盤點 | 成都鏈安:3月發生典型安全事件超23起

買賣虛擬貨幣

據成都鏈安【鏈必安-區塊鏈安全態勢感知平臺(beosin-eagle eye)】安全輿情監控資料顯示:2021年3月,據不完全統計,整個區塊鏈生態發生的典型安全事件超23起,整體安全風險評級為【中】。需要引起注意的是,3月【defi方面】與【詐騙跑路/加密騙局方面】典型安全事件頻發,較2月呈現出明顯增長態勢。

縱觀3月發生的典型安全事件,【defi方面】暴露出來的安全風險依然不容忽視,多個defi專案遭到駭客攻擊,所造成的鉅額經濟損失嚴重影響著區塊鏈生態的安全和穩定。另外,隨著虛擬貨幣的普及程度和財富效益逐步攀升,本月【詐騙跑路/加密騙局方面】的相關事件波瀾再起,亟需重點關注。

以下為本月安全月報的詳細事項。

 

交易所方面,共發生『1』起典型安全事件

01

去中心化資產管理平臺cook protocol在推特上釋出警示稱,目前出現了一些假冒cook protocol的團體、渠道和流動性池。官方表示,cook protocol還沒有上線uniswap,請使用者當心詐騙。

defi方面,共發生『8』起典型安全事件

01

社群資訊顯示,defi專案meerkat finance金庫合約遭遇駭客攻擊,駭客利用漏洞盜取了金庫中的全部資金價值約3100萬美元的bnb代幣。目前該專案網站已經無法開啟。

02

去中心化金融(defi)應用程式paid network的合約代幣鑄造功能因漏洞被利用,已錯誤鑄造了6000萬枚paid代幣。

03

defi入口網站defibox.com專案監測發現,宣稱上線heco的heco.cx使用了虛假的媒體快訊,且專案宣傳中多處誇大失實,其審計報告疑似造假。

04

去中心化交易所dodo上的wcres/usdt資金池似乎被駭客攻擊,轉移走價值近98萬美元的wrapped cres(wcres)和近114萬美元的usdt。

05

eth和bsc上的跨鏈穩定幣true seigniorage dollar(tsd)表示,惡意攻擊者利用tsd dao在其賬戶中鑄造118億枚tsd代幣,並全部在pancakeswap出售。

06

北京時間3月15日晚,大量bsc(幣安智慧鏈)專案前端遭到攻擊,推特上開始提醒使用者請勿進行合約操作。cream finance表示dns已經被第三方破壞,請不要在網頁上輸入任何詞句;pancake也表示,遭到了與cream類似的dns劫持,請不要使用該網站。

07

filecoin出現“雙花交易”,多家交易所關閉fil充值通道。此次攻擊方法更加隱蔽,是由於filecoin節點特性所引起。

08

defi聚合理財服務sil.finance發文稱,在發現智慧合約因存在高危漏洞而無法提現後,經過多方36小時的努力,已經追回1215萬美元,並且挽救一個多籤錢包地址。

beosin評論:

全球範圍內,百放齊放的各類defi專案正在蓬勃發展,而這些defi專案同時又鎖著超過百億的虛擬貨幣資產,無疑將成為駭客開展各類攻擊的重災區。成都鏈安認為,defi領域目前尚處於發展階段,各大專案方一定要確保上線前做好程式碼審計工作,防微杜漸。

 

詐騙跑路/加密騙局方面共發生『7』起典型安全事件

 

01

以太坊側鏈擴容方案polygon(原matic network)在推特上釋出警告稱,谷歌play商店提供了一款假冒的“matic wallet”應用程式。此惡意應用程式與matic network或polygon無關。

02

3月2日,有人向一個名為“elon musk”(特斯拉創始人)的詐騙錢包地址傳送了5枚btc,價值約24.3萬美元。

03

美國司法部宣佈瑞典公民roger nils-jonas karlsson對證券欺詐,電匯欺詐和洗錢指控表示認罪。他因電匯欺詐和證券欺詐指控而面臨最高20年的監禁,而對洗錢指控則面臨20年的最高刑期。

04

印度班加羅爾一名38歲的私立大學講師ramesh j向警方報告稱,自己在加密交易平臺coinswitch kuber遭遇加密詐騙,損失了價值100萬盧比(約合13780美元)的比特幣。

05

英國英格蘭蘭開夏郡警方表示,五名犯罪嫌疑人利用由澳大利亞casey block services運營的名為coinspot的公司的漏洞進行虛擬貨幣詐騙,詐騙金額2000萬英鎊(合2700萬美元)。

06

美國紐約聯邦法官mary kay vyskocil已同意美國cftc關於加密詐騙計劃control-finance創始人benjamin reynolds存在欺詐行為的裁決,並命令他支付4.29億美元的罰款和1.43億美元的賠償金,總計5.72億美元。

07

3月31日,一款設計得像正版應用的比特幣詐騙應用被蘋果的應用商店稽覈團隊接受,最終讓iphone使用者phillipechristodoulou損失了17.1個比特幣,被盜時價值高達60多萬美元。

beosin評論:

區塊鏈技術及虛擬貨幣日益普及,推動了越來越多的人對新興領域的關注,也讓詐騙者和投機者萌生出新型犯罪方式,各類基於區塊鏈技術和虛擬貨幣的騙局應運而生。成都鏈安在此提醒,時刻提供警惕,不要盲目輕信和跟風。

勒索軟體/挖礦木馬方面,共發生『2』起典型安全事件

01

nicehash警告該平臺的礦工立刻停止使用phoenix挖礦外掛。nicehash風險控制團隊發現,phoenix挖礦軟體已經無法正常地從其原來的下載地址進行下載,來自新下載地址的control shasum與開發者在其頻道釋出的值不一致。

02

知名電腦廠商巨集碁(acer)遭遇勒索軟體團伙revil的攻擊,要求支付高達5000萬美元的xmr,以解密公司的電腦,並且不在暗網上洩露資料。

暗網方面共發生『1』起典型安全事件

01

美國司法部宣佈,經營deepdotweb的tal prihar對串謀實施洗錢活動認罪。根據司法部的指控,prihar使用新聞網站deepdotweb投放廣告,將讀者定向到各種暗網市場。他們說,prihar根據點選進入市場的客戶,在此類廣告的回扣中賺了大約8155枚比特幣。

其他方面共發生『4』起典型安全事件

01

3月1日,支援比特幣的社交網路平臺gab的70gb資料遭駭客入侵,被駭客入侵的資料包含公共帖子、個人資料和密碼、以及私人賬戶的帖子和訊息。

02

白帽駭客taha karim檢測到比特幣錢包electrum的macos版本被入侵。攻擊者向electrum / util.py和electrum / storage.py儲存庫中注入了惡意程式碼,electrum的windows版本也存在同樣的問題。

03

nft指數基金nftx發起新提案xip#2,提議向獨立安全研究員samczsun支付50000美元的漏洞賞金,因為samczsun在nftx的vault建立合約中發現了一個嚴重的漏洞。

04

3月10日,跨鏈專案cosmos(atom)官方發推文表示,所有cosmos hub驗證節點請注意,在gaia v4.0.x中發現一個嚴重的安全漏洞,但使用者資金沒有風險。


鑑於當前區塊鏈生態安全態勢『成都鏈安』在此總結:

從總體上來看,3月所發生的典型安全事件總數雖然與2月持平,整體安全風險評級都由成都鏈安(beosin)安全團隊定級為【中】,但區塊鏈生態中較為關鍵的兩個方面,【defi】與【詐騙跑路/加密騙局】,整體安全風險依然嚴峻。

不難看出,defi的典型安全事件居高不下,defi專案仍舊是駭客眼中的重點攻擊靶子。在此,我們建議廣大專案方一方面要在合約或專案上線之前開展全面和專業的安全審計工作,另一方面也需要聯動行業各方力量,搭建一套完善的安全防護和資產追蹤機制。

針對詐騙跑路/加密騙局方面,我們建議廣大投資者在甄選投資理財產品時,一定要儘可能做好盡調工作,不要盲目跟風,也不要聽信所謂的“內幕訊息”,或者宣稱穩賺不賠的“理財專家”。


免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读