PeckShield:6月共发生安全事件20起,DeFi安全问题再次凸显

2020-07-01 19:16 栏目:经验之谈 来源:网络整理 查看()

根据PeckShield态势感知平台的数据,过去一个月,整个区块链生态发生了20起突出的安全事件,危害等级为“中级”,包括4起涉及Defi的事件、1起涉及钱包安全的事件、1起涉及公共链安全的事件、3起涉及勒索的事件和11起涉及欺诈的事件。

DeFi是安全的

6月份发生了4起国防情报局安全事件,具体如下:

1)著名的DeFi平台平衡器的流动性池遭到黑客闪电贷款攻击,造成50万美元的损失。在PeckShield安全人员介入分析后,他们很快发现问题的实质是平衡器上的通货紧缩令牌在某些特定情况下与其智能合同不兼容,因此攻击者可以创建一个带有价格偏差的STA/STONK流通池并从中获利。(详细内容请参见:黑客攻击Defi平台平衡器全过程的技术分解)

黑客的攻击分为四个步骤,具体来说:

1)攻击者借出了104,331 WEST;从dYdX平台通过闪电贷款;

2)攻击者重复执行swapexactMountin()调用,直到平衡器拥有的大多数STA令牌用完,然后开始下一次攻击。最后,平衡器只剩下0.000000000000000001 STA。

3)攻击者利用STA令牌与平衡器智能合同的不兼容性,即簿记与余额的不匹配进行攻击,耗尽了资金池中的其他资产,最终获得价值523,616.52美元的数字资产总利润。

4)攻击者偿还了从dYdX借的闪电贷款,并卷走了从攻击中获得的数字资产。

PeckShield:6月共发生安全事件20起,DeFi安全问题再次凸显

2)DeBank工程师狂潮浩今天在推特上表示,黑客再次利用dYdX的闪电贷款攻击平衡器的一些流动性挖掘池中的红利交易对,并取走池中未承诺的红利,总利润为10.8 ETH。

3)分散化协议Bancor正式公开了安全漏洞的细节,而原本应该设置为私有的函数safeTransferFrom被定义为公共函数,因此任何人都可以传输令牌。幸运的是,没有太多的安全损失。在发现漏洞后,该团队实施了一次白帽攻击,将资金转移到一个安全的地址。

4)6月21日,安全研究员萨姆森私下透露了原子公司在合同和贷款代理方面的两个漏洞。这两个漏洞可能会导致借款人在某些情况下不偿还贷款就释放部分或全部BTC抵押品。

佩奇希尔评论:随着DeFi项目功能的日益多样化,隐藏的安全问题逐渐暴露出来。鉴于其与用户资产的密切关系,DeFi项目的安全问题非常严重。因为每个项目都是由不同的团队开发的,并且对他们自己的产品的设计和实现的理解是有限的,所以集成的产品在与第三方平台交互的过程中很可能会有安全问题,然后受到双方的影响。PeckShield在此建议DeFi项目方应尽最大努力寻找一个对DeFi产品设计的各个方面都有深入研究的团队,在上线前进行全面的安全审核,以避免潜在的安全隐患。

数字钱包安全

六月份发生了一起钱包安全事件:

1)网络安全公司OpenZeppelin的研究人员发布了一份文件,称他们在埃瑟伦姆的钱包Argent中发现了一个高风险漏洞。漏洞可以让攻击者接管用户的钱包,尤其是那些没有激活“监护人”功能的人。同时,Argent团队迅速修复了漏洞,并联系了受影响的用户。

佩奇希尔评论:作为管理私钥的工具,数字钱包是最接近加密资产的地方。尽管冷钱包是一个与网络断开的离线钱包,但它也有遭受物理攻击和被盗的风险。对于像网络钱包这样的热门钱包,用户还应该防范网络钓鱼和恶意代码注入。

公共链安全

六月份发生了一起公共连锁安全事件:

1)流动网络,即1)阻塞流的商业侧链,暴露出安全漏洞。由于散列时间不一致,网络中的重要账户将受到技术漏洞的影响,这可能导致数百美元的BTC被盗。目前,Blockstream网络管理员通过恢复多重签名合同,暂时扣留了存储在流动网络上的870个比特币。

PeckShield评论:一旦发现,公共链中的漏洞对整个链生态有很大影响,因此在正式版本上线之前,公共链必须做好安全测试和漏洞调查,并寻求第三方安全公司的审计,以避免影响公共链生态的漏洞威胁。

勒索相关的

6月份发生了4起与勒索有关的安全事件:

1)安全公司42单元的研究人员发现一种新的恶意软件“路西法”正在传播,它是一些旧的加密货币交易软件的变体。新的变体可以用于挖掘恶意的密码货币,但也可以用于DDoS攻击。

2)ST工程航天公司的美国子公司遭到了ransomware的攻击,公司及其合作伙伴的1.5TB敏感数据被盗。2月初,黑客迷宫入侵了五家美国律师事务所,并要求支付超过93.3万美元的BTC赎金。三月早些时候,一个加密和勒索组织梅兹声称使用黑客软件攻击保险巨头Chubb。

3)英国肯特郡的肯特商业服务公司(KCS)最近遭到黑客攻击,他们要求80万英镑的比特币赎金,否则公司的数据将在黑暗网络中泄露。KCS表示,它没有支付赎金,也没有涉及盗窃纳税人的个人数据。

4)考虑到两起异常高的以太网费用转账案例,PeckShield安全公司的研究人员认为,这可能是因为来自韩国的山寨交换机GoodCycle遭到黑客攻击。黑客通过网络钓鱼攻击等手段获得了部分交易权限,因此他们利用挥霍GasPrice的行为进行敲诈。(详情请参考以太网天价转账的背面:黑客的GasPrice勒索攻击?埃瑟伦姆天价手续费转账的真相:古德克循环中的误杀,一个金盘子项目!)

佩奇希尔评论:勒索安全事件一直是影响整个互联网生态的一大隐患,不仅限于区块链生态。此外,在区块链领域的加密货币逐渐普及之后,犯罪分子经常利用比特币等加密货币的匿名性进行勒索和欺诈。

欺诈和运行事件

除此之外,6月份还有许多欺诈性的跑步事件,值得警惕,例如:

1)根据PeckShield拥有的数字资产视觉跟踪平台CoinHolmes的数据,自6月22日下午以来,PlusToken的资本发生了变化,拥有26,316,339个EOS和2,503个BTC;转移了789,533个以太网。

2)韩国首尔警方今天展开调查,针对两起涉及以太网犯罪的匿名数字现金交易,犯罪分子利用多级庞氏骗局骗取受害人的数字现金。433名投资者向警方投诉,1000名投资者没有联系警方,涉及价值4150万美元的ETH。

3)中国媒体广泛报道的伊朗交易所比提西斯已经逃走。许多消息人士指出,背后的真正控制者是中国的欺诈者,他们掌握了许多海外交易所,这些交易所声称能够转移资金和套利,吸收散户投资者的资金,然后逃跑。目前,当地警方已经立案。该交易所将用户资产转移到三个地址,其中一些平台已紧急冻结相关地址。

4) Bibox官方宣布,一些犯罪分子伪造Bibox APP并冒充Bibox客服诱使用户进行交易。请保持警惕。

5)火币全球站收到一份报告,一个网络钓鱼网站冒充火币发布公告,在社区中传播“ERD空投活动”。火币全球站郑重声明,火币没有发布任何“ERD空投活动”,因此交易者应保持警惕,并识别火币的官方网站地址。

Matcha交易所宣布,最近,一些犯罪分子冒充几家交易所的客户服务人员,创建欺诈性网站以诱使用户进行交易,或者要求将数字资产转移到欺诈性网站。MXC抹茶没有开通官方微博,微信上的任何“MXC抹茶”账户都不是官方账户。如果以MXC抹茶的名义联系用户,要求将数字资产“转移”到其他平台,可以通过官方网站上的MXC抹茶客户服务渠道进行身份验证。

7)近日,山东省烟台市警方在深圳、惠州、合肥三地同时关闭了网络,成功破获了一个以“虚拟货币投资”为幌子,利用虚假投资平台进行诈骗的犯罪团伙

8)山东省荷泽市巨野县公安局近日破获一起特大电信网络诈骗案,打垮一批涉嫌以网上贷款和投资“比特币”名义进行电信网络诈骗的团伙,抓获犯罪嫌疑人83人,查获并冻结涉案资金2700多万元。目前,巨野警方已依法将30名重大犯罪嫌疑人移送检察机关审查起诉。

9)近日,南宁一家场外交易商涉嫌协助电信诈骗犯罪分子洗钱,被警方调查逮捕。这表明,USDT、密码货币和中国电信欺诈的结合越来越紧密,这可能给普通用户带来更多的卡冻结风险,场外交易商也需要加大甄别力度。

10)根据之前的报道,犯罪分子利用特斯拉创始人埃隆马斯克(Elon Musk)和他的公司SpaceX的名字在YouTube上实施比特币欺诈。据统计,共有214个BTC被发送到这种欺诈性地址,价值超过200万美元。

11) DeFi货币市场协议DMM官方推特称,在公开募股期间,其电报组遭到恶意劫持,攻击者假冒DMM基金会窃取资金。对于那些在代币销售中被骗的人,他们会赔偿相应的DMG金额,希望确保所有损失金钱的人都能得到相应的赔偿。

佩奇希尔评论:由于缺乏用户安全意识和规范操作导致的各种潜在安全隐患层出不穷,网络钓鱼攻击和欺诈等各种事件就是典型的例子。我们提醒您,用户应该小心保存各种私人信息,任何轻微的疏忽都可能造成不可挽回的损失。

微信二维码
售前客服二维码

文章均源于网络收集编辑侵删

提示:币友交流QQ/WX群请联系客服加入!

郑重申明:资讯文章为网络收集整理,官方公告以外的资讯内容与本站无关!
虚拟币开发,虚拟币交易平台开发,山寨币交易平台开发 Keywords: 虚拟币开发 虚拟币交易平台开发 山寨币交易平台开发