PeckShield:9月共發生安全事件33起,DeFi詐騙跑路頻發

買賣虛擬貨幣

據 PeckShield 態勢感知平臺資料顯示,過去一個月,整個區塊鏈生態共發 33 起較為突出的安全事件,危害程度評級為「高階」,涉及 DeFi 15 起、錢包安全 1 起,公鏈安全 1 起,交易所相關 3 起,勒索相關 7 起,詐騙事件 6 起等。

DeFi安全

9 月份共發生 15 起 DeFi 相關安全事件,具體如下:

1)開發人員在SushiSwap中發現了治理雙花漏洞,這個漏洞可以在不需要獲得新代幣的情況下成倍增加某人的治理能力。FTX執行長兼SushiSwap負責人Sam Bankman-Fried 證實了這個漏洞的存在。他指出,這不會對Sushi造成直接問題,因為治理尚未啟動。

2)DeFi穩定幣協議Lien釋出公告表示,團隊的審計人員發現一個Lien App中的漏洞,決定暫時維護平臺以防止漏洞被利用,該專案表示使用者存放協議的以太坊資產是安全的,同時沒有出現資金被盜的問題。

3)9月19號,幣安智慧鏈上的專案Bantiample團隊已砸盤套現3000個BNB跑路,目前團隊的主要開發者已經刪除Telegram賬號,專案代幣BMAP單日跌幅超過90%。

4)以太坊挖礦專案 LV Finance 專案疑似跑路,該專案透過偽造虛假審計網站並提供虛假審計資訊誘騙投資者進行投資,待一段時間後資金池內金額足夠大時進行跑路。目前,該專案網站 lv.finance 已無法訪問。

5)廢老師(微博使用者名稱“廢X廢”)參與了流動性挖礦專案Soda發現有一個漏洞,裡面有2萬個ETH可以直接清算掉。但他選擇了告訴開發組,但開發組並未重視。他只好選擇清算了一個ETH,併發微博警告,實操告訴開發者這個Bug的存在。不到一個小時,專案組釋出公告:在前端停止借款的功能,如果有人因為這個bug收到了損失,我們在未來會盡可能推出補償方案。

6)名為GemSwap的SushiSwap仿盤專案被曝跑路,LP被捲走。查詢發現,該專案在今日15點左右釋出推特自曝其遭受了“ whatitdobb”開發者的攻擊,據瞭解,該專案今日早些時候完成了流動性遷移,但發起攻擊的開發者在遷移之前就獲得了相關許可,能夠將流動池中的代幣取走,目前尚不清楚此次攻擊造成的具體損失。

7)bZx官方噶Twitter稱其合約被攻擊,損失了4700枚ETH,隨後兩天攻擊者將所有盜取資產全部返還給專案方。

8)至少有9個Chainlink節點運營商在上週日遭受攻擊,導致其錢包中的約700 ETH耗盡。據稱,攻擊利用了節點響應查詢的方式,並涉及了與網路交易成本相關代幣的使用。Chainlink已確認攻擊並將其描述為對網路進行“垃圾交易(spam)的“失敗嘗試”。

9)以太坊研發者Philippe Castonguay發推文稱,DeFi專案BaconSwap和shroom.finance均存在時間鎖定漏洞,將允許專案所有者在沒有時間鎖定的情況下增發無限代幣。

10)推特賬戶名為Amplify的使用者透露自己在新DeFi專案Soft Finance中因系統漏洞而獲利25萬美元。並稱自己並非作惡者,只是無意中發現了這個“機會”。注,Soft Finance是Yearn.finance的克隆協議,發行了軟錨定適應性系統代幣SYFI,利用rebase機制來根據需求調節供應。本月4號,該協議在rebase過程中發生系統故障而導致價格歸零。

11)波場DeFi專案櫻桃CherryFi在電報群表示,USDT合約在遷移過程中由於一行程式碼導致無法提取USDT,損失USDT的使用者可以聯絡管理員,團隊將給出一個賠償方案,建議使用者都把TRX提走。據瞭解,CherryFi程式碼未經審計。

12)某使用者於社群內表示,其在參與基於EOS的流動性挖礦專案Diamond.finance時,10萬USDT的資金被盜。PeckShield安全人員跟進分析認為,該使用者被盜原因和eosio.code許可權無關,疑似私鑰被盜。

13)EOS 專案 EMD 疑似跑路,截至目前,專案合約 emeraldmine1 已向攻擊者賬號 sji111111111 轉移78萬 USDT, 49萬 EOS 及5.6萬 DFS,並有12.1萬 EOS 已經轉移到 changenow 洗幣平臺。

14)EOS挖礦專案珊瑚的wRAM遭到駭客“重入”攻擊,損失超12萬EOS。攻擊者賬號採用了類似“重入攻擊”的模式,對eoswramtoken合約實施了攻擊。具體而言,攻擊者在正常的轉賬操作內嵌入了一次inline transfer,使得wRAM合約在mint時判斷RAM數額出現問題導致多發。

15)yearn.finance創始人Andre Cronje剛推出的遊戲專案Eminence(ENM)遭遇“Flash貸款”攻擊,駭客將800萬美元的資金返還給了yearn部署者合約。官方目前正在調查具體情況,並將重新分配受攻擊的800萬美元。

PeckShield 點評:隨著 DeFi 專案功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與使用者資產的緊密聯絡,DeFi 專案的安全問題非常嚴峻。由於各專案由不同團隊開發,對各自產品的設計與實現理解有限,整合的產品很可能在與第三方平臺互動的過程中出現安全問題,進而腹背受敵。PeckShield 在此建議,DeFi 專案方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。

數字錢包安全

9 月份共發生 1 起錢包安全事件:

1)開發BitBox硬體錢包的瑞士公司ShiftCrypto透露,在Trezor和KeepKey硬體錢包中發現了一個漏洞,該漏洞允許攻擊者在不靠近裝置的情況下持有使用者的加密貨幣以進行勒索。

PeckShield 點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網路連線的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,使用者也要謹防網路釣魚,惡意程式碼注入等攻擊方式。

公鏈安全

9 月份共發生 1 起公鏈相關安全事件:

1)比特幣工程師Braydon Fuller和Javed Khan於2018年在比特幣區塊鏈上修復了名為INVDoS的漏洞,本週又發表了一份研究論文,詳細介紹了他們如何在其他多個區塊鏈迭代中發現Btcd和Decred。該漏洞的攻擊工作方式是:一個敵對的區塊鏈節點(驗證交易的區塊鏈網路的成員)透過向不存在的交易發出垃圾郵件來淹沒另一個。該漏洞被稱為“拒絕服務”攻擊,可被駭客“輕鬆利用”,並可用於使整個比特幣節點網路崩潰。報告稱,這可能導致處理交易的延誤,進而導致“資金或收入的損失”。

PeckShield 點評:公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。

交易所相關

9 月份共發生 3 起交易所相關安全事件:

1)歐洲加密貨幣交易所 ETERBASE 遭遇駭客攻擊,導致部分熱錢包資產被盜,包括 BTC、ETH 及 ERC-20 代幣、XRP、TRX、XTZ 和 ALGO。目前,該交易所處於維護模式,正在調查相關問題。據 The Block Research 分析,ETERBASE 被盜資產超過了 500 萬美元,其中,ETH 和 ERC-20 代幣地址損失的資金最多,達約 390 萬美元,其次是 XTZ 地址,損失約 47.1 萬美元。

2)Kucoin庫幣交易所遭到駭客攻擊,大量ETH和ERC20代幣被轉移,包含11000個以太坊,2000萬USDT,1100萬刀的AMPL,880萬刀的OCEAN,720萬刀的VIDT,500萬刀的DIA,500萬刀的AKRO。此後,該駭客跑路資金遭到各個大交易所聯合封堵,駭客多次使用Uniswap進行資金轉移。

3)9月2日,首爾警方對韓國規模最大的加密貨幣交易所Bithumb進行搜查。Bithumb韓國理事會議長李政勳正因欺詐和財產逃逸接受警方調查。根據首爾公安廳的說法,搜查緝獲與發行BXA代幣有關的投資欺詐有關。BXA受害者表示,李等人以上市BXA為名預售300億韓元代幣,但實際上並未上市,造成損失。

PeckShield 點評:駭客盜取資產後實施洗錢,不管過程多周密複雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的 KYC 和 KYT 業務均提升了要求,交易所應加強 AML 反洗錢和資金合規化方向的審查工作。詳情可訪問www.coinholmes.com 瞭解。

勒索相關

9 月份共發生 7 起勒索相關安全事件:

1)不久前,杭州市高新區(濱江)一家民營企業向公安機關報案,稱有人惡意攻擊該公司官網,並勒索1個比特幣。

2)網路安全網站Bleeping Computer的報道稱,巴基斯坦最大的電力生產商K-Electric本週遭遇勒索軟體攻擊,駭客索要約770萬美元的比特幣贖金。

3)駭客近期攻擊了阿根廷的移民系統,要求阿根廷政府支付價值400萬美元的比特幣贖金,導致跨境移民活動暫時癱瘓。但阿根廷政府拒絕與駭客談判,也不會支付贖金。

4)智利三大銀行之一的Banco Estado銀行7日不得不關閉其全國性業務,原因是受到了REvil勒索軟體的網路攻擊。據悉,REvil以拍賣在攻擊中竊取的資料而聞名,並經常要求使用Monero (XMR)支付贖金。

5)駭客向以色列納斯達克上市無線晶片和攝像頭感測器製造商Tower Semiconductor Ltd(TSEM)進行勒索軟體攻擊,並索要數十萬美元比特幣贖金。為了安全起見,TSEM關閉了一些正在執行的伺服器,並暫停了部分工廠的生產。

6)特斯拉創始人Elon Musk在一條推文中證實,俄羅斯男子Egor Igorevich Kriuchkov用100萬美元比特幣賄賂內華達州特斯拉工廠一名員工,以便在特斯拉的計算機網路上安裝勒索軟體。該員工沒有執行該計劃,而是通知了其他與FBI聯絡的特斯拉員工。FBI於8月22日在洛杉磯逮捕了該男子,如果被判有罪,他將面臨最高五年的監禁。

7)泰國警方表示,泰國的醫院和公司遭到駭客攻擊,駭客挾持了計算機系統和資料,並要求支付比特幣以恢復資訊。其中,9月5日,Saraburi醫院無法訪問其資料,攻擊者要求獲得630億泰銖(28億澳元)的比特幣來解鎖系統。

PeckShield 點評:勒索類安全事件一直是影響整個網際網路生態的重大隱患,不侷限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。

其他詐騙事件

除上述之外,9 月份還發生了多起詐騙跑路事件值得警惕,例如:

1)ESET的研究人員發現了一個新的惡意軟體,該軟體可透過Tor網路和Bittorent協議感染使用者裝置。該軟體名為“Krypto Cibule”,透過感染使用者裝置以進行加密挖礦,並使用“剪貼簿劫持”將資金轉到駭客的錢包中。

2)哥倫比亞警方向全國民眾發出警告稱,欺詐者正透過比特幣進行詐騙,併發起了一項聲稱得到了總統伊萬·杜克(Ivan Duque)支援的倡議。據欺詐者稱,杜克總統簽署了一份“世紀協議”,將建立一個名為“比特幣時代”的平臺,這將使哥倫比亞人能夠從加密貨幣中賺取收入。對此,警方強調,這項針對COVID-19經濟影響並以比特幣為重點的投資解決方案是一個騙局,並且沒有以任何方式得到哥倫比亞總統的批准。

3)西安高新區公安局9月2日抓獲虛擬貨幣詐騙案相關嫌疑人。該團伙此前在網上釋出虛擬貨幣BRTR的相關虛假資訊,引誘群眾購買,短短一個月詐騙金額已達500餘萬元。辦案民警根據前期收集到的偵查線索及嫌疑人供述,已將500餘萬元涉案資金全部追回並依法凍結。目前,此案還在進一步審理中。

4)9月21日,武漢市公安局東湖新技術開發區分局成功打掉一個詐騙團伙。民警調查發現,該團伙是以炒虛擬貨幣高回報為誘餌,吸引投資者進行投資,進而實施詐騙團伙。目前,警方已掌握多個被騙人員的情況,涉及金額近30餘萬元。涉案的曹某、羅某、陳某、袁某等四人,因涉及詐騙罪已被東新警方予以刑事拘留。案件正在進一步深挖當中。

5)北京大興公安分局今天通報稱,警方近日成功打掉一夥以炒“數字貨幣”為名非法吸收公眾存款的窩點,刑事拘留四名嫌疑人。據悉,涉案1000餘名投資者的2000餘萬元投資款被套住。四名嫌疑人牟利200餘萬元。

6)近日,上海閔行警方搗毀一個以投資虛擬幣為名實施詐騙的犯罪團伙,抓獲犯罪嫌疑人35人。該詐騙團伙以電話、微信尋找有投資虛擬幣意向的潛在被害人,將其拉入投資微信群,並誘騙被害人下載“bitex”“back”“bitbank”平臺進行虛擬貨幣投資,騙取被害人投資本金,實施詐騙犯罪。該團伙共涉案十餘起,涉案金額逾80萬,涉及被害人達100餘人。

PeckShield 點評:因使用者安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,使用者應謹慎保管各類私密資訊,任何小的疏忽都可能造成不可挽回的損失。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;