據 PeckShield 態勢感知平臺資料顯示,過去一個月,整個區塊鏈生態共發生 19 起較為突出的安全事件,危害程度評級為「中級」,受損金額達百億元,涉及 DeFi 2 起、交易所 2 起,智慧合約 1 起, 詐騙跑路 14 起等。
DeFi安全
3月份共發生 2 起 DeFi 安全事件,具體如下:
1)03月12日,由於以太坊 ETH 的價格暴跌,MakerDAO 的大量抵押債倉跌破清算門檻,引發了清算程式執行。由於以太坊網路 gas 費用劇增,導致 MakerDAO 的清算過程完全缺乏競爭,原本應該參與到清算過程中的清算機器人(Keeperbot)因為設定了較低的 gas 值,導致出價受阻,一位清算人(Keeper)在沒有競爭者的情況下,以 0 DAI 的出價贏得了拍賣。
MakerDAO 清算拍賣設計的目的,是儘可能以最少的抵押物回收最大的 DAI,這一機制在正常情況下是可以成功運作的。但是當以太坊系統極其擁堵的時候,或者更極端一點來說,只要競拍的參與度不足,就很容易被惡意 Keeper 以極低報價獲得拍賣物。針對此次清算出現的問題,MakerDAO 社羣也已緊急討論了針對清算機制的改進措施。
2)03月26日,Synthetix 的抵押貸款清算功能被發現存在漏洞,具體而言:Synthetix 近期上線了一個合約,使用者可以在 3 個月試用期內質押 ETH 獲取 sETH,而在試用期結束後,將啟動關閉所有貸款功能進行清算,即任意擁有 sETH 的使用者都可以透過呼叫清算介面得到 ETH。然而,該介面的處理邏輯程式碼存在一個漏洞會導致任意使用者直接burn 掉借款人的 sETH 資產並獲得 ETH。不過由於該功能處於試用期間,並未造成實際損失。目前, Synthetix 官網的 loan 服務仍處於關閉狀態。
PeckShield 點評:隨著 DeFi 專案功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與使用者資產的緊密聯絡,DeFi 專案的安全問題非常嚴峻。由於各專案由不同團隊開發,對各自產品的設計與實現理解有限,整合的產品很可能在與第三方平臺互動的過程中出現安全問題,進而腹背受敵。PeckShield 在此建議,DeFi 專案方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
交易所安全
3 月份共發生 2 起交易所安全事件:
1)03月02日,美國司法部以陰謀洗錢和無證經營匯款為由,對名為田寅寅和李家東兩位中國人發起了公訴,並凍結了他們的全部資產。區塊鏈安全公司 PeckShield 第一時間介入追蹤研究分析,基於美國司法部僅公佈的 20個地址向上追溯、取證並以視覺化圖文方式還原整個案件的來龍去脈。
分析發現攻擊者試圖利用 Peel Chain 的技術手段將手裡的資產不斷拆分成小筆資產,並將這些小筆資產存入交易所,如下圖所示:
在完成初步洗錢操作後,攻擊者並沒有直接轉入自己的錢包,而是再次使用 Peel Chain 手法把原始的非法所得 BTC 分批次轉入 OTC 交易所進行變現。攻擊者每次只從主賬號分離出幾十個 BTC 存入 OTC 帳號變現,經過幾十或上百次的操作,最終成功將數千個 BTC 進行了混淆、清洗。(詳情參閱 硬核:解密美國司法部起訴中國OTC承兌商洗錢案件)
2)OMNI 網路發現新型 USDT 假充值手法:駭客採取發行其他型別的代幣偽造成 USDT 對交易所或錢包進行 USDT 假充值,當交易所或錢包在檢測 USDT 充值時如果沒有校驗交易中的 propertyid,就會導致假充值情況的發生。
PeckShield 點評:駭客盜取資產後實施洗錢,不管過程多周密複雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的 KYC 和 KYT 業務均提升了要求,交易所應加強 AML 反洗錢和資金合規化方向的審查工作。同時,針對假充值等安全問題,交易所應當在確認代幣名稱和交易狀態後再進行轉賬。
智慧合約
3 月份共發生 1 起智慧合約安全事件,存在於以太坊網路。具體而言:03月24日,有專案方反映在釋出 ERC20 代幣後,發現一些來源不明的代幣在鏈上轉賬。深入分析後發現,是專案方使用的“一鍵發幣”第三方平臺存在後門——發幣合約建立時存在暗地增發 Token 並竊取的惡劣行為。
PeckShield 點評:專案方在使用第三方服務完成智慧合約的開發時,務必在合約上線前做好安全測試,必要時可尋求第三方安全公司完成審計評估,幫助其完成合約上線前攻擊測試及基礎安全防禦部署。
詐騙跑路事件
除上述之外,3月份還發生了多起詐騙跑路事件值得警惕,例如:
1)區塊鏈資金盤“矽谷區塊雞”疑似跑路,涉案金額或達百億人民幣;
2)英國夫婦因使用虛假的 Chrome 瀏覽器擴充套件丟失 14,800 枚 XRP;
3)不法分子在各種聊天群釋出虛擬貨幣訊息,以疫情防控為由,利用人們投資理財的迫切心理,打著虛擬貨幣的幌子實施詐騙、非法集資活動;
4)YouTube 上有人冒充 Ripple 的執行長推銷 5,000 萬 XRP 代幣的假贈品,以哄騙使用者將錢投入類似的空投騙局中。
PeckShield 點評:因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,使用者應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
