风险提示
风险提示: 律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。或联系律动tousu@theblockbeats.com。
举报
简体中文 繁体中文
English(Google translation)
登录/注册
热门排行
热门搜索
没有找到搜索内容
查看更多
PeckShield:9月共发生安全事件33起,DeFi诈骗跑路频发
安全 2020年09月30日 19:00
过去一个月整个区块链生态共发 33 起较为突出的安全事件,危害程度评级为「高级」,涉及DeFi 15起、钱包安全1起,公链安全1起,交易所相关3起,勒索相关7起,诈骗事件6起等。
原文标题:《PeckShield:9 月共发生安全事件 33 起,DeFi 诈骗跑路频发》
原文来源: PeckShield


据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发 33 起较为突出的安全事件,危害程度评级为「高级」,涉及 DeFi 15 起、钱包安全 1 起,公链安全 1 起,交易所相关 3 起,勒索相关 7 起,诈骗事件 6 起等。


9 月份共发生 15 起 DeFi 相关安全事件,具体如下:


1)开发人员在 SushiSwap 中发现了治理双花漏洞,这个漏洞可以在不需要获得新代币的情况下成倍增加某人的治理能力。FTX 首席执行官兼 SushiSwap 负责人 Sam Bankman-Fried 证实了这个漏洞的存在。他指出,这不会对 Sushi 造成直接问题,因为治理尚未启动。


2)DeFi 稳定币协议 Lien 发布公告表示,团队的审计人员发现一个 Lien App 中的漏洞,决定暂时维护平台以防止漏洞被利用,该项目表示用户存放协议的以太坊资产是安全的,同时没有出现资金被盗的问题。


3)9 月 19 号,币安智能链上的项目 Bantiample 团队已砸盘套现 3000 个 BNB 跑路,目前团队的主要开发者已经删除 Telegram 账号,项目代币 BMAP 单日跌幅超过 90%。


4)以太坊挖矿项目 LV Finance 项目疑似跑路,该项目通过伪造虚假审计网站并提供虚假审计信息诱骗投资者进行投资,待一段时间后资金池内金额足够大时进行跑路。目前,该项目网站 lv.finance 已无法访问。


5)废老师(微博用户名「废 X 废」)参与了流动性挖矿项目 Soda 发现有一个漏洞,里面有 2 万个 ETH 可以直接清算掉。但他选择了告诉开发组,但开发组并未重视。他只好选择清算了一个 ETH,并发微博警告,实操告诉开发者这个 Bug 的存在。不到一个小时,项目组发布公告:在前端停止借款的功能,如果有人因为这个 bug 收到了损失,我们在未来会尽可能推出补偿方案。


6)名为 GemSwap 的 SushiSwap 仿盘项目被曝跑路,LP 被卷走。查询发现,该项目在今日 15 点左右发布推特自曝其遭受了「whatitdobb」开发者的攻击,据了解,该项目今日早些时候完成了流动性迁移,但发起攻击的开发者在迁移之前就获得了相关许可,能够将流动池中的代币取走,目前尚不清楚此次攻击造成的具体损失。


7)bZx 官方噶 Twitter 称其合约被攻击,损失了 4700 枚 ETH,随后两天攻击者将所有盗取资产全部返还给项目方。


8)至少有 9 个 Chainlink 节点运营商在上周日遭受攻击,导致其钱包中的约 700 ETH 耗尽。据称,攻击利用了节点响应查询的方式,并涉及了与网络交易成本相关代币的使用。Chainlink 已确认攻击并将其描述为对网络进行「垃圾交易(spam)的「失败尝试」。


9)以太坊研发者 Philippe Castonguay 发推文称,DeFi 项目 BaconSwap 和 shroom.finance 均存在时间锁定漏洞,将允许项目所有者在没有时间锁定的情况下增发无限代币。


10)推特账户名为 Amplify 的用户透露自己在新 DeFi 项目 Soft Finance 中因系统漏洞而获利 25 万美元。并称自己并非作恶者,只是无意中发现了这个「机会」。注,Soft Finance 是 Yearn.finance 的克隆协议,发行了软锚定适应性系统代币 SYFI,利用 rebase 机制来根据需求调节供应。本月 4 号,该协议在 rebase 过程中发生系统故障而导致价格归零。


11)波场 DeFi 项目樱桃 CherryFi 在电报群表示,USDT 合约在迁移过程中由于一行代码导致无法提取 USDT,损失 USDT 的用户可以联系管理员,团队将给出一个赔偿方案,建议用户都把 TRX 提走。据了解,CherryFi 代码未经审计。


12)某用户于社群内表示,其在参与基于 EOS 的流动性挖矿项目 Diamond.finance 时,10 万 USDT 的资金被盗。PeckShield 安全人员跟进分析认为,该用户被盗原因和 eosio.code 权限无关,疑似私钥被盗。


13)EOS 项目 EMD 疑似跑路,截至目前,项目合约 emeraldmine1 已向攻击者账号 sji111111111 转移 78 万 USDT, 49 万 EOS 及 5.6 万 DFS,并有 12.1 万 EOS 已经转移到 changenow 洗币平台。


14)EOS 挖矿项目珊瑚的 wRAM 遭到黑客「重入」攻击,损失超 12 万 EOS。攻击者账号采用了类似「重入攻击」的模式,对 eoswramtoken 合约实施了攻击。具体而言,攻击者在正常的转账操作内嵌入了一次 inline transfer,使得 wRAM 合约在 mint 时判断 RAM 数额出现问题导致多发。


15)yearn.finance 创始人 Andre Cronje 刚推出的游戏项目 Eminence(ENM)遭遇「Flash 贷款」攻击,黑客将 800 万美元的资金返还给了 yearn 部署者合约。官方目前正在调查具体情况,并将重新分配受攻击的 800 万美元。


PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。


数字钱包安全


9 月份共发生 1 起钱包安全事件:


1)开发 BitBox 硬件钱包的瑞士公司 ShiftCrypto 透露,在 Trezor 和 KeepKey 硬件钱包中发现了一个漏洞,该漏洞允许攻击者在不靠近设备的情况下持有用户的加密货币以进行勒索。


PeckShield 点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。


公链安全


9 月份共发生 1 起公链相关安全事件:


1)比特币工程师 Braydon Fuller 和 Javed Khan 于 2018 年在比特币区块链上修复了名为 INVDoS 的漏洞,本周又发表了一份研究论文,详细介绍了他们如何在其他多个区块链迭代中发现 Btcd 和 Decred。该漏洞的攻击工作方式是:一个敌对的区块链节点(验证交易的区块链网络的成员)通过向不存在的交易发出垃圾邮件来淹没另一个。该漏洞被称为「拒绝服务」攻击,可被黑客「轻松利用」,并可用于使整个比特币节点网络崩溃。报告称,这可能导致处理交易的延误,进而导致「资金或收入的损失」。


PeckShield 点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。


交易所相关


9 月份共发生 3 起交易所相关安全事件:


1)欧洲加密货币交易所 ETERBASE 遭遇黑客攻击,导致部分热钱包资产被盗,包括 BTC、ETH 及 ERC-20 代币、XRP、TRX、XTZ 和 ALGO。目前,该交易所处于维护模式,正在调查相关问题。据 The Block Research 分析,ETERBASE 被盗资产超过了 500 万美元,其中,ETH 和 ERC-20 代币地址损失的资金最多,达约 390 万美元,其次是 XTZ 地址,损失约 47.1 万美元。


2)Kucoin 库币交易所遭到黑客攻击,大量 ETH 和 ERC20 代币被转移,包含 11000 个以太坊,2000 万 USDT,1100 万刀的 AMPL,880 万刀的 OCEAN,720 万刀的 VIDT,500 万刀的 DIA,500 万刀的 AKRO。此后,该黑客跑路资金遭到各个大交易所联合封堵,黑客多次使用 Uniswap 进行资金转移。


3)9 月 2 日,首尔警方对韩国规模最大的加密货币交易所 Bithumb 进行搜查。Bithumb 韩国理事会议长李政勋正因欺诈和财产逃逸接受警方调查。根据首尔公安厅的说法,搜查缉获与发行 BXA 代币有关的投资欺诈有关。BXA 受害者表示,李等人以上市 BXA 为名预售 300 亿韩元代币,但实际上并未上市,造成损失。


PeckShield 点评:黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。详情可访问 www.coinholmes.com 了解。


勒索相关


9 月份共发生 7 起勒索相关安全事件:


1)不久前,杭州市高新区(滨江)一家民营企业向公安机关报案,称有人恶意攻击该公司官网,并勒索 1 个比特币。


2)网络安全网站 Bleeping Computer 的报道称,巴基斯坦最大的电力生产商 K-Electric 本周遭遇勒索软件攻击,黑客索要约 770 万美元的比特币赎金。


3)黑客近期攻击了阿根廷的移民系统,要求阿根廷政府支付价值 400 万美元的比特币赎金,导致跨境移民活动暂时瘫痪。但阿根廷政府拒绝与黑客谈判,也不会支付赎金。


4)智利三大银行之一的 Banco Estado 银行 7 日不得不关闭其全国性业务,原因是受到了 REvil 勒索软件的网络攻击。据悉,REvil 以拍卖在攻击中窃取的数据而闻名,并经常要求使用 Monero (XMR) 支付赎金。


5)黑客向以色列纳斯达克上市无线芯片和摄像头传感器制造商 Tower Semiconductor Ltd(TSEM)进行勒索软件攻击,并索要数十万美元比特币赎金。为了安全起见,TSEM 关闭了一些正在运行的服务器,并暂停了部分工厂的生产。


6)特斯拉创始人 Elon Musk 在一条推文中证实,俄罗斯男子 Egor Igorevich Kriuchkov 用 100 万美元比特币贿赂内华达州特斯拉工厂一名员工,以便在特斯拉的计算机网络上安装勒索软件。该员工没有执行该计划,而是通知了其他与 FBI 联系的特斯拉员工。FBI 于 8 月 22 日在洛杉矶逮捕了该男子,如果被判有罪,他将面临最高五年的监禁。


7)泰国警方表示,泰国的医院和公司遭到黑客攻击,黑客挟持了计算机系统和数据,并要求支付比特币以恢复信息。其中,9 月 5 日,Saraburi 医院无法访问其数据,攻击者要求获得 630 亿泰铢(28 亿澳元)的比特币来解锁系统。


PeckShield 点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗。


其他诈骗事件


除上述之外,9 月份还发生了多起诈骗跑路事件值得警惕,例如:


1)ESET 的研究人员发现了一个新的恶意软件,该软件可通过 Tor 网络和 Bittorent 协议感染用户设备。该软件名为「Krypto Cibule」,通过感染用户设备以进行加密挖矿,并使用「剪贴板劫持」将资金转到黑客的钱包中。


2)哥伦比亚警方向全国民众发出警告称,欺诈者正通过比特币进行诈骗,并发起了一项声称得到了总统伊万·杜克(Ivan Duque)支持的倡议。据欺诈者称,杜克总统签署了一份「世纪协议」,将创建一个名为「比特币时代」的平台,这将使哥伦比亚人能够从加密货币中赚取收入。对此,警方强调,这项针对 COVID-19 经济影响并以比特币为重点的投资解决方案是一个骗局,并且没有以任何方式得到哥伦比亚总统的批准。


3)西安高新区公安局 9 月 2 日抓获虚拟货币诈骗案相关嫌疑人。该团伙此前在网上发布虚拟货币 BRTR 的相关虚假信息,引诱群众购买,短短一个月诈骗金额已达 500 余万元。办案民警根据前期收集到的侦查线索及嫌疑人供述,已将 500 余万元涉案资金全部追回并依法冻结。目前,此案还在进一步审理中。


4)9 月 21 日,武汉市公安局东湖新技术开发区分局成功打掉一个诈骗团伙。民警调查发现,该团伙是以炒虚拟货币高回报为诱饵,吸引投资者进行投资,进而实施诈骗团伙。目前,警方已掌握多个被骗人员的情况,涉及金额近 30 余万元。涉案的曹某、罗某、陈某、袁某等四人,因涉及诈骗罪已被东新警方予以刑事拘留。案件正在进一步深挖当中。


5)北京大兴公安分局今天通报称,警方近日成功打掉一伙以炒「数字货币」为名非法吸收公众存款的窝点,刑事拘留四名嫌疑人。据悉,涉案 1000 余名投资者的 2000 余万元投资款被套住。四名嫌疑人牟利 200 余万元。


6)近日,上海闵行警方捣毁一个以投资虚拟币为名实施诈骗的犯罪团伙,抓获犯罪嫌疑人 35 人。该诈骗团伙以电话、微信寻找有投资虚拟币意向的潜在被害人,将其拉入投资微信群,并诱骗被害人下载「bitex」「back」「bitbank」平台进行虚拟货币投资,骗取被害人投资本金,实施诈骗犯罪。该团伙共涉案十余起,涉案金额逾 80 万,涉及被害人达 100 余人。


PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。  


原文链接


DeFiPeckShield

安全

在这里,有关于黑客、盗币、安全的所有信息

扫码下载律动APP

专业区块链研究机构 与资讯平台