江苏龙网

  1. 首页 > 人文 > >

PeckShield:7月发生5起DeFi安全事件虚拟货币诈骗达16起

外汇天眼APP讯:据PeckShield态势感知平台数据显示 , 过去一个月 , 整个区块链生态共发生32起较为突出的安全事件 , 危害程度评级为「中级」 , 涉及DeFi5起、钱包安全2起 , 公链安全3起 , 交易所相关2起 , 勒索相关4起 , 诈骗跑路16起等 。
PeckShield:7月发生5起DeFi安全事件虚拟货币诈骗达16起
文章图片
DeFi安全
7月份共发生5起DeFi相关安全事件 , 具体如下:
1)加密货币项目Vether(VETH)遭到闪贷攻击 , 其Uniswap资金池耗尽919299VETH , 价值约合90万美元 , 而且整个攻击成本仅有0.9ETH , 约合200美元 。
2)知名区块链安全研究员SamSun在小组讨论中表示 , 自己似乎发现一种盗取yearn.financeyusdc资金池资金的方法 。 yearn.finance官方回应称这个问题已经得到解决 , 但依然提示用户暂时不要投入资金 。 7月26日 , yearn.finance公布V2版本的更新将添加USDC合约的资金池 , 但V2版本还没有完全部署 , 尚在实验测试阶段 , 官方也已经提示该合约仍为实验性质且具有高度风险 , 建议不要立即投入资金 。
3)samczsun在yearn.finance新部署的yVault中发现了一个漏洞 , 初步分析是由于flashloan中产生滑点导致 。
4)网络安全公司OpenZeppelin已发布Compound的开放式预言机(OpenOracle)集成UniswapV2的审计报告 。 指出 , 开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格 , 这些价格将以UniswapV2的市场价格作为基础 , 发布价格的人只能在一定程度上偏离UniswapV2的价格(具体由部署者决定) , 这可以很大程度上限制汇报者操纵预言机的权力 。
5)DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局:Uniswap上的伪造代币列表 。 骗子正试图在目标协议实际推出其加密货币之前 , 在Uniswap上列出「官方」协议代币 。 DefiPrime至少确定六个被这些诈骗者锁定的协议:Uniswap、TornadoCash、BZRX(Fulcrum)、Curve、dYdX和1inch 。 甚至已经有人因此受骗 。
PeckShield点评:随着DeFi项目功能越来越多样 , 其中隐藏的安全问题也逐渐暴露出来 , 鉴于其与用户资产的紧密联系 , DeFi项目的安全问题非常严峻 。 由于各项目由不同团队开发 , 对各自产品的设计与实现理解有限 , 集成的产品很可能在与第三方平台交互的过程中出现安全问题 , 进而腹背受敌 。 PeckShield在此建议 , DeFi项目方在上线之前 , 应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计 , 以避免潜在存在的安全隐患 。
数字钱包安全
7月份共发生2起钱包安全事件:
1)加密货币钱包服务商ZenGo表示 , 其在Ledger、BRD和Edge等市场主流的一些钱包中发现了一个漏洞 , 该漏洞允许攻击者欺骗用户 , 让用户以为自己收到了比特币 , 但实际上他们并没有收到 。 ZenGo将这一漏洞命名为「BigSpender」 , 攻击手法定义为「双重支出攻击」 。
2)研究人员发现了一种新的木马 , 这种木马针对在macOS上使用交易程序的交易者 。 该木马使用恶意软件GMERA , 被整合进貌似无毒的应用中 , 再从使用者的钱包中偷取代币 。
PeckShield点评:数字钱包作为管理私钥的工具 , 是离加密资产最近的地方 。 虽然冷钱包是一种脱离网络连接的离线钱包 , 但也存在被物理攻击和被盗的风险 , 而像网页钱包等热钱包 , 用户也要谨防网络钓鱼 , 恶意代码注入等攻击方式 。
公链安全
7月份共发生3起公链相关安全事件:
1)7月3日 , CryptoScope团队发现Ravencoin(RVN)区块链存在漏洞 , 经过rvn首席开发团队确认后已发布了紧急更新 。 据悉 , 该漏洞可生成额外的RVN , 但是不会影响或控制已经存在的RVN资产 。 由于该漏洞造成了RVN总量比原计划多出了1.5% , 并且漏洞产生的RVN已经流入市场 , 因此无法进行回滚等操作 。
2)Polkadot联合创始人GavinWood称雪崩协议类似一个中心化的Cosmos , 由选出来的重叠的验证人组充当了子网安全性 。 这将导致整个系统内各个链间的安全性有极大的不均 。 跨分片攻击是可行的 , 因为来自一个(低安全性)链的消息可以导致另一个(更安全的)子网上的状态迁移 。 这样一来整个网络的安全性就等同于安全性最差的那个链 。 综上 , 雪崩协议并不安全 , 也不具备可拓展性 。
3)BitcoinGold的开发人员团队已经阻止了针对网络的「极长的攻击链」 。 根据开发团队的说法 , 攻击者于7月1日从采矿服务提供商NiceHash租用了哈希功能 , 并秘密开采了一条替代链(本质上为网络创建了新的交易记录)持续了近10天 , 在此过程中挖掘了1,300多个区块 。 7月10日 , 攻击者发布了秘密链 , 以试图收集8,000多枚比特币黄金 , 但是 , 由于比特币黄金团队及早发现了攻击 , 并就潜在的攻击向矿池和交易所发出了警告 , 从而挫败了攻击者 。
PeckShield点评:公链上的漏洞 , 一旦发现对整个链生态的影响极大 , 因此公链在正式版上线前务必做好安全测试和漏洞排查 , 并寻求第三方安全公司审计 , 避免因漏洞威胁影响公链生态 。
交易所相关
7月份共发生2起交易所相关安全事件:
1)OKCoin官方发推称 , OKCoin网站遭遇两波DoS攻击 , 致使用户近四小时无法登入网站 。 所幸 , 所有客户资产是安全的 , 移动应用程序和API正常运行 。
2)英国加密货币交易所Cashaa表示 , 黑客从其中一个钱包中窃取了超过336枚比特币 。 目前 , 该交易所已停止所有与加密有关的交易 。
PeckShield点评:黑客盗取资产后实施洗钱 , 不管过程多周密复杂 , 一般都会把交易所作为套现通道的一部分 。 这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求 , 交易所应加强AML反洗钱和资金合规化方向的审查工作 。 详情可点击了解 。
勒索相关
7月份共发生4起勒索相关安全事件:
1)跨国科技公司Garmin被俄罗斯网络犯罪团伙EvilCorp勒索了1000万美元的赎金 , 需以加密货币支付 。 Garmin匿名员工证实 , WastedLocker勒索软件破坏了该公司的客户支持服务、导航解决方案等 。
2)跨平台数据库公司MongoDB遭受了网络攻击 , 黑客团伙通过擦除其内容渗透了22,900个不安全的数据库 。 黑客要求每个数据库支付0.015BTC(约合140美元) , 因此要求的总金额超过320万美元 。
3)英国足球联赛俱乐部被勒索软件盯上 , 其公司安全系统被破坏 。 攻击者要求的赎金金额为400BTC(约366万美元) 。 据悉 , 由于俱乐部拒绝付款 , 导致其存储的数据丢失 。 根据该研究 , 对英国体育组织的攻击中约有40%与恶意软件有关 , 其中四分之一与勒索软件有关 。
4)乌克兰安全局(SSU)拘留了两名要求获得比特币 , 否则将炸毁该国首都建筑物的 。 根据SSU的帖子 , 两名60岁男子在基辅的一栋公寓楼上张贴了纸条 , 扬言如果其比特币地址未收到50枚比特币 , 就会炸毁该建筑物或另一栋建筑 。
PeckShield点评:勒索类安全事件一直是影响整个互联网生态的重大隐患 , 不局限于区块链生态 。 而且在区块链领域的加密货币逐渐普及后 , 不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗 。
诈骗跑路事件
除上述之外 , 7月份还发生了多起诈骗跑路事件值得警惕 , 例如:
1)四年前攻击Bitfinex交易所的黑客再次出现 , 从当时偷走的加密货币中转移了448.72枚BTC , 价值近500万美元 。 当时Bitfinex被黑损失近7200万美元 。
2)7月22日 , 加密公司Veritaseum首席执行官ReggieMiddleton对电信运营商T-Mobile发起诉讼 , 指控其通过一系列「交换SIM卡(simo-swap)」攻击 , 窃取了价值870万美元的加密货币 。
3)7月16日 , 包括比尔·盖茨 , 奥巴马 , 埃隆马斯克 , 苹果官方账号等在内的诸多推特账号被黑客攻击并发布比特币钓鱼信息 。 经查询黑客留在推特上的地址发现 , 该地址目前已经收到了12.86枚比特币 。
4)白帽黑客HarryDenley在成功侵入了一个加密货币网络钓鱼骗局的数据库后 , 成功截获了价值1.6万美元的ETH和DEC , 并已将这些加密货币返还给其合法所有者 。
5)区块链公司Veritaseum首席执行官ReggieMiddleton已起诉美国电信运营商T-Mobile , 称该公司因严重过失并未能保护其客户 , 使得黑客进行了一系列SIM劫持攻击 , 导致价值870万美元的加密货币失窃 。
【PeckShield:7月发生5起DeFi安全事件虚拟货币诈骗达16起】6)黑龙江省牡丹江市公安局反诈中心与海林市公安局经过两个多月缜密侦查 , 成功侦破涉案金额100余万元的特大虚拟货币电信诈骗案 , 跨省抓获7名犯罪嫌疑人 。


    推荐阅读


    上一篇:新华网|乌鲁木齐出台疫情防控期间社保缴纳新规:下限不上调

    下一篇:人民日报|《基本医疗保险用药管理暂行办法》9月1日起施行