EFI:11月典型安全事件超27起 整體風險評級較高_比特幣

2020年11月盤點

據成都鏈安『區塊鏈安全態勢感知平臺』的數據監測顯示：

2020年11月，在區塊鏈領域中，各類安全事件的發生較為頻繁。相較10月安全事件趨于緩和的態勢，本月的情況有所惡化。據不完全統計，11月發生較典型的安全事件超過27起。

本月，特別是在DeFi領域，黑客如同經過集中排練一般，上演了連續的協議“攻擊劇目”。其中，重入攻擊、預言機攻擊等手段在閃電貸的輔佐下，展現了強大的殺傷力。不得不說，11月的DeFi市場就像經歷了一場“浩劫”，多起攻擊輪番“轟炸”，造成了巨大的資產損失。

其間，成都鏈安曾為此呼吁，閃電貸攻擊只是冠名，背后的真相不容忽視。DeFi項目方應該尤其注意預言機操控問題，以防數據危機帶來不可挽回的后果。

因此，成都鏈安再次鄭重建議，DeFi開發者應加強預言機的針對性測試，特別是在項目上線前，需盡可能模擬價格操控攻擊的各類場景，及時發現問題并找出解決方案，切實提高項目抗預言機攻擊的能力，做到提前規避此類風險。

交易所方面

共發生『6』起較典型的安全事件

比特幣礦企Bitfarms11月份共挖出453枚BTC，同比增加34%:金色財經報道，比特幣礦企Bitfarms 11月份共挖出453枚比特幣，同比增加了34%，環比下降了7%。11月的哈希率增加了5%，達到4.4EH/s。11月份月平均每天挖15.1枚BTC，低于2022年10月的平均每天挖15.7個BTC，Bitfarms表示11月的產量降低主要受到網絡難度增加和月份較短的影響。[2022/12/1 21:16:14]

常州龍虎塘派出所近日接到報警，有用戶在“羅馬幣交易所”平臺上進行虛擬貨幣投資被騙。該平臺推出了兩款APP，供用戶聊天和交易，操作成功之后可獲得返利。目前，該交易平臺已經無法登錄。

波卡去中心化金融平臺Akropolis遭遇攻擊。黑客利用在衍生品平臺dYdX的閃電貸進行重入攻擊，造成了200萬美元的損失。

泉州多位市民爆料稱，遭到了數字貨幣交易詐騙。涉案交易所名為MARK交易所，涉案金額約25億元，疑似參與頭寸管理的大約10萬人。

11月13日，Liquid交易所發生了一起入侵事件。黑客更改了DNS記錄，然后控制了大量內部電子郵件帳戶。最終，他們部分破壞了該交易所的基礎設施并訪問了存儲的文檔。

OpenSea（Polygon）昨日交易量突破460萬美元，創11月1日以來新高:1月29日，據 Dune Analytics 數據顯示，OpenSea（Polygon）昨日交易量超過 461萬美元，創11月 1 日以來新高。[2022/1/29 9:21:09]

PickleFinance的pDAIPickleJar被黑客攻擊，導致19,759,355枚DAI被耗盡。此次攻擊還涉及許多Pickle協議組件。

知名安全博客KrebsOnSecurity報告稱，從11月13日左右，由熱門托管提供商Godaddy托管的幾個加密貨幣平臺遭到了攻擊，其中包括加密貨幣交易平臺Liquid.com。

DeFi方面

共發生『5』起較典型的安全事件

波場主網于香港時間11月02日06:14受到惡意合約攻擊。本次攻擊中，黑客利用授予合約編寫者的權限，發起了惡意交易導致“超級代表”暫停產塊來獲利。

DeFi借貸平臺PercentFinance在11月4日的博客中寫道，某些貨幣市場遇到了可能導致用戶資金永久被鎖定的問題。因此，該團隊凍結了專門針對USDC、ETH和WBTC的貨幣市場。

Argo Blockchain 11月平均挖礦利潤率為57%，收入漲至148萬英鎊:英國上市礦企Argo Blockchain報告稱，11月份的月平均挖礦利潤率為57%，而10月為40%。上個月比特幣的價格上漲45%，這對使用加密貨幣的公司也有好處。Argo Blockchain報告稱，該期間的收入有所增加，從120萬英鎊飆升至148萬英鎊。

該公司在10月份開采115枚比特幣，而10月份是126枚比特幣，但這歸因于挖礦難度的變化和Zcash減半。年初至今該公司總共開采2369枚BTC。

截至11月30日，該公司持有178枚BTC，價值近350萬美元，高于10月31日的137枚BTC。該公司的礦機也從2019年上半年的5000臺增加到16000臺。Argo Blockchain首席執行官Peter Wall表示，“在Argo，我們繼續優先考慮挖礦操作的效率，這使我們這個月的收入增加23%，并實現自今年早些時候減半以來的最高挖礦利潤率。”此外，Argo的股價約為11美元，過去兩個月上漲147%。（Bitcoin Exchange Guide）[2020/12/7 14:23:44]

11月14日，ValueDeFi協議的ValueDeFiMultiStables保險庫遭到黑客的預言機操控攻擊，最終導致超過700萬美元的損失。

LBank將于11月6日16:00上線NEST交易:據悉，LBank將于11月6日16:00上線NEST/USDT交易對，并于11月5日16:00開啟充值，11月9日16:00開啟提現。

NESTProtocol是基于以太坊網絡開發的去中心化價格預言機網絡。NEST定義并實現了一種全新的在區塊鏈上生成鏈上價格的方案。其采用市場博弈理論，通過礦工雙向報價的方式將鏈下市場的價格同步產生于鏈上，并結合NEST報價挖礦機制，對礦工進行激勵，使其成為一套邏輯閉環的分布式報價系統，完美的將鏈下價格同步在鏈上生成出來，形成NEST價格預言機。[2020/11/4 11:38:30]

起源協議OriginProtocol穩定幣OUSD遭閃電貸攻擊，跌至0.13美元。此后,Uniswap中OUSD流動性從16日的35萬美元跌至了12萬美元。

Web3去中心化API服務API3的Kiyo發推表示，DeFi固定利率生成協議88mph似乎存在一個漏洞，一個攻擊者利用該漏洞鑄造了10萬美元的MPH代幣。此后，該漏洞已被修復。

Beosin評論

本月，DeFi項目的安全問題令人堪憂。這可能與對協議的核心環節缺乏足夠重視有關。“亡羊補牢，為時不晚”，黑客的攻擊似乎不會停歇，面對嚴峻的安全形勢，主動防范的心態和行動至關重要。

動態 | 自11月以來Bithumb已下線5個幣種 預計還將淘汰多個幣種:8月，Bithumb表示每月將通過內部委員會評估交易所中列出的所有加密貨幣。如果資產不符合交易所標準，將被除牌。自11月以來，Bithumb已下線SALT、AUTO、DACC、ROM和PST五個幣種，但沒有具體透露五項資產退市原因。在接下來的幾個月中，由于預計僅Bithumb就會淘汰十多種加密貨幣，這可能為業界采用更高的上市標準開創先例。（Decrypt）[2019/12/17]

成都鏈安認為，安全問題永遠需放在首要考慮的位置。其實，項目上線前僅僅做好安全審計是遠遠不夠的。多個案例反映出了這樣一個問題，即審計只是安全防范工作的第一步。

在項目發展的過程中，需要時刻對系統問題進行梳理，防止任何“致命”漏洞的產生。否則，當黑客早于內部發現，資產安全很可能危在旦夕。

詐騙跑路/加密騙局方面

共發生『5』起較典型的安全事件

印度社交名媛HarpreetSinghSahni承認，其卷入了一場規模相當大的加密貨幣騙局，并在澳大利亞一家加密公司向投資者出售加密軟件，同時推廣PGUC代幣。該公司網站經常宕機，導致用戶無法提現。Sanhi或將面臨約24年的監禁。

非營利組織“歐洲基金追回倡議組織”對荷蘭銀行ING控股的Payvision公司提起法律訴訟，聲稱該公司推動了欺詐性投資計劃，并曾為加密貨幣公司提供服務，導致投資者損失超過7500萬美元。該組織正代表數百名受害者尋求賠償。根據EFRI提供的文件，Cryptopoint加密交易平臺涉嫌與該騙局有關。

北京時間11月5日消息，偽裝成埃隆·馬斯克(ElonMusk)的一名黑客，在特朗普推文的回復中騙取用戶的虛擬貨幣。黑客使用的賬戶通過了Twitter的認證，用戶名顯示為“ElonMusk”。他回復了特朗普討論總統大選形勢的推文，在數小時內獲利超過25萬美元。

11月9日消息，有詐騙者利用虛假域名，從不同用戶那里竊取了約110萬枚XRP，目前價值已超過28萬美元。

11月17日消息，澳大利亞證券投資委員會宣布，前BitConnect發起人JohnLouisAnthonyBigatton因參與被指控詐騙投資者數百萬美元的加密貨幣項目而被起訴。

勒索軟件/挖礦木馬方面

共發生『5』起較典型的安全事件

11月3日消息，騰訊主機安全捕獲到，挖礦木馬團伙z0Miner利用Weblogic未授權命令執行漏洞的攻擊行動。該團伙通過批量掃描云服務器發現，具有Weblogic漏洞的機器被植入了門羅幣挖礦木馬。

11月初，游戲巨頭CAPCOM遭到名為“RagnarLocker”的組織開發的勒索軟件攻擊。安全專家Pancak3lullz表示，RagnarLocker通過加密鎖定CAPCOM網絡上的2000臺設備，并索要價值1100萬美元的比特幣贖金，而這些數據包括文件夾、護照、銷售報告、銀行對賬單、合同和大量戰略信息數據庫。

意大利知名酒商CampariGroup在11月1日遭到黑客勒索攻擊。該公司的重要文件、合同和銀行信息被竊取。黑客對此勒索價值1500萬美元的比特幣。

比特幣勒索軟件Pay2Key對多家以色列公司進行了攻擊。據悉，每家受害公司的泄露數據都被上傳到網站上的一個特定文件夾中，并附有攻擊者定制的信息。

微博網友“BCH愛好者BruceLee”表示，BCHA鏈目前處于被攻擊狀態。攻擊是雙管齊下的，而BCHA網絡中產生了大量空塊。

暗網方面

共發生『1』起較典型的安全事件

美國司法部查獲與暗網“絲綢之路”有關的10億美元比特幣。其在一份聲明中表示，沒收的加密貨幣與暗網絲綢之路有關，而這是美國目前沒收的最大規模的加密貨幣。當局從一名黑客手中繳獲了這些比特幣，并在聲明中稱該黑客為IndividualX。

其他方面

共發生『5』起較典型的安全事件

在11月2日上線后僅幾個小時，AxionNetwork合約中出現了鑄造漏洞，已有50萬美元被盜。他們甚至建議用戶避免立即購買AXN代幣，并遠離網絡的儀表板。一位推特用戶指出，有790億枚AXN被意外鑄造和出售。

針對Ledger錢包所有者的網絡釣魚和詐騙正在增加。其中一個詐騙網站從受害者處獲得了超過1150000枚XRP。這一騙局利用釣魚郵件將用戶引導到一個假冒的Ledger網站，誘騙受害者下載了冒充為安全更新的惡意軟件，從而導致Ledger錢包余額悉數被盜。

據Reddit消息，一批被“主動管理”的惡意節點試圖通過Sybil攻擊干擾和破壞Monero網絡，以獲取有關Monero區塊鏈上用戶的信息。

Grin網站11月9日遭受51％攻擊。一個未知實體控制了超過57%的網絡算力。根據Grin網站的說法，該團隊建議人們等待“關于支付最終性的額外確認”。

近期，幣安與美國司法部通力合作，對涉嫌2018年3月發起對幣安網站攻擊的兩名人員提起公訴。

鑒于當前區塊鏈安全領域的新形勢

『成都鏈安』溫馨提示

從總體上看，11月區塊鏈安全事件較10月有所增加，整體安全事件發生數量處于中等水平。

本月的DeFi項目方面，安全事件發生數量較上個月有所增加。在黑客接二連三的攻擊下，DeFi領域的整體安全狀況不容樂觀。

成都鏈安在此呼吁廣大項目方，在項目上線前需要切實做好一整套的安全篩查工作，并在項目上線后定期進行檢測，減少代碼漏洞等問題，避免不必要的損失。

Tags：EFIDEFDEFI比特幣UMEfinanceXdef FinanceDefyDefi比特幣確認交易比萊特幣更快

芝麻開門交易所