DEF:區塊鏈安全 | 3月共發生安全事件19起，DeFi安全問題凸顯_SHI

編者注：本文作了不改變作者原意的刪減。

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發生19起較為突出的安全事件，危害程度評級為「中級」，受損金額達百億元，涉及DeFi2起、交易所2起，智能合約1起，詐騙跑路14起等。

DeFi?安全

3月份共發生2起DeFi安全事件，具體如下：

1）03月12日，由于以太坊ETH的價格暴跌，MakerDAO的大量抵押債倉跌破清算門檻，引發了清算程序執行。由于以太坊網絡gas費用劇增，導致MakerDAO的清算過程完全缺乏競爭，原本應該參與到清算過程中的清算機器人因為設置了較低的gas值，導致出價受阻，一位清算人在沒有競爭者的情況下，以0DAI的出價贏得了拍賣。

聲音 | 易見股份：對區塊鏈處于初級探索階段，易見區塊3.0已推出:金色財經報道，易見股份（600093.SH）證券部相關人士表示，公司這邊主要有易見區塊、可信數據池和可信倉庫相關的應用和技術。公司對于區塊鏈也是處于初級探索階段。目前對區塊鏈的投入還不太了解，要到年底結算了才知道，區塊鏈也是一種新技術，整個行業也處于初級探索的階段，這是整個行業趨勢。上述人士表示，易見股份也在11月推出易見區塊3.0，這屬于公司最新成果，公司主營業務還是供應鏈和保理，區塊鏈則是歸于信息服務領域，占比還是比較小，公司的方向還是金融科技。[2019/12/31]

MakerDAO清算拍賣設計的目的，是盡可能以最少的抵押物回收最大的DAI，這一機制在正常情況下是可以成功運作的。但是當以太坊系統極其擁堵的時候，或者更極端一點來說，只要競拍的參與度不足，就很容易被惡意Keeper以極低報價獲得拍賣物。針對此次清算出現的問題，MakerDAO社區也已緊急討論了針對清算機制的改進措施。

動態 | 微軟聯合游戲開發商Eidos等開發一款區塊鏈紙牌游戲:微軟、游戲開發商Eidos和游戲書公司Fabled Lands正在聯合開發一款基于上世紀80年代暢銷游戲書的區塊鏈紙牌游戲。這款新紙牌游戲將基于上世紀80年代Jamie Thomson和Mark Smith合著的暢銷書《虎之道》(the Way of the Tiger)。這款游戲的名字將是“死亡競技場”，其玩家將使用原始游戲系列中的功能參加奇幻主題的紙牌大戰。Fabled Lands的首席執行官Jamie Thomson表示，之所以決定使用區塊鏈技術，是因為他認為區塊鏈技術比傳統電子游戲更適合他想要實現的目標。（Cointelegraph）[2019/12/1]

2）03月26日，Synthetix的抵押貸款清算功能被發現存在漏洞，具體而言：Synthetix近期上線了一個合約，用戶可以在3個月試用期內質押ETH獲取sETH，而在試用期結束后，將啟動關閉所有貸款功能進行清算，即任意擁有sETH的用戶都可以通過調用清算接口得到ETH。然而，該接口的處理邏輯代碼存在一個漏洞會導致任意用戶直接burn掉借款人的sETH資產并獲得ETH。不過由于該功能處于試用期間，并未造成實際損失。目前，Synthetix官網的loan服務仍處于關閉狀態。

金色晨訊 | 銀保監會協調地方政府打擊區塊鏈非法集資案件:1. 日本金融服務局對Zaif遭竊事件展開調查

2. 美國國會議員起草區塊鏈發展法案

3. 荷蘭最大連鎖超市使用區塊鏈提高商品供應鏈透明度

4. 創世資本CEO豐馳：區塊鏈已過渡至半專業化市場

5. 銀保監會：協調地方政府持續嚴厲打擊以區塊鏈為旗號的非法集資案件

6. 瑞士試圖通過改善銀行準入來阻止區塊鏈項目外流

7. 比特大陸宣布即將量產下一代7nm ASIC芯片BM1391

8. 倫敦推出可用加密令牌租用的共享辦公空間

9. 韓國政府承諾支持區塊鏈初創公司[2018/9/22]

PeckShield點評：

隨著DeFi項目功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑒于其與用戶資產的緊密聯系，DeFi項目的安全問題非常嚴峻。由于各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平臺交互的過程中出現安全問題，進而腹背受敵。PeckShield在此建議，DeFi項目方在上線之前，應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。

政策 | 國務院食品安全辦：要利用“360度質控體系+區塊鏈技術”全程障食品安全:國務院食品安全辦今日發布關于開展2018年全國食品安全宣傳周活動的通知，活動及分工方案中指出，市場監管總局需要指導主要電商平臺舉辦“互聯網+食品安全”主題活動，借助“互聯網+智慧供應鏈”，利用“360度質控體系+區塊鏈技術”，全程追溯保障食品安全，構建智能化、數據化食品安全社會共治平臺。[2018/7/6]

交易所安全

3月份共發生2起交易所安全事件：

1）03月02日，美國司法部以陰謀洗錢和無證經營匯款為由，對名為田寅寅和李家東兩位中國人發起了公訴，并凍結了他們的全部資產。區塊鏈安全公司PeckShield第一時間介入追蹤研究分析，基于美國司法部僅公布的20?個地址向上追溯、取證并以可視化圖文方式還原整個案件的來龍去脈。

分析發現攻擊者試圖利用PeelChain的技術手段將手里的資產不斷拆分成小筆資產，并將這些小筆資產存入交易所，如下圖所示：

在完成初步洗錢操作后，攻擊者并沒有直接轉入自己的錢包，而是再次使用PeelChain手法把原始的非法所得BTC分批次轉入OTC交易所進行變現。攻擊者每次只從主賬號分離出幾十個BTC存入OTC帳號變現，經過幾十或上百次的操作，最終成功將數千個BTC進行了混淆、清洗。

2）OMNI網絡發現新型USDT假充值手法：黑客采取發行其他類型的代幣偽造成USDT對交易所或錢包進行USDT假充值，當交易所或錢包在檢測USDT充值時如果沒有校驗交易中的propertyid，就會導致假充值情況的發生。

PeckShield點評：

黑客盜取資產后實施洗錢，不管過程多周密復雜，一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求，交易所應加強AML反洗錢和資金合規化方向的審查工作。同時，針對假充值等安全問題，交易所應當在確認代幣名稱和交易狀態后再進行轉賬。

智能合約

3月份共發生1起智能合約安全事件，存在于以太坊網絡。具體而言：03月24日，有項目方反映在發布ERC20代幣后，發現一些來源不明的代幣在鏈上轉賬。深入分析后發現，是項目方使用的“一鍵發幣”第三方平臺存在后門——發幣合約創建時存在暗地增發Token并竊取的惡劣行為。

PeckShield點評：

項目方在使用第三方服務完成智能合約的開發時，務必在合約上線前做好安全測試。

詐騙跑路事件

除上述之外，3月份還發生了多起詐騙跑路事件值得警惕，例如：1）區塊鏈資金盤“硅谷區塊雞”疑似跑路，涉案金額或達百億人民幣；

2）英國夫婦因使用虛假的Chrome瀏覽器擴展丟失14,800枚XRP；

3）不法分子在各種聊天群發布虛擬貨幣消息，以疫情防控為由，利用人們投資理財的迫切心理，打著虛擬貨幣的幌子實施詐騙、非法集資活動；

4）YouTube上有人冒充Ripple的首席執行官推銷5,000萬XRP代幣的假贈品，以哄騙用戶將錢投入類似的空投騙局中。

PeckShield點評：

因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮，釣魚攻擊、詐騙等各類事件就是典型。在此提醒，用戶應謹慎保管各類私密信息，任何小的疏忽都可能造成不可挽回的損失。

Tags：區塊鏈SHIEFIDEF區塊鏈運用的技術中不包括哪一項項Star ShibDeFiChainVerify DeFi

歐易交易所