成都鏈安:4月發生較典型安全事件超12起

買賣虛擬貨幣

據成都鏈安『區塊鏈安全態勢感知平臺』(beosin-eagle eye)資料監測顯示:在過去的4月中,各類安全事件仍然時有發生。成都鏈安安全人員統計4月發生較典型安全事件超『12』起,defi安全問題仍然突出。

defi方面,共發生『3』起較典型安全事件:

1、4月18日,uniswap上的imbtc池遭到駭客重入攻擊,駭客利用uniswap和erc777的相容性問題,在進行eth-imbtc交易時,利用erc777中的多次迭代呼叫tokenstosend來實現重入攻擊,駭客在此次攻擊中獲得1278枚eth和一部分imbtc,總計損失超過30萬美元。

2、4月19日,去中心化借貸平臺lendf.me遭到類似uniswap事件的重入攻擊,攻擊者重複呼叫supply()函式,並在第二次supply()時呼叫了lendf.me的withdraw()函式,直接將先前存入的imbtc取出,當supply()執行返回的時候,賬戶餘額也並未被重置。攻擊者透過不斷修改提高自己imbtc的抵押額,最終從交易對中借出所有可借的幣種資金。駭客在此次攻擊中獲得超過2400萬美元的各幣種資金,不過駭客最終迫於各方的壓力,盡數歸還了各個幣種的資金。

3、4月23日,剛剛上線不久的期權交易協議hegic,由於程式碼中的一個錯誤,將價值28000美元的使用者資金鎖定在了一個過期的期權合約中,永久無法訪問。

beosin評論:

2月份的bzx事件仍時隔不遠,3月份的makerdao事件仍歷歷在目,動盪的以太坊defi市場在4月仍然難逃厄運,lendf.me和uniswap都遭到了重入攻擊,損失慘重。如今defi市場各個平臺的defi協議層出不窮,沒有一個引導的標準,導致百花齊放;這就如同一個橫七豎八拼湊而成,並且越拼越大的樂高積木,一旦某個環節出現了問題,都將會帶來很大的影響。

成都鏈安在此建議:

1、專案的合約程式碼不僅要功能完整,簡潔清晰,更要遵守安全規範,一些不規範的程式碼邏輯極大可能會造成安全問題。

2、專案上線前應透過自身或者藉助第三方安全公司的力量,對合約程式碼進行完整和專業的安全審計,儘可能地修復問題,避免風險。

3、專案執行時則應當設立應急預案或者風控機制,在遇到異常情況時能及時阻斷,避免造成進一步的損失。

交易所方面,共發生『1』起較典型安全事件:

4月29日,自中午開始,幣安交易所遭到攻擊並導致合約頁面大範圍卡頓,甚至打不開頁面。

**方面,共發生『3』起較典型安全事件:

1、4月9日,電子郵件服務提供商email.it遭駭客入侵,60萬使用者資料被掛**。

2、4月23日,2.67億個facebook帳戶資訊在**以600美元的售價出售,賬戶資訊包括姓名、郵箱地址、電話、社會身份、性別等。

3、4月29日,一名駭客將慧影醫療公司的新冠檢測技術和資料在**上以4個比特幣的價格進行出售。

詐騙跑路/加密騙局方面,共發生『4』起較典型安全事件:

1、4月19日,運營超過一年半的『eos生態』資金盤專案跑路,其充幣地址w.io頻繁向其他地址轉賬,露出轉移資產套現的意圖。截至4月22日,w.io賬戶餘額僅剩1682枚eos。鏈上資料追蹤顯示,『eos生態』的資金最終彙集到4個主要的eos地址,總計超過2000萬eos,涉及金額超3.6億元。

2、telegram的『搬磚套利』騙局仍在流行。近期又有多名使用者被騙超過900eth。儘管無論是huobi方面還是imtoken錢包方都曾發表過官方宣告,然而此類騙局還是時常有使用者上當受騙。

3、釣魚賬號建立的虛假imtoken官方電報群充當官方技術人員的身份,引導『搬磚套利』。被騙使用者在指定網站輸入私鑰進行所謂的『交易回滾』操作,遭到二次詐騙,被騙使用者資金已經部分流入交易所。

4、eos主網上近期存在冒充voice官方賬號誘騙使用者充值的騙局,目前兩個騙局的充幣地址月超過9000eos。

其他方面,共發生『1』起較典型安全事件:

穩定幣網路pegnet本週遭到了『51%攻擊』,四名攻擊者合計佔有了高達70%的雜湊率,在提交了虛假的價格資料後,將自己錢包中的餘額由11美元變更為670萬美元。

鑑於當前區塊鏈安全領域的新形勢,成都鏈安在此總結:

總的來說,較之3月發生的安全事件情況,4月所發生的的安全事件有所減少。但就個別方面來說,卻是呈現上升的趨勢。在以太坊defi方面,形勢依然嚴峻,4月仍然有3起安全事件發生。其中在lendf.me被盜事件中,雖然駭客返還了所有盜取資金,但是如此巨大的資金被盜事件發生,還是應給各方敲響一個警鐘:即使是一個不起眼的微小錯誤,就很有可能成為掏空專案方資金池的導火索。

另外,我們在此提醒,對於市場上所有的defi專案方而言,當暴露出安全風險的時候,專案方應及時進行自查,排查出潛伏的安全漏洞與安全風險是非常值得,也是非常必要的舉措。當然,藉助專業的區塊鏈安全公司的力量,以尋求更為全面和細緻的排查更能防患於未然。

除此以外需要注意的是,4月所收到的相關加密騙局情報有所上升,無論是熟悉telegramt『搬磚套利』以及衍生的一系列投資騙局以及eos公鏈上的假冒voice騙局,都利用了人們貪圖小便宜的心理。作為使用者,只要不抱有貪圖小利的心態,則可以避免被騙。

面對愈演愈烈的各類利用虛擬資產進行非法犯罪的行為,以及各類安全事件的頻繁發生,致力於區塊鏈安全生態建設的全球領先頭部公司——成都鏈安即將應勢推出反洗錢和調查取證系統(beosin-aml)vasp版,以滿足fatf及各國管轄區提出的各類監管要求,幫助vasp降低經營風險,防範因為風險造成的損失,讓區塊鏈生態更安全!

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;