江苏龙网

  1. 首页 > 资讯 > >

区块链|7月共发生安全事件32起,虚拟货币诈骗案件泛滥


据 PeckShield 态势感知平台数据显示 , 过去一个月 , 整个区块链生态共发生 32 起较为突出的安全事件 , 危害程度评级为「中级」 , 涉及 DeFi 5 起、钱包安全 2 起 , 公链安全 3 起 , 交易所相关 2 起 , 勒索相关 4 起 , 诈骗跑路 16 起等 。
区块链|7月共发生安全事件32起,虚拟货币诈骗案件泛滥
本文插图

DeFi安全
7月份共发生 5 起 DeFi 相关安全事件 , 具体如下:
1)加密货币项目Vether(VETH)遭到闪贷攻击 , 其Uniswap资金池耗尽919299 VETH , 价值约合90万美元 , 而且整个攻击成本仅有0.9ETH , 约合200美元 。
2)知名区块链安全研究员Sam Sun在小组讨论中表示 , 自己似乎发现一种盗取yearn.finance yusdc资金池资金的方法 。 yearn.finance官方回应称这个问题已经得到解决 , 但依然提示用户暂时不要投入资金 。 7月26日 , yearn.finance公布V2 版本的更新将添加USDC合约的资金池 , 但V2版本还没有完全部署 , 尚在实验测试阶段 , 官方也已经提示该合约仍为实验性质且具有高度风险 , 建议不要立即投入资金 。

3)samczsun在yearn.finance新部署的yVault中发现了一个漏洞 , 初步分析是由于flashloan 中产生滑点导致 。
4)网络安全公司OpenZeppelin已发布Compound的开放式预言机(Open Oracle)集成Uniswap V2的审计报告 。 指出 , 开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格 , 这些价格将以Uniswap V2的市场价格作为基础 , 发布价格的人只能在一定程度上偏离Uniswap V2的价格(具体由部署者决定) , 这可以很大程度上限制汇报者操纵预言机的权力 。
5)DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局:Uniswap上的伪造代币列表 。 骗子正试图在目标协议实际推出其加密货币之前 , 在Uniswap上列出“官方”协议代币 。 DefiPrime至少确定六个被这些诈骗者锁定的协议:Uniswap、Tornado Cash、BZRX(Fulcrum)、Curve、dYdX 和1inch 。 甚至已经有人因此受骗 。

PeckShield 点评:随着 DeFi 项目功能越来越多样 , 其中隐藏的安全问题也逐渐暴露出来 , 鉴于其与用户资产的紧密联系 , DeFi 项目的安全问题非常严峻 。 由于各项目由不同团队开发 , 对各自产品的设计与实现理解有限 , 集成的产品很可能在与第三方平台交互的过程中出现安全问题 , 进而腹背受敌 。 PeckShield 在此建议 , DeFi 项目方在上线之前 , 应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计 , 以避免潜在存在的安全隐患 。
数字钱包安全
7月份共发生 2 起钱包安全事件:
1)加密货币钱包服务商ZenGo表示 , 其在Ledger、BRD和Edge等市场主流的一些钱包中发现了一个漏洞 , 该漏洞允许攻击者欺骗用户 , 让用户以为自己收到了比特币 , 但实际上他们并没有收到 。 ZenGo将这一漏洞命名为“BigSpender” , 攻击手法定义为“双重支出攻击” 。
2)研究人员发现了一种新的木马 , 这种木马针对在macOS上使用交易程序的交易者 。 该木马使用恶意软件GMERA , 被整合进貌似无毒的应用中 , 再从使用者的钱包中偷取代币 。

PeckShield 点评:数字钱包作为管理私钥的工具 , 是离加密资产最近的地方 。 虽然冷钱包是一种脱离网络连接的离线钱包 , 但也存在被物理攻击和被盗的风险 , 而像网页钱包等热钱包 , 用户也要谨防网络钓鱼 , 恶意代码注入等攻击方式 。
公链安全
7月份共发生 3 起公链相关安全事件:
1)7月3日 , CryptoScope团队发现Ravencoin(RVN)区块链存在漏洞 , 经过rvn首席开发团队确认后已发布了紧急更新 。 据悉 , 该漏洞可生成额外的RVN , 但是不会影响或控制已经存在的RVN资产 。 由于该漏洞造成了RVN总量比原计划多出了1.5% , 并且漏洞产生的RVN已经流入市场 , 因此无法进行回滚等操作 。
2)Polkadot 联合创始人Gavin Wood称雪崩协议类似一个中心化的Cosmos , 由选出来的重叠的验证人组充当了子网安全性 。 这将导致整个系统内各个链间的安全性有极大的不均 。 跨分片攻击是可行的 , 因为来自一个(低安全性)链的消息可以导致另一个(更安全的)子网上的状态迁移 。 这样一来整个网络的安全性就等同于安全性最差的那个链 。 综上 , 雪崩协议并不安全 , 也不具备可拓展性 。

3)Bitcoin Gold的开发人员团队已经阻止了针对网络的“极长的攻击链” 。 根据开发团队的说法 , 攻击者于7月1日从采矿服务提供商NiceHash租用了哈希功能 , 并秘密开采了一条替代链(本质上为网络创建了新的交易记录)持续了近10天 , 在此过程中挖掘了1,300多个区块 。 7月10日 , 攻击者发布了秘密链 , 以试图收集8,000多枚比特币黄金 , 但是 , 由于比特币黄金团队及早发现了攻击 , 并就潜在的攻击向矿池和交易所发出了警告 , 从而挫败了攻击者 。
PeckShield 点评:公链上的漏洞 , 一旦发现对整个链生态的影响极大 , 因此公链在正式版上线前务必做好安全测试和漏洞排查 , 并寻求第三方安全公司审计 , 避免因漏洞威胁影响公链生态 。


推荐阅读


上一篇:云南|云南省地震灾害特点和对策分析

下一篇:骨折|漫点普法 | 哥们儿抢球摔骨折,少侠是否担责?