SHIELD:PeckShield：八月共發生安全事件28起，DeFi市場成重災區_LiquiShield

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發生28起較為突出的安全事件，危害程度評級為「中級」，涉及DeFi8起、錢包安全2起，公鏈安全6起，交易所相關1起，勒索相關4起，詐騙跑路7起等。

DeFi安全

8月份共發生8起DeFi相關安全事件，具體如下：1）DeFi項目YamFinance發布推文稱，在Rebase合約時發現一個bug。初始重新設置之后的Rebase將產生比預期更多的YAM。具體參看PeckShield安全團隊跟進分析的技術解讀文章《回天乏術，一開始就注定失敗的YAM投票拯救行動！》2）DeFi項目YFValue發布公告稱，團隊于昨日在YFV質押池中發現一個漏洞，惡意參與者借此漏洞對質押中的YFV計時器單獨重置。3）08月05日，DeFi期權平臺Opyn的看跌期權智能合約遭到黑客攻擊，損失約37萬美元。攻擊者發現Opyn智能合約行權接口對接收到的ETH存在某些處理缺陷，其合約并沒有對交易者的實時交易額進行檢驗，使得攻擊者可以在一筆對自己發起真實的交易之后，再插入一筆偽裝交易騙得賣方所抵押的數字資產，進而實現空手套白狼。具體參看《PeckShield：DeFi平臺Opyn智能合約漏洞詳解——攻擊者空手套白狼！》4）YFII的硬分叉項目YYFI已在8月1日凌晨徹底成為了“退出騙局”，從一開始這個項目似乎就打定了注意為自己的跑路做好了準備。5）推特上有網友爆料稱DeFi流動性挖礦項目Degen.Money通過兩次授權獲取用戶資金。第一次授權給了質押合約，第二次授權給了轉賬權，會導致用戶資金被攻擊者拿走。6）新興的自動做市商平臺SushiSwap，被曝智能合約中存在多個安全漏洞。該漏洞可能會被智能合約擁有者利用，允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞，會導致潛在攻擊者的惡意代碼被執行多次。7）DeFi流動性耕種匿名項目BASED官方宣布將重新部署質押池，官方發布推特稱，有黑客試圖將“Pool1”永久凍結，但嘗試失敗。而“Pool1”將繼續按計劃進行。8）兩個小型代幣項目——NUGS和NEXE——在上線Uniswap不久后疑似已進行了“跑路詐騙”。NUGS項目將這一舉動歸咎于“智能合約漏洞”，在其官方電報頻道，NUGS表示其智能合同現已“無法修復”。另一個項目NEXE疑似也已跑路，該項目的社交媒體賬號已被刪除。PeckShield點評：隨著DeFi項目功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑒于其與用戶資產的緊密聯系，DeFi項目的安全問題非常嚴峻。由于各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平臺交互的過程中出現安全問題，進而腹背受敵。PeckShield在此建議，DeFi項目方在上線之前，應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。數字錢包安全

ApeCoin DAO社區關于推出.ape域名服務的提案開啟投票:5月19日消息，ApeCoin DAO社區新提案AIP-224開啟投票，該提案旨在擴展Ape協議推出“.ape”域名服務，投票將于5月25日結束。根據提案內容，“.ape”域名服務主要基礎設施包括DApp、域名解析器和協議邏輯，實施步驟包括創建DApp并對其進行Beta測試、測試版、對Yuga Labs NFT ID開放鑄造、對APE持有者開放鑄造、對所有人開放，基礎設施總成本為67900APE。[2023/5/19 15:13:30]

8月份共發生2起錢包安全事件：1）一GitHub用戶表示其比特幣巨額款項被黑客盜取。據悉，該用戶使用的是比特幣錢包Electrum軟件，上次訪問是在2017年。此后Electrum已經發布了安全更新，但該用戶一直沒有安裝，因此他這回轉移比特幣之前，被提示更新和修補潛在問題。但當他根據提示操作的時候，該軟件利用一個漏洞連接了黑客的服務器，1400枚BTC隨即從他的錢包中被取出，存入了黑客的錢包中。2）8月30日消息，加密錢包提供商Ledger最近出現了數據庫泄露以及錢包漏洞，使用戶的比特幣面臨風險。Ledger首席技術官CharlesGuillemet對此表示，就數據庫泄露而言，攻擊者通過第三方在我們網站上配置錯誤的API密鑰訪問了我們的電子商務和營銷數據庫的一部分，允許未經授權訪問我們客戶的聯系方式和訂單數據。Ledger在同一天修復了這個問題，并禁用了API密鑰。PeckShield點評：數字錢包作為管理私鑰的工具，是離加密資產最近的地方。雖然冷錢包是一種脫離網絡連接的離線錢包，但也存在被物理攻擊和被盜的風險，而像網頁錢包等熱錢包，用戶也要謹防網絡釣魚，惡意代碼注入等攻擊方式。公鏈安全

ApeCoin DAO社區關于將APE集成至NiftyKit的AIP-88提案投票已通過 ?:9月29日消息，ApeCoin DAO社區關于“通過無代碼NFT Drop平臺和Launchpad賺取ApeCoin”的生態系統資金分配提案AIP-88的投票以91.35%的支持率獲得通過。

據悉，該提案旨在為ApeCoin NFT項目推出Launchpad并將ApeCoin社區整合到一個NFT投放平臺中，由Bored Ape Yacht Club成員和NiftyKit聯合創始人Dan發起。該提案計劃在使用基于自助式智能合約的Launchpad平臺NiftyKit為開發人員提供資金支持并為ApeCoin建立深度集成，并將ApeCoin設置為創造者經濟的基礎代幣。

此前消息，由Snag Solutions為ApeCoin DAO建立NFT交易市場提案投票獲得通過。[2022/9/29 22:40:05]

8月份共發生6起公鏈相關安全事件：1）8月4日早間，AdamantCapital創始人TuurDemeester發推稱，今日比特幣全節點可能正在遭受連接槽耗盡攻擊。而根據TuurDemeester所轉發的Blockstream副總裁WarrenTogami發布的消息，其監測的幾個比特幣全節點，所有轉入的連接插槽都滿了。WarrenTogami表示，當公共傳入連接槽耗盡時，來自本地主機的傳入連接將停止。2）根據北京大學、北京郵電大學、浙江大學和昆士蘭大學的研究人員的一項新研究，以太坊區塊鏈上價值超過10億美元的代幣缺少2017年發布的一項軟件標準，使這些代幣容易被劫持并從交易所流失。該軟件漏洞被稱為假冒存款漏洞，已在7772個ERC-20代幣發行商處被發現。該研究表明，通過操縱使用了不足的交易驗證方法的ERC-20代幣智能合約中的代碼，黑客幾乎可以無成本騙取大量資金。假冒的存款攻擊隨后可能會使交易所崩潰，導致ERC-20代幣和其他加密貨幣持有人損失其資金。3）OpenEthereum中的一個更新使運行在新版本上的節點基本上無用，這個bug似乎是在OpenEthereum的2.7.2版本中引入的。OpenEthereum決定簡單地廢棄2.7版本，因為此版本及其bug非常難修復。最新的2.5.13穩定版迭代定于9月中旬在Berlin硬分叉之前發布。但是，在此之前，下載新版本的運營商將面臨極具破壞性的降級任務。基礎架構開發商BlockNative的開發商LiamAharon在Twitter上強調，降級需要完全重新同步區塊鏈，“對于某些節點配置，這將需要數月的時間。”該漏洞影響了當前Parity大約50％的節點，根據Ethernodes的數據，該節點總計占整個網絡的12％。OpenEthereum團隊正在研究一種轉換過程，該過程將幫助節點避免昂貴的重新同步。4）Bitfly發推稱，今天，ETC區塊鏈在區塊高度10904146經歷了一次3693個區塊的鏈重組。這導致所有狀態修建節點停止同步。這可能是51%攻擊造成的，而后官方尋求所有交易所立即停止存取款，并調查所有最近發生的交易。5）8月30日，Bitfly官方發推稱，今日ETC又遭遇了一次大規模51%攻擊，導致7000多個區塊發生重組，相當于大約2天的開采時間。所有丟失的區塊將從未到期的余額中移除，其將檢查所有支出以查找丟失的交易。6）8月25日,Filecoin太空競賽開啟,CDSI聯盟節點"t02398"便遭受大量惡意非法攻擊，攻擊者通過已過濾白名單發送大量message堵塞節點，消耗Lotus節點大量運算使得節點不能正常完成任務最終導致丟掉算力。PeckShield點評：公鏈上的漏洞，一旦發現對整個鏈生態的影響極大，因此公鏈在正式版上線前務必做好安全測試和漏洞排查，并尋求第三方安全公司審計，避免因漏洞威脅影響公鏈生態。交易所相關

PeckShield：Aiternate的Discord已被攻擊，用戶不要點擊任何私信或鏈接:6月6日消息，PeckShield預警顯示，NFT 項目Aiternate的Discord已被攻擊，請用戶不要點擊任何Discord私信或鏈接。[2022/6/6 4:05:02]

8月份共發生1起交易所相關安全事件：1）韓國第三大數字貨幣交易所Coinbit被韓國查封調查，其董事長以及運營方涉嫌交易所內部交易和操縱市場價格。據悉，Coinbit排在Bithumb和Upbit之后，為韓國第三大交易所。稱該公司涉嫌利用非法手段賺取了至少1000億韓元的非法利益，Coinbit同時涉嫌偽造了其超過99％交易量。PeckShield點評：黑客盜取資產后實施洗錢，不管過程多周密復雜，一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求，交易所應加強AML反洗錢和資金合規化方向的審查工作。詳情可訪問www.coinholmes.com了解。勒索相關

8月份共發生4起勒索相關安全事件：1）過去幾周，一個犯罪團伙對全球一些最大的金融服務提供商發起了DDoS攻擊，并索要比特幣贖金。據悉，該組織使用了像ArmadaCollective和FancyBear這樣的名字——這兩個名字都是借鑒了知名黑客組織——給公司發郵件，威脅將進行DDoS攻擊并索要比特幣贖金。2）勒索軟件犯罪團伙REvil，聲稱已成功襲擊了美國葡萄酒和烈酒巨頭Brown-FormanCorp，黑客在其暗網官方博客以大約150萬美元的價格出售被盜數據。不過，Brown-FormanCorp在一份聲明中表示，他們已經成功地阻止了該網絡犯罪團伙加密文件。3）奧地利正在調查炸彈威脅勒索激增的情況，此前有多家公司周二早上收到了勒索比特幣的電子郵件。郵件內容顯示，如果不在未來80小時內支付價值2萬美元的比特幣，他們將引爆炸藥。奧地利媒體稱，電子郵件中還包含有關如何購買比特幣的說明。4）特斯拉通過與美國聯邦調查局展開合作，成功破獲一起計劃中的勒索軟件攻擊。據悉，該起攻擊的目標是特斯拉位于內華達州的一處工廠，攻擊者要求特斯拉支付價值數百萬美元的比特幣。PeckShield點評：勒索類安全事件一直是影響整個互聯網生態的重大隱患，不局限于區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及后，不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。其他詐騙跑路等事件

PeckShield：BSC鏈上項目收益農場EvoDefi遭到攻擊，GEN短時下跌57%:6月10日消息，PeckShield“派盾”預警顯示，BSC鏈上項目收益農場EvoDefi遭到攻擊，其代幣GEN價格從2.1美元/枚跌至0.9美元/枚，短時下跌57%。[2021/6/10 23:27:42]

除上述之外，8月份還發生了多起詐騙跑路事件值得警惕，例如：1）蘭州市局安寧分局近日成功打掉了一個利用虛假理財平臺實施電信網絡詐騙犯罪的犯罪團伙，共抓獲犯罪嫌疑人41人，凍結涉案贓款27萬余元、查扣寶馬汽車2輛以及用于作案的手機、電腦等工具100余臺。2）8月20日，從江蘇省蘇州市局獲悉，在“凈網2020”專項行動中，該市破獲一起針對虛擬貨幣的黑客犯罪案件，抓獲多名犯罪嫌疑人。嫌疑人專門利用黑客手段盜取賬戶密碼、竊取虛擬貨幣，并通過暗網聯系職業洗錢銷贓團伙變現，涉案金額達3000余萬元。3）以色列網絡安全公司Mitiga建議運行某些程序的亞馬遜網絡服務的所有客戶檢查自己是否受到了門羅幣挖礦軟件的惡意感染。在今天的一份報告中，Migita稱任何運行基于CommunityAMIs的EC2實例的用戶都容易受到該加密挖礦軟件的攻擊。據悉，Migita是在檢查一家金融機4）騰訊安全威脅情報中心檢測到大量源自境外IP及部分國內IP針對國內云服務器租戶的攻擊。攻擊者通過SSH爆破登陸服務器，然后執行惡意命令下載Muhstik僵尸網絡木馬。該僵尸網絡會控制失陷服務器執行SSH橫向移動、下載門羅幣挖礦木馬和接受遠程指令發起DDoS攻擊。5）西班牙加密貨幣支付應用和信用卡發行商2gether承認，上周五黑客盜取140萬美元，公司無法立即償還受攻擊影響的用戶，并提出一個折衷方案。2gether一直在努力尋找資金，但是與一家投資集團的談判失敗，未能找到資金向所有用戶償還被盜資金。6）8月15日消息，中國香港逮捕了三名男子，他們涉嫌從比特幣ATM機中騙取近23萬港元(合3萬美元)，這是香港首例此類案件。在兩家加密貨幣交易所提交報告后，在過去兩天采取了行動。這些交易所懷疑犯罪分子利用了自動取款機的“漏洞”，在沒有得到官方授權的情況下提取現金。7）近期，廣州白云在深入開展颶風2020專項行動過程中，發現并打掉了一個借助“跑分”平臺進行數字貨幣交易，從而為電信詐騙“洗錢”的團伙，抓獲涉案嫌疑人9人，繳獲作案手機、銀行卡等涉案物品一批。PeckShield點評：因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮，釣魚攻擊、詐騙等各類事件就是典型。在此提醒，用戶應謹慎保管各類私密信息，任何小的疏忽都可能造成不可挽回的損失。

OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息，OneSwap已9月6日順利通過智能合約代碼安全審計，此次審計工作由三家業內知名的安全公司慢霧科技，派盾PeckShield，成都鏈安完成。在審計過程中，三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作，以最大程度確保及時發現漏洞。

審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準，審計中發現的問題目前都已解決或正在解決中。

OneSwap是一個基于智能合約的完全去中心化的交易協議，在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可，可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息，Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]

Tags：APESHISHIELDELDApe StaxSHIDODarkShield Games StudioLiquiShield

區塊鏈