅寅和李家東兩位中國人發起了公訴，並凍結了他們的全部資產。區塊鏈安全公司 PeckShield 介入追蹤研究分析，基於美國司法部僅公佈的20 個地址向上追溯、取證並以可視化圖文方式還原整個案件的來龍去脈。分析發現攻擊者試圖利用Peel Chain 的技術手段將手裡的資產不斷拆分成小筆資產，並將這些小筆資產存入交易所，如下圖所示：

在完成初步洗錢操作後，攻擊者並沒有直接轉入自己的錢包，而是再次使用Peel Chain手法把原始的非法所得BTC分批次轉入OTC交易所進行變現。攻擊者每次只從主帳號分離出幾十個BTC存入OTC帳號變現，經過幾十或上百次的操作，最終成功將數千個BTC進行了混淆、清洗。
OMNI 網絡發現新型USDT 假充值手法：黑客採取發行其他類型的代幣偽造成USDT 對交易所或錢包進行USDT 假充值，當交易所或錢包在檢測USDT 充值時如果沒有校驗交易中的propertyid ，就會導致假充值情況的發生。