4)攻擊者償還從 dYdX 借出的閃電貸,並捲走了攻擊所得的數字資產。
2)DeBank 工程師 frenzy_hao今日在推特上表示,駭客再次利用 dYdX 的閃電貸攻擊了 balancer 部分流動性礦池中的 COMP 交易對,將池子中未領取的 COMP 獎勵取走,共獲利 10.8 ETH。
3) 去中心化協議 Bancor 官方披露了安全漏洞細節,原本應該設定為私有的函式 safeTransferFrom 被定義為公開函式,所以導致任何人都可以轉移代幣。慶幸的是,並沒有發生太大安全損失,在發現漏洞之後團隊進行了白帽攻擊,以將資金轉移到安全地址。
4)6月21日,安全研究員 samczsun 私下披露了目前 AtomicLoans 部署的合約和借貸代理中的兩個漏洞。這兩個漏洞可能導致借款人在特定情況下無需償還貸款即可解鎖部分或全部 BTC 抵押品。
PeckShield 點評:隨著 DeFi 專案功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與使用者資產的緊密聯絡,DeFi 專案的安全問題非常嚴峻。由於各專案由不同團隊開發,對各自產品的設計與實現理解有限,整合的產品很可能在與第三方平臺互動的過程中出現安全問題,進而腹背受敵。PeckShield 在此建議,DeFi 專案方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
數字錢包安全
6月份共發生1 起錢包安全事件:
1)網路安全公司 OpenZeppelin 研究人員發文稱,發現以太坊錢包 Argent 上出現高危漏洞。漏洞可使攻擊者接管使用者錢包,特別是那些沒有啟用“守護”功能的使用者。與此同時,Argent團隊很快修復了漏洞,並已經聯絡受影響的使用者。
PeckShield 點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網路連線的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,使用者也要謹防網路釣魚,惡意程式碼注入等攻擊方式。
公鏈安全
6月份共發生1 起公鏈安全事件:
1)Blockstream商業側鏈Liquid Network被曝存在安全漏洞。由於雜湊時間不一致,網路中的重要賬戶會收到技術漏洞影響,可導致上百美元BTC被盜。目前,Blockstream網路管理員已透過恢復多簽名合同暫時扣押Liquid網路上儲存的870枚比特幣。
PeckShield 點評:公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。
勒索相關
6月份共發生4 起勒索相關安全事件:
1)安全公司 Unit 42 的研究人員發現一種新的惡意軟體“Lucifer”正在傳播,該軟體是某種舊的加密貨幣勒索軟體的變種。新的變體可用於惡意加密貨幣挖礦,但也可以用來進行 DDoS 攻擊。
2)ST Engineering Aerospace 美國子公司遭遇勒索軟體攻擊,該公司及其合作伙伴被盜1.5TB 的敏感資料。此前2月份訊息,駭客 Maze 入侵五家美國律師事務所,要求支付超過93.3萬美元 BTC 贖金。此前3月份訊息,加密勒索組織 Maze 聲稱使用駭客軟體攻擊保險業巨頭 Chubb。
3)英國肯特郡一公司Kent Commercial Services(KCS)近期遭遇駭客勒索攻擊,駭客要求80萬英鎊的比特幣贖金,否則將在暗網上洩露了該公司的資料。KCS 方面表示,該公司並沒有支付贖金,也沒有涉及納稅人的個人資料被盜。
4)針對2起異常天價以太坊手續費轉賬行為,PeckShield 安全公司研究人員認為,這可能是來自韓國的山寨交易所 GoodCycle 遭到了駭客勒索攻擊。駭客透過釣魚攻擊等方式獲取了該交易所的部分許可權,因此採用揮霍 GasPrice 的行為對其實施勒索。(具體請參看以太坊天價手續費轉賬背後:一場駭客發起的GasPrice勒索攻擊?以太坊天價手續費轉賬真相:資金盤專案GoodCycle上演誤殺瞞天記!)
PeckShield 點評:勒索類安全事件一直是影響整個網際網路生態的重大隱患,不侷限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
詐騙跑路事件
除上述之外,6月份還發生了多起詐騙跑路事件值得警惕,例如:
1)據 PeckShield 旗下數字資產視覺化追蹤平臺 CoinHolmes 資料顯示,06月22日下午起,PlusToken 跑路資金髮生異動,26,316,339個 EOS,2,503個 BTC;789,533個ETH 被轉移。
2)韓國首爾警方今日發起一項調查,針對兩家涉及 ETH 犯罪的無名數字貨幣交易所,犯罪分子採用多層次龐氏騙局手法騙取受害人的數字貨幣。已有433名投資者向警方投訴,尚有1000名投資者未與警方取得聯絡,涉案 ETH 價值4150萬美元。
3)中國媒體廣泛報道的伊朗交易所 bitisis 已經跑路,多個訊息源指出其背後實控人是中國詐騙分子,掌握多個宣稱能搬磚套利的海外交易所吸納散戶資金再捲款跑路。目前各地警方已經立案。該交易所將使用者資產轉移到三個地址,其中有平臺已緊急將相關地址凍結。
4) Bibox 官方公告,有不法分子山寨 Bibox APP、冒充 Bibox 客服,誘導使用者交易,請使用者提高警惕。
5) 火幣全球站接到舉報,有釣魚詐騙網站冒充火幣釋出公告,在社群傳播“ERD 空投活動”。火幣全球站鄭重宣告,火幣未釋出任何關於“ERD 空投活動”,請廣大交易者提高警惕,認清火幣官方網站地址。
6) 抹茶交易所發公告稱,近日,有不法分子冒充多家交易所客服人員,並建立詐騙網站誘導使用者交易,或要求向詐騙網站轉入數字資產。MXC 抹茶沒有開通官方微訊號,微信上任何“ MXC 抹茶”賬號均非官方賬號。如遇到以 MXC 抹茶名義聯絡使用者並要求向其他平臺“轉賬數字資產”等行為,可透過 MXC 抹茶官網客服通道對其進行身份核驗。
7)近日,山東煙臺警方在深圳、惠州、合肥三地同時收網,成功打掉一個以“虛擬貨幣投資”為幌子,利用假投資平臺實施詐騙的犯罪團伙,涉案金額1,400餘萬元。
8)山東省菏澤市鉅野縣公安局近日破獲一起特大電信網路詐騙案,打掉多個涉嫌以網貸和投資“比特幣”為名實施電信網路詐騙的團伙,抓獲犯罪嫌疑人83名,扣押、凍結涉案資金2700多萬元,目前30名主要犯罪嫌疑人已被鉅野警方依法移送到檢察機關審查起訴。
9)近期一名南寧 OTC 商疑似協助電信詐騙犯罪分子洗錢,遭到警方調查抓獲,側面說明 USDT、加密貨幣與電信詐騙在中國的結合愈加緊密,可能對普通使用者帶來更多的凍卡風險,OTC 商也需要加大甄別力度。
10)據此前報道,不法分子正在 YouTube 上利用特斯拉創始人 Elon Musk 及其公司SpaceX 的名字進行比特幣詐騙。據統計,總共有214個 BTC 被髮送到此類詐騙地址上,價值超過200萬美元。
11 ) DeFi 貨幣市場協議 DMM 官方推特表示,在公募期間其電報群遭到惡意劫持,攻擊者冒名頂替了 DMM 基金會,目的是為了竊取資金。對於在代幣銷售中被騙的人補償了相應 DMG 數額,希望確保所有資金損失的人都得到了對應補償。
PeckShield 點評:因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,使用者應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。
