比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 波場 > Info

成都鏈安:“黑色5月” 本月發生典型安全事件超32起_DEF

Author:

Time:1900/1/1 0:00:00

2021年5月盤點

據成都鏈安[鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)]安全輿情監控數據顯示:2021年5月,據不完全統計,整個區塊鏈生態發生的典型安全事件超32起,整體安全風險評級為[高]。本月,盡管其余方面的典型安全事件有所緩和,但[DeFi方面]成為典型安全事件頻發的“重災區”,需高度警惕;幣安智能鏈(BSC)首當其沖,成為黑客發動閃電貸攻擊的“主戰場”。

多起BSC鏈上項目在5月集中“暴雷”,業界稱為“黑色5月”,而這也是DeFi歷史上當前所遭受的攻擊頻次最高、損失最大的一個月。據初步統計,所造成的經濟損失約達3億美元。典型安全事件的頻頻發生,也直接引發了多種虛擬資產幣價閃崩。這個5月,對于投資者、項目方,乃至整個DeFi生態來說,都是空前“灰暗”的一個月。

以下為本月安全月報的詳細事項。

交易所方面

共發生『1』起典型安全事件

01

Hotbit交易所遭到攻擊者攻擊,導致一些基本服務癱瘓,Hotbit團隊將關閉所有服務7天以上,以進行檢查和恢復。

成都鏈安:hackerDao項目遭受價格操控攻擊,獲利資金已轉至Tornado.cash:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,hackerDao項目遭受價格操控攻擊。成都鏈安安全團隊第一時間進行分析,發現攻擊者先從先閃電貸借出2500WBNB,拿出部分WBNB兌換出大量hackerDao,然后將這筆hackerDao發送WBNB/hackerDao;并調用該交易對合約的skim函數將多余代幣領取至BUSD/hackerDao。由于hackerDao代幣在轉賬時,如果轉賬接收地址是BUSD/hackerDao時,會同步減少發送者的代幣余額以收取手續費,因此,WBNB/hackerDao交易對中的hackeDao數量被異常減少,從而影響該交易對的代幣價格,使得攻擊者最終利用WBNB/hackerDao兌換出WBNB時,獲取額外的收益。目前攻擊者實施了兩次攻擊,總計獲利約200BNB,已經轉至Tornado.cash 。[2022/5/24 3:38:37]

DeFi方面

共發生『14』起典型安全事件

成都鏈安:BasketDAO遭到攻擊,導致用戶損失約120萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,BasketDAO遭到攻擊,導致用戶損失約120萬美元。通過鏈必追產品進行追蹤分析,發現大部分被盜資金都被存入了 TornadoCash,以下為受害者地址:[2022/3/30 14:27:04]

5月2日,DeFi項目Spartan遭遇閃電貸攻擊,導致3,000萬美元損失。

02

5月7日,ValueDeFi被黑客攻擊,IRONFinance的部分池和產品受到攻擊,導致STEELLP代幣可能耗盡。

03

DeFi收益聚合器RariCapital遭到黑客攻擊,導致價值超過1471萬美元的ETH損失。

04

DeFi協議xToken遭遇閃電貸攻擊,導致2450萬美元的損失。

05

5月16日,bEarn Fi遭到攻擊,導致近1100萬美元的損失。

成都鏈安:8ight Finance項目疑似私鑰泄露,資金總損失接近100萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,8ight Finance項目方疑似私鑰泄露導致被攻擊,資金已從tornado轉移出去,資金總損失:868587 DAI,123621 1USDT,10843 EIGHT,80 ONE.[2021/12/8 12:58:37]

06

5月19日,BSC最大借貸平臺VENUS發生大額清算。目前給Venus平臺造成了1億多美元的壞賬。

07

5月20日,DeFi收益聚合器PancakeBunny遭到閃電貸攻擊,損失約4500萬美元的WBNB和BUNNY。

08

鏈上期權協議FinNexus疑似被攻擊。導致黑客通過某個地址在以太坊上鑄造了3.23億枚FNX,價值600萬美元,在BSC上鑄造了6000萬枚FNX,價值160萬美元。

09

Bogged Finance官方表示,黑客對BOG代幣合約進行了閃電貸攻擊,目前已禁用交易費。

動態 | 成都鏈安面向聯盟鏈推出“一站式”安全平臺:據官方消息,成都鏈安面向聯盟鏈安全需求推出“一站式”安全解決方案,為聯盟鏈生態提供從安全設計、開發、安全檢測到運行時安全監控和管理等全方位的安全服務與支持。

?

“一站式”安全平臺主要包括:支持FISCO-BCOS、Fabric、以太坊、EOS等多個平臺的“一鍵式”智能合約自動形式化驗證工具Beosin-VaaS;Beosin-IDE智能合約開發工具;Beosin-Eagle Eye安全態勢感知系統;Beosin-Firewall防火墻;Beosin-OSINT 威脅情報系統;安全審計與檢測;安全顧問等服務。

?

成都鏈安作為最早專門從事區塊鏈安全的公司之一,核心團隊在安全領域深耕18年,申請區塊鏈安全相關軟件發明專利和著作權15項。平臺推出以來,已為微眾銀行區塊鏈、布比、云象、益鏈等多個聯盟鏈平臺提供了全套的“一站式”安全解決方案和安全防護。[2019/11/28]

10

AutoSharkFinance遭閃電貸攻擊,幣價出現閃崩,跌幅一度超過99%。

動態 | 成都鏈安:10月發生較典型安全事件共5起:據成都鏈安態勢感知平臺——Beosin?Eagle-Eye統計數據顯示,在過去一個月(10月)中,共發生5起較為典型的安全事件。其中包括:1.EOS鏈上本月內總共發生兩起攻擊事件:一是假EOS攻擊;二是游戲服務器解析參數問題。2.亞馬遜云服務平臺AWS被爆遭到了DDoS攻擊,并因此被迫中斷了服務。3.網頁加密貨幣錢包Safuwallet被黑客通過注入惡意代碼竊取了大量資金,并且殃及幣安。4.Cryptopia被盜資產開始轉移:一部分ETH流入知名DeFi借貸平臺Compound;另有數個ETH流入一個叫做DeFi 2.0的DApp項目。鑒于當前區塊鏈安全新形勢,Beosin成都鏈安在此提醒各鏈平臺需要增強安全意識,重視各類型安全風險,必要時可尋求安全公司合作,通過第三方技術支持,排查安全漏洞,加固安全防線;各錢包項目應進一步做好安全方面的審查,有意識地增強項目系統架構的安全性,并建立完善的應急處理機制。如發生資產損失,可借助安全公司的幫助,進行資產溯源追蹤;用戶在進行投資行為時需謹慎,遠離資金盤,切勿刀口舔血。[2019/10/31]

11

Merlin疑似遭到攻擊。據悉,項目方貌似已暫時暫停了MERL代幣的鑄造。

12

BurgerSwap疑似遭遇閃電貸攻擊,被盜約330萬美元的Burger。

13

5月28日,JulSwap遭到閃電貸攻擊,$JULB短時跌幅逾 95%。

14

5月30日,BSC鏈上結合多策略收益優化的AMM協議Belt Finance遭到閃電貸攻擊。

Beosin評論

BSC鏈上項目5月頻頻“暴雷”,損失慘重,這足以向BSC、DeFi,乃至整個區塊鏈生態敲響警鐘。通過復盤各起典型安全事件的共性,不難發現,“閃電貸攻擊”是黑客采取的最主要的攻擊手法;且攻擊金額普遍較大,至少6個項目的損失金額都已超過1000萬美元。

在此,成都鏈安(Beosin)·安全團隊鄭重呼吁,后續DeFi項目方需著重防范與“閃電貸”相關的攻擊。安全審計、安全防護、安全加固此類工作,之于DeFi項目方而言,切記是不可忽視的;有必要時,可聯動第三方安全公司的力量,建立一套完善和專業的風控措施。

詐騙跑路/加密騙局方面

共發生『7』起典型安全事件

GEC環保幣多次被地方政府驅趕和調查,本次幣價大跌后,再次被曝光其涉嫌傳銷。

詐騙團隊在SNL(周六夜現場)的活動詐騙10萬美元的虛擬資產。

有冒充Coingecko團隊成員的人欺騙加密項目方,聲稱付費即可在Coingecko平臺上列出代幣。

一加(OnePlus)聯合創始人Carl Pei的推特賬戶遭到黑客攻擊,并被用于宣傳加密騙局。

西班牙國民警衛隊(Civil Guard)的官方YouTube賬戶受到疑似魚叉式網絡釣魚攻擊,已被XRP詐騙者接管。該賬戶的名稱已更改為“Ripple - XRP Foundation”,并刪除了所有內容。

美國貨幣監理署(OCC)就近期有關加密欺詐電子郵件發出警告稱,沒有發送此類消息,也沒有為個人利益持有任何資金。

基于BSC構建去中心化金融協議DeFi100被曝出是一個騙局,運營者已經騙取了投資者的錢后跑路。

本月,雖然[DeFi方面]安全形勢嚴峻,但依然不能輕視來自[詐騙跑路/加密騙局方面]的安全威脅。成都鏈安(Beosin)·七星實驗室注意到,近期市面上已出現了多起打著“DeFi”旗號,實為傳銷騙局的各種資金盤項目。作為投資者,切記擦亮雙眼,謹防打著“DeFi”旗號的資金盤傳銷騙局!

勒索軟件/挖礦木馬方面

共發生『3』起典型安全事件

網絡安全軟件公司趨勢科技(Trend Micro)發現了一種新的惡意軟件,名為“熊貓”(Panda)。研究人員稱,加密錢包已與銀行帳戶一樣,都成為了在線盜竊的目標。

Colonial Pipeline上周五向黑客支付了近500萬美元的贖金,而之前的報道稱該公司并無意愿向黑客支付勒索費,以幫助美國輸油管道恢復運營。

新西蘭懷卡托衛生部確認之前網絡攻擊中使用的勒索軟件為“Zeppelin”,衛生部部長對此不予否認。

其他方面

Mask Network的ITO合約遭到機器人攻擊,官方已將地址列入黑名單。

5月6日,Hpool官方稱官網前端遭受DDOS攻擊,暫時不能正常訪問,但不影響挖礦服務。

FeiProtocol開發團隊FeiLabs發現并披露了一個合約漏洞,并立即暫停了該合約。目前該漏洞未被利用,不會影響任何用戶。

吉爾吉斯斯坦國家安全委員會(GKNB)在首都比什凱克和丘伊州打擊非法挖礦行動,突擊搜查并繳獲了2000臺非法虛擬資產采礦設備。

英國突襲伯明翰附近的一個倉庫,發現其是一個相當大的比特幣礦。該比特幣礦機是由非法從主電源中分離出來的電力驅動,設備已被扣押。

一名加利福尼亞男子承認經營無牌匯款業務、洗錢和未能維持有效的反洗錢計劃,被美國沒收了價值約125萬美元的比特幣(18.4枚)和以太坊(222.5枚)。

以太坊核心開發人員發現了EIP-1559中的一個重大漏洞,目前開發人員已經向EIP-1559添加了四項檢查,并修復了該漏洞。

鑒于當前區塊鏈生態的安全態勢,『成都鏈安』在此總結:

從總體上來看,5月典型安全事件較4月顯著上升。事件總數突破“30”關口,整體安全風險由[低]陡升為[高]。尤其是在[DeFi方面],一連串的黑客攻擊、頻頻發生的安全事件、超3億美元的資金損失,無疑對整個DeFi生態的安全秩序造成了災難性打擊。

嚴峻形勢之下,成都鏈安(Beosin)·安全團隊注意到,在Pancakebunny遭到閃電貸攻擊之后,其BSC鏈上諸如Merlin、AutoSharkFinance等仿盤也相繼“淪陷”,這足以說明FORK項目未對原項目有深入的理解,在更新代碼的過程中亦引入了新的安全風險。

DeFi作為一種創新的金融模式,如何在“創新”與“安全”方面找尋一個平衡點,做到兼顧與并行,需要廣大DeFi項目開發者深刻反思。在此,我們建議廣大項目方切記做好相關安全防護建設,對存在異常操作進行實時監控,即刻發現,即刻解決!作為用戶,也應當增強自身安全意識,防范安全風險,避免造成經濟損失。

Tags:DEFDEFIEFIEOSInfiniityDeFiXDEFI幣GEFIEOS INFINITY

波場
韓國監管機:Libra加密項目存在金融穩定風險_LIB

韓國金融監管機構稱,Facebook最近推出的Libra加密貨幣項目將威脅到金融體系的穩定。 韓國金融服務委員會(FSC)在7月5日發布的最新趨勢報告中指出,“如果全球24億Facebook用戶.

1900/1/1 0:00:00
CFTC主席:Bakkt因計劃自行保管BTC 遇監管難題遭推遲_KKT

美國商品期貨交易委員會(CFTC)主席Christopher Giancarlo最近在接受coindesk采訪時透露了加密貨幣交易所Bakkt的比特幣期貨遲遲無法推出的原因.

1900/1/1 0:00:00
金色微訪談第36期 | 底層技術革新 打造公鏈生態新布局_CEO

最近?Terra、Solana 等公鏈的相繼崛起可謂讓人眼花繚亂,在對應的生態協議數量上也迎來了大爆發。相比以太坊,這些網絡的性能普遍更好,交易處理效率更快,且手續費更低.

1900/1/1 0:00:00
金色說明書 | YFX創世挖礦第二階段教程_NBS

DeFi流動性挖礦火爆一時,吸引了大量投資者參與。為了方便投資者及時了解DeFi挖礦項目的相關信息和挖礦流程,金色財經推出了“金色說明書”系列挖礦教程.

1900/1/1 0:00:00
北京互金協會:防范以IEO、穩定幣等為名義的非法金融活動_穩定幣

3月21日晚間,北京市互聯網金融行業協會在官網發布了《關于防范以“虛擬貨幣”“ICO”“STO”“穩定幣”及其他變種名義進行非法金融活動的風險提示》.

1900/1/1 0:00:00
嘗試解釋DeFi幣競爭力持續下滑_DEFI

2020年3月,我做了一個決策,把時間和精力全面投入到DeFi里。在大約一年后,就是今年3月份,看到了DeFi幣價的高光時刻.

1900/1/1 0:00:00
ads