4月共發生安全事件15起,DeFi安全敲響行業警鐘

買賣虛擬貨幣

據 PeckShield 態勢感知平臺資料顯示,過去一個月,整個區塊鏈生態共發生 15 起較為突出的安全事件,危害程度評級為「中級」,受損金額達上億人民幣,涉及 DeFi 5 起、交易所 2 起、DApp 1 起、詐騙跑路 7 起等。

DeFi安全

4 月份共發生 5 起 DeFi 安全事件,具體如下:

1)04月18日,駭客利用 DeFi 平臺 Uniswap 和 ERC777 標準的相容性問題缺陷,對 Uniswap 實施了重入攻擊。具體而言,駭客在交易 ETH-imBTC 時,利用 ERC777 標準中進行轉賬的 tokensToSend 回撥函式實現了重入攻擊,總獲利 34 萬美元。

2)僅僅在24小時後,04月19日 又一知名 DeFi 平臺 Lendf.Me 也被駭客以類似的手段實施了攻擊。如圖所示,合約 supply() 函式中呼叫真實轉賬函式 transferFrom()時,被 Hook 的攻擊者合約裡嵌入了盜用 Lendf.Me 的 withdraw() 的提幣操作。(詳情參閱 Uniswap和Lendf.Me遭攻擊始末:DeFi樂高組合下的“多米諾”式崩塌)

3)04月20日,DeFi 穩定幣交易平臺 Curve 公佈 sUSD 資金池合約存在借貸漏洞,並稱所有的漏洞已經解決,資金安全,無損失發生。

4)04月23日,DeFi 平臺 PegNet 疑似遭受頂級礦工 51% 攻擊,四名礦工控制了網路 70% 的雜湊率,從而實施了此次攻擊。

5)04月27日,DeFi 專案 Hegic 程式碼出現漏洞導致使用者資產被使用者永久鎖定。在該專案上線幾小時後,其程式碼中的一個錯誤鎖定了該平臺智慧合約價值 2.8萬 美元的使用者資金,由於該漏洞將資金鎖定在了過期合約中,使其無法被訪問,Hegic 團隊承諾用他們自己的資金補償所有受影響的使用者。

PeckShield 點評:隨著 DeFi 專案功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與使用者資產的緊密聯絡,DeFi 專案的安全問題非常嚴峻。特別是 DeFi 業務組合可能存在的系統性風險問題,平臺方不僅要確保在產品上線前有過硬的程式碼審計和漏洞排查,還要在不同產品做業務組合時考慮因各自不同業務邏輯而潛在的系統性風控問題。PeckShield 在此建議,DeFi 專案方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。

交易所安全

4 月份共發生 2 起交易所安全事件:

1)04月09日,加密貨幣交易所 Bisq 被盜,攻擊者利用 Bisq 交易協議中的一個缺陷,針對單筆交易來竊取交易資金。7 名受害者共損失 3個 BTC 和 4,000 個 XMR。

2)04月29日,幣安交易所遭受 DDoS 攻擊,合約頁面大範圍卡頓,造成網路短時間滯後和訪問中斷。

PeckShield 點評:針對層出不窮的交易所安全事件,交易所應使用更加安全的防範系統,類似 DDoS 攻擊,交易所可配置多臺備用機器,避免單點故障給系統帶來的風險。

DApp 安全

4 月份共發生 1 起 DApp 安全事件,存在於 EOS 網路。具體而言,04月30日,PeckShield 安全盾風控平臺 DAppShield 監測到駭客向 EOS 競猜類遊戲 Felix 發起連續的假 EOS 攻擊,獲利數萬 EOS,且大部分資金已轉移到其他賬號。

PeckShield 點評:專案方在完成智慧合約的開發時,務必在合約上線前做好安全測試,必要時可尋求第三方安全公司完成審計評估,幫助其完成合約上線前攻擊測試及基礎安全防禦部署。

詐騙跑路事件

除上述之外,4 月份還發生了多起詐騙跑路事件值得警惕,例如:

1)EOS 生態騙局崩盤,價值上億人民幣的 EOS 被轉移,受害者多達 38 萬餘人。

2)Telegram "搬磚套利"詐騙總金額達到 35,000 枚 ETH,其中大多數已經流入各個交易所套現。

3)警惕釣魚網站 airdrop-box 空投 HT 詐騙,該網站誘導使用者點選釣魚連結,使用者一旦輸入私鑰即被盜資產。

PeckShield 點評:因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,使用者應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;