據 PeckShield 態勢感知平臺資料顯示，過去一個月，整個區塊鏈生態共發生 23 起較為突出的安全事件，危害程度評級為「中級」，受損金額數億元，涉及 DeFi 2 起、交易所 6 起、公鏈 1 起、勒索相關 3 起，詐騙跑路 8 起等。DeFi 安全5 月份共發生 2 起 DeFi 安全事件，具體如下：1）05月07日，路印協議（Loopring）出現一個嚴重的前端錯誤，金鑰素材被設定在一個32位整數的範圍，可以窮舉找出所有使用者秘鑰對。該漏洞由於使用者的 EdDSA 金鑰對實際被限制在了一個 32 位整數空間，導致駭客可以透過窮舉，找出所有使用者的 EdDSA 金鑰對。受此影響，Loopring Exchange 關停半天進行維護升級。2）05月18日，tBTC 團隊疑似發現重大合約漏洞，於是緊急暫停充值服務並進行再稽覈。tBTC 是一種無需信任的，由可贖回 BTC 作為擔保的一種 ERC-20 代幣，該專案主網於05 月 15 日上線。PeckShield 點評：隨著 DeFi 專案功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑑於其與使用者資產的緊密聯絡，DeFi 專案的安全問題非常嚴峻。PeckShield 在此建議，DeFi 專案方在上線之前，應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。

交易所安全5 月份共發生 6 起交易所相關安全事件：1）據 Youbi 交易所官方訊息，Youbi自 05 月 06 日開啟平臺幣認購後，連續 3 天遭遇大流量 DDOS 攻擊，造成伺服器短時間無法訪問。2）05月01日，幣星交易所官方釋出公告稱，其網站 bitsg 及 app 遭受了不間斷的DOSS 持續攻擊，導致某些時段無法正常登陸。3）05月27日，LMEX 聯交所在社群釋出關於交易所運營調整通知稱：平臺遭駭客入侵被盜損失了 15 萬枚 USDT，致使平臺資不低債，目前已關閉充提。4）近期有媒體爆料稱，富位元交易所鄭州辦公室人去樓空，在遭到投資者質疑之後，富位元官方發出公告稱資不抵債，並且推出了清償方案。

5）去年年底 Upbit 交易所被盜損失 3.4 萬個ETH，近半年時間，駭客對被盜資產採取多渠道洗錢操作，近日已基本清洗完畢。6）UEX 交易所官方釋出通知稱:平臺遭遇駭客攻擊，需要 5 天左右時間修復與核實資料，資料庫修復期間，平臺關閉充提，關閉內部轉賬。PeckShield 點評：針對層出不窮的交易所安全事件，交易所應使用更加安全的防範系統，類似 DDoS 攻擊，交易所可配置多臺備用機器，避免單點故障給系統帶來的風險。除此之外，也不排除存在部分小交易所，以遭攻擊之名行“跑路”之實的惡意行為。公鏈安全5 月份共爆出 1 起較為嚴重的公鏈安全問題：1）石榴礦池技術人員發現 Filecoin 程式碼中的嚴重漏洞，透過該漏洞可以實現 Filecoin的無限增發。石榴礦池表示，為了證明漏洞的有效性，6Block 旗下的三個礦工賬號 t01043、t027999、t0234783 透過該漏洞已實現16億 Filecoin 的增發，佔據了Filecoin 富豪榜前三名。6Block 團隊獨立發現並向 Filecoin 官方彙報了該漏洞，目前正積極協助官方完成漏洞修復。

PeckShield 點評：公鏈上的漏洞，一旦發現對整個鏈生態的影響極大，因此公鏈在正式版上線前務必做好安全測試和漏洞排查，並尋求第三方安全公司審計，避免因漏洞威脅影響公鏈生態。勒索相關5 月份還發生了 3 起典型的勒索事件 ，例如：1）援引俄羅斯媒體RBC報道稱，匿名駭客獲取了超過 1.29 億俄羅斯車主的資料，並將其暴露在“暗網”上，勒索以獲取加密貨幣。2）據報道，Grubman Shire Meiselas & Sacks 受到 REvil 勒索軟體（也被稱為Sodinokibi）的攻擊，攻擊者威脅要分 9 次釋出高達 756 GB 的被盜資料。被盜資料包括保密合同、電話號碼、電子郵件地址、個人通訊、保密協議等。3）網路安全公司Group-IB發出警告稱，最近幾個月出現了一種新型勒索軟體ProLock，依靠 Qakbot 銀行木馬發起攻擊。受害者包括地方政府、金融、醫療和零售機構。Group-IB 稱，該勒索軟體攻擊要求總計支付 35 枚比特幣的贖金，目前價值337,750美元。

PeckShield 點評：勒索類安全事件一直是影響整個網際網路生態的重大隱患，不侷限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後，不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。詐騙跑路事件除上述之外，5 月份還發生了多起詐騙跑路事件值得警惕，例如：1）浙江省東陽市檢察院對一起數字貨幣詐騙案提起公訴，詐騙金額達 3.8 億元，被害人3,000多名。該詐騙集團透過微信、QQ 等方式拉攏客戶，謊稱投資數字貨幣可以獲取高額回報為誘餌，誘導客戶到公司開發的數字貨幣交易平臺進行投資。2）有騙子冒充波場創始人孫宇晨，以與TRON達成合作夥伴關係為幌子，企圖從毫無戒心的受害者那裡竊取錢財。3）安徽省馬鞍山市警方抓捕一名潛逃至東鄉區的電信詐騙犯饒某。犯罪嫌疑人饒某在2019 年至 2020 年期間，夥同他人多次在境外“SABCT投資平臺”對受害人以誘導投資虛擬貨幣為由實施詐騙七百餘萬元。

4）孫某等人運營“超級錢包”APP，誘惑使用者存入代為託管，而後關閉平臺侵吞虛擬貨幣。目前孫某等人已被福建省莆田市涵江檢察院依法逮捕。該案系利用虛擬貨幣平臺進行詐騙的新型別犯罪案，為涵江區出現的首例虛擬貨幣詐騙案件。5）有詐騙者正在利用知名人士的影像在 Youtube 平臺直播，同時放出比特幣地址進行詐騙。目前發現的有 Social Capital 的創始人兼 CEO Chamath Palihapitiya 、微軟總裁 Brad Smith，以及小米創始人雷軍等。6）近日山東省淄博警方破獲了一起公安部督辦的網路平臺投資詐騙案。詐騙團伙以投資虛擬貨幣獲高息為誘餌，讓全國 20 多個省份的 300 多人上當，涉案金額高達 3,000多萬元。7）在一些詐騙電子郵件中，騙子假冒奧組委成員，並要求人們向一個“屬於國際奧委會”的比特幣(BTC)加密錢包捐款。8）CoinCorner報告稱，Google Ads為模仿 CoinCorner 的網路釣魚克隆網站CoinCornerr.com投放了廣告。PeckShield 點評：因使用者認知意識欠缺，不法分子常設計一些投入低、高回報的龐氏騙局，並利用人們的逐利心理，層層設套。那些屢見不鮮，利用高利息回報的資金盤、理財錢包等各類騙局實施的詐騙就是典型。

其他安全事件1）騰訊安全威脅情報中心檢測到 H2Miner 木馬利用 SaltStack 遠端命令執行漏洞入侵企業主機進行挖礦。2）安全公司紅 Red Canary 最近發現，駭客組織 BlueMockingBird 瞄準了數千臺企業電腦，非法開採加密貨幣。據悉，駭客特別針對執行 ASP 的面向公眾的伺服器，在獲得訪問伺服器的許可權後，駭客下載並安裝門羅幣挖掘應用程式 XMRRig。3）英國、德國和瑞士等歐洲各地的多臺超級計算機本週已被加密貨幣挖掘惡意軟體感染，並已關閉以調查入侵事件。據報道，攻擊者似乎透過破壞 SSH 憑證獲得了訪問超級計算機叢集的許可權，一旦攻擊者獲得訪問許可權，就會利用 CVE-2019-15666 漏洞繼而部署挖掘門羅幣（XMR）的應用程式。PeckShield 點評：因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮，釣魚攻擊、詐騙等各類事件就是典型。在此提醒，使用者應謹慎保管各類私密資訊，任何小的疏忽都可能造成不可挽回的損失。