成都鏈安：2月發生典型安全事件超26起，整體風險評級為“中”_EFI

據成都鏈安安全輿情監控數據顯示：2021年2月，據不完全統計，整個區塊鏈生態發生的典型安全事件超26起，整體安全風險評級為。從典型安全事件的高發領域來看，DeFi方面較1月呈明顯上漲態勢，需要重點關注。2月，各大主流加密資產幣價波動明顯，持續震蕩，在一定程度上給整個區塊鏈生態的穩定性帶來負面沖擊。盡管在詐騙跑路/加密騙局方面和勒索軟件/挖礦木馬方面，事件數量有所下降，但其所造成的的經濟損失數額巨大，安全風險依舊如影隨形。因此，面向整個生態的完善而高效的安全監管，對于區塊鏈行業穩健有序發展至關重要。以下為本月安全月報的詳細事項。交易所方面：共發生『3』起典型安全事件

012月8日，比特幣交易市場KeepChange表示，交易所收到從客戶賬戶提現到一個屬于攻擊者地址的請求，該平臺的一個控制子系統暫停了請求，導致沒有比特幣丟失。但是，攻擊者竊取了一些客戶數據，包括電子郵件地址、姓名、交易次數、總交易金額和密碼。022月19日上午，魚池遭到DDos攻擊，部分地址出現短暫故障，目前已恢復。魚池是目前第一大比特幣礦池，擁有26E算力。03新西蘭交易所Cryptopia再次遭黑客入侵。黑客竊取了約62,000新西蘭元的加密貨幣。

BSN開放聯盟鏈成都鏈已上線:金色財經報道，近日，區塊鏈服務網絡BSN表示，開放聯盟鏈成都鏈已在BSN環境內上線，這是基于BSN環境上線的第9條開放聯盟鏈。BSN開放聯盟鏈（簡稱OPB）包括多條基于公有鏈框架和聯盟鏈框架搭建的公用鏈，此次上線的成都鏈是基于公鏈Casper框架進行合規化改造而來。[2022/12/15 21:46:38]

DeFi方面：共發生『9』起典型安全事件

01Yearn核心開發人員banteg發推文稱，DAIv1vault的攻擊者竊取了280萬美元，vault損失了1100萬美元。022月5日，據CoinDesk消息，DeFi保險項目ArmorFi已向白帽黑客AlexanderSchlindwein支付了150萬美元的漏洞賞金。因為這名黑客發現了該協議的一個“關鍵漏洞”，且可能會導致該公司所有的承保資金被耗盡。03智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊，受影響的策略包括ETH、USDC和USDT。04CreamFinance推出的零抵押跨協議貸款IronBank被盜約3750美元資產，攻擊者通過數額巨大的cySUSD從IronBank借入WETH等資產。052月13日，跨鏈DeFi平臺AlphaFinanceLab發推稱，“我們收到關AlphaHomoraV2被攻擊的通知，現在正在與AndreCronje和Cream.Finance共同應對。”062月27日，DeFi收益聚合器Yeld.finance的DAI池遭到“閃電貸攻擊”，損失16萬DAI，涉及10余名用戶。07DeFi聚合平臺Furucombo官方發布推文稱：“北京時間2月28日00:47，Furucombo代理被攻擊者入侵”。總計被盜金額達1400萬美元以上。08CreamFinance表示，Furucombo漏洞攻擊影響到期儲備金賬戶，團隊已經撤銷錢包所有對外部合約的批準，但仍損失了110萬美元。09DeFi保險協議Armor.Fi表示，一名詐騙者從團隊成員騙取120萬枚ARMOR代幣，目前已經以大約600ETH的價格拋售完畢。

成都鏈安：正在追查Ronin攻擊事件的資金去向:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Axie Infinity側鏈Ronin遭到攻擊，17.36萬枚ETH和2550萬USDC被盜，總金額約合價值為6.15億美元。在這里，成都鏈安對此類跨鏈橋項目給出以下建議:

1.注意簽名服務器的安全性；

2.簽名服務在相關業務下線時，應及時更新策略，關閉對應的服務模塊，并且可以考慮棄用對應的簽名賬戶地址；

3.多簽驗證時，多簽服務之間應該邏輯隔離，獨立對簽名內容進行驗證，不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況；

4.項目方應實時監控項目資金異常情況。[2022/3/30 14:25:56]

Beosin評論可以看到，DeFi方面的暗潮在經歷前幾月的稍顯沉寂之后，本月又有涌動再起的預兆。安全風險如影隨形，此起彼伏，這從根本上就要求DeFi生態，乃至整個區塊鏈行業，各方從業者需居安思危，高懸達摩克利斯之劍，對安全防護和安全建設工作切記不可漠然置之。詐騙跑路/加密騙局方面：共發生『3』起典型安全事件

成都鏈安CEO楊霞：DeFi項目方應重視合約安全問題:據官方消息，在由OKEx主辦的“后疫情時代：DeFi的機遇與挑戰”社群活動上，成都鏈安創始人兼CEO楊霞談到最近dForce攻擊事件，她表示，DeFi項目正在快速發展壯大，據我們統計截止2020年，鎖定在以太坊DeFi應用中資產已達到10億美元。DeFi項目火爆主要來源它的高收益。DeFi又被稱為“去中心化金融”，開放式金融基礎，則是高達8%-10%收益率必然會伴隨巨大風險。各方DeFi團隊開發自己合約產品也是自由發揮；但并沒有一個統一的、標準的安全方案去遵守，或者說是必須通過嚴格安全審計，這就導致各種合約漏洞與相關安全問題層出不窮，此次事件項目方就應該進行重入防護：比如使用OpenZeppelin的ReentrancyGuard，另一方面先修改本合約狀態變量，再進行外部調用。任何Defi項目方在開發合約時應重視合約安全問題，以應對各種突發情況和各種非正常使用合約情況，從而避免造成損失；同時建議做好相關安全審計工作，借助專業的區塊鏈安全公司的力量，避免潛在的安全隱患。[2020/4/30]

012月4日，網絡安全公司卡巴斯基實驗室表示，聊天社交平臺Discord上已出現加密貨幣騙局，該騙局承諾在一個交易平臺上向用戶提供免費的比特幣或以太坊。022月5日，德國檢察官從一名詐騙者手中沒收了價值超過5000萬歐元的比特幣，但面臨一個尷尬的問題，即無法破解密鑰而不能解鎖這筆資產。032月8日，美國佛羅里達州電信公司的一名36歲員工StephenDediore被指控進行SIM交換詐騙，竊取了一名受害者的加密貨幣。勒索軟件/挖礦木馬方面：共發生『3』起典型安全事件

動態 | 成都鏈安獲得前海母基金新一輪融資:金色財經報道，2020年2月，成都鏈安科技有限公司正式宣布，獲得前海母基金新一輪融資，以推動區塊鏈安全事業健康有序發展。此前，成都鏈安已在2019年12月獲得由聯想創投、復星高科領投，成創投、任子行戰略投資的數千萬元融資，以及在2018年3月獲得分布式資本的種子輪投資，在2018年9月獲得界石資本、盤古創富的天使輪投資。據了解，前海母基金是目前國內商業化募集母基金，截至目前已完成募集規模285億元。[2020/2/25]

012月4日，PaoloAltoNetworks網絡安全研究人員發布報告稱，已有針對Kubernetes集群的新惡意軟件，在未經用戶同意或知情的情況下，利用計算機的處理能力挖掘門羅幣。02馬來西亞柔佛州當局逮捕了7名男子。自2020年以來，該團伙為開采比特幣竊取電力，已使當地電力公司損失了860萬馬來西亞林吉特的收入。03勒索軟件團伙DoppelPaymer再次發起攻擊，此次泄露了汽車制造商起亞汽車北美分公司KMA的敏感數據。犯罪分子要求用比特幣支付贖金，贖金總額可能高達600枚比特幣。

動態 | 成都鏈安再獲聯想創投、復星高科領投多輪數千萬元融資:區塊鏈安全公司成都鏈安科技有限公司繼2018年5月分布式資本種子輪投資，2018年11月界石資本、盤古創富天使輪投資后，近期連獲多輪融資，共計數千萬人民幣，由聯想創投、復星高科領投，成創投、任子行戰略投資，分布式資本、界石資本、盤古創富等老股東均跟投。

此次融資將用于持續深化區塊鏈全生態安全布局、研發“一站式”區塊鏈安全服務平臺、開展自主可控的區塊鏈安全技術研究、提升用戶全新體驗及全球化市場的拓展，助力成都鏈安成為全球區塊鏈安全領域的行業標桿。在當前區塊鏈新時代風口下，一方面成都鏈安將利用“一站式”區塊鏈安全平臺和服務，協助相關企業做好安全防護工作，提升安全防護能力，減少安全損失；另一方面將繼續大力協助政府監管機構做好調查取證等工作，以切實加強安全監管；同時多為行業發展發出正能量的聲音，帶頭建立起有序的行業規范，并促進安全標準建設。[2020/1/16]

暗網方面：共發生『3』起典型安全事件

01據Cointelegraph報道，暗網鏈接提供商dark.fail管理員表示，兩名比特幣捐贈者在向dark.fail捐款后，賬戶被交易所凍結，原因是交易所實施了Chainalysis的新KYT區塊鏈監控服務。02名為DylanBailey的英國青年用比特幣在暗網上從荷蘭供應商那里購買了搖頭丸，供應商把這些藥片藏在DVD盒里寄給了他。03專門銷售被盜支付卡數據的暗網市場Joker'sStash已于2月15日正式關閉，根據區塊鏈分析公司Elliptic發布的報告指出，該平臺匿名創始人JokerStash在關閉平臺前已賺取逾10億美元的利潤。其他方面：共發生『5』起典型安全事件

012月3日，以太坊2.0信標鏈主網超過75位驗證者被Slash罰款。Beaconscan數據指向，本次被罰沒的節點涉及到PoS服務商Staked.us，而以太坊2.0全網至今總共被罰沒節點為114個。02加密貨幣價格追蹤應用Blockfolio疑似被黑客攻擊，用戶手機應用程序收到來自偽裝成項目方發送的轉移資金相關推送信息。03歐洲刑警組織官方宣布已逮捕十名犯罪嫌疑人。這些嫌疑人通過劫持電話號碼從名人盜竊價值1億美元的加密貨幣。04Tezos開發團隊之一NomadicLabs表示，在智能合約工具開發公司camlCase構建的基于Tezos區塊鏈的去中心化交易所Dexter合約中，發現了一個漏洞，該漏洞允許在未經授權的情況下提取資金。05以太坊鏈上期權協議PrimitiveFinance智能合約中發現了一個嚴重漏洞。由于合約不可升級或暫停，因此官方選擇自己對智能合約進行黑客攻擊以保護用戶資金。

鑒于當前區塊鏈生態的安全態勢，『成都鏈安』在此總結：從總體上來看，2月所發生的典型安全事件與1月相近持平，因此成都鏈安安全團隊針對整體安全風險，依然將其評級為。從事件趨勢上來看，2月所發生的典型安全事件呈DeFi方面單點爆發，其余方面均勻分布的走向。由此，本月DeFi方面的安全形勢仍然是整個區塊鏈生態值得關注的重點所在。針對DeFi方面的各類安全事件，成都鏈安在此呼吁，各大項目方在上線前應仔細檢查項目自身情況，定期做好日常安全審計和安全加固工作，及時修補潛在漏洞避免造成巨大損失。同時需要注意的是，“閃電貸攻擊”似乎成為本月DeFi方面典型安全事件中的高頻詞匯。不難看出，在DeFi生態的多數安全事件中，閃電貸攻擊的“冠名”似乎已成為了標配。因此，面對閃電貸攻擊的嚴峻考驗，成都鏈安建議各大項目方借助第三方安全公司的力量，通過加強多重技術的安全檢測和安全驗證，以防范閃電貸攻擊于未然。

Tags：EFIDEFIDEF區塊鏈ChargeDeFi ChargeDeFiHorseDEFLY價格區塊鏈dapp開發

Fil