当前位置:首页 > 区块链快讯 > 正文内容

PeckShield:复盘 3 月区块链重要安全事件,DeFi 安全问题显著

admin9个月前 (08-05)区块链快讯288

过去一个月区块链生态共发生 19 起较为突出的安全事件,主要在 DeFi、交易所、智能合约与诈骗跑路等方面。

原文标题:《PeckShield: 3 月共发生安全事件 19 起,DeFi 安全问题凸显》
撰文:PeckShield

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 19 起较为突出的安全事件,危害程度评级为「中级」,受损金额达百亿元,涉及 DeFi 2 起、交易所 2 起,智能合约 1 起, 诈骗跑路 14 起等。

DeFi 安全

3 月份共发生 2 起 DeFi 安全事件,具体如下:

1) 03 月 12 日,由于以太坊 ETH 的价格暴跌,MakerDAO 的大量抵押债仓跌破清算门槛,引发了清算程序执行。由于以太坊网络 gas 费用剧增,导致 MakerDAO 的清算过程完全缺乏竞争,原本应该参与到清算过程中的清算机器人(Keeperbot)因为设置了较低的 gas 值,导致出价受阻,一位清算人(Keeper)在没有竞争者的情况下,以 0 DAI 的出价赢得了拍卖。

MakerDAO 清算拍卖设计的目的,是尽可能以最少的抵押物回收最大的 DAI,这一机制在正常情况下是可以成功运作的。但是当以太坊系统极其拥堵的时候,或者更极端一点来说,只要竞拍的参与度不足,就很容易被恶意 Keeper 以极低报价获得拍卖物。针对此次清算出现的问题,MakerDAO 社区也已紧急讨论了针对清算机制的改进措施。

2) 03 月 26 日,Synthetix 的抵押贷款清算功能被发现存在漏洞,具体而言:Synthetix 近期上线了一个合约,用户可以在 3 个月试用期内质押 ETH 获取 sETH,而在试用期结束后,将启动关闭所有贷款功能进行清算,即任意拥有 sETH 的用户都可以通过调用清算接口得到 ETH。然而,该接口的处理逻辑代码存在一个漏洞会导致任意用户直接 burn 掉借款人的 sETH 资产并获得 ETH。不过由于该功能处于试用期间,并未造成实际损失。目前, Synthetix 官网的 loan 服务仍处于关闭状态。

PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。

交易所安全

3 月份共发生 2 起交易所安全事件:

1) 03 月 02 日,美国司法部以阴谋洗钱和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。区块链安全公司 PeckShield 第一时间介入追踪研究分析,基于美国司法部仅公布的 20 个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。

分析发现攻击者试图利用 Peel Chain 的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所,如下图所示:

在完成初步洗钱操作后,攻击者并没有直接转入自己的钱包,而是再次使用 Peel Chain 手法把原始的非法所得 BTC 分批次转入 OTC 交易所进行变现。攻击者每次只从主账号分离出几十个 BTC 存入 OTC 帐号变现,经过几十或上百次的操作,最终成功将数千个 BTC 进行了混淆、清洗。(详情参阅 硬核:解密美国司法部起诉中国 OTC 承兑商洗钱案件)

2) OMNI 网络发现新型 USDT 假充值手法:黑客采取发行其他类型的代币伪造成 USDT 对交易所或钱包进行 USDT 假充值,当交易所或钱包在检测 USDT 充值时如果没有校验交易中的 propertyid,就会导致假充值情况的发生。

PeckShield 点评:黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。同时,针对假充值等安全问题,交易所应当在确认代币名称和交易状态后再进行转账。

智能合约

3 月份共发生 1 起智能合约安全事件,存在于以太坊网络。具体而言:03 月 24 日,有项目方反映在发布 ERC20 代币后,发现一些来源不明的代币在链上转账。深入分析后发现,是项目方使用的「一键发币」第三方平台存在后门——发币合约创建时存在暗地增发 Token 并窃取的恶劣行为。

PeckShield 点评:项目方在使用第三方服务完成智能合约的开发时,务必在合约上线前做好安全测试,必要时可寻求第三方安全公司完成审计评估,帮助其完成合约上线前攻击测试及基础安全防御部署。

诈骗跑路事件

除上述之外,3 月份还发生了多起诈骗跑路事件值得警惕,例如:

  1. 区块链资金盘「硅谷区块鸡」疑似跑路,涉案金额或达百亿人民币;
  2. 英国夫妇因使用虚假的 Chrome 浏览器扩展丢失 14,800 枚 XRP;
  3. 不法分子在各种聊天群发布虚拟货币消息,以疫情防控为由,利用人们投资理财的迫切心理,打着虚拟货币的幌子实施诈骗、非法集资活动;
    4.YouTube 上有人冒充 Ripple 的首席执行官推销 5,000 万 XRP 代币的假赠品,以哄骗用户将钱投入类似的空投骗局中。

PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

扫描二维码推送至手机访问。

版权声明:本文由okx官方网站发布,如需转载请注明出处。

本文链接:https://www.okexk.com/post/165.html

分享给朋友:

相关文章

比特币多头发起猛烈进攻,空头已经疯狂奔逃

比特币昨日的表现整体来说还是比较平稳的,基本全天维持低幅的震荡行情走势!比特币全天振幅不过5%左右。比特币向上反弹至4.05一带之后迅速回落,而4.05是昨日预判的比特币最高的点位。昨日以太坊也迎来了大幅度的反弹向上行情走势!昨日以太坊的行...

比特币挖矿不仅不会给当地带来长期经济利益,反可能带来法律和能源环境的隐患。

比特币挖矿不仅不会给当地带来长期经济利益,反可能带来法律和能源环境的隐患。

今年5月以来,中国政府对比特币交易和挖矿进行严打,导致比特币矿主们不得不另寻他处。包括美国佛罗里达州和德克萨斯州都期望以廉价电能吸引中国比特币矿主前来落户。但专家担忧,除了短期经济效益外,矿主挖矿不仅不会给当地带来长期经济利益,反可能带来法...

曹寅:更合规的 tzBTC 虽起步较晚,但发展不可小觑

曹寅:更合规的 tzBTC 虽起步较晚,但发展不可小觑

借助瑞士友好的合规环境与 Tezos 基金会的运作,tzBTC 有机会成为打破传统金融资产与 DeFi 的次元破壁人。 原文标题:《DeFi Review 第七期-Tezos 是否可以靠 tzBTC 打开 DeFi 新局面?》...

世界正在改变 ... 顶级区块链风投如何在动荡中寻找机会?

世界正在改变 ... 顶级区块链风投如何在动荡中寻找机会?

区块链风投基金 Dragonfly、Multicoin、HashKey Capital 与 1kx 的四位掌门分享了各自的投资风格与策略,以及关于新冠疫情对加密投资影响的看法与对策。 新冠疫情在全球范围的持续蔓延,使得人们对经济...

1kx 创始人:亚洲文化更容易接纳加密货币,DeFi 优势在于透明度与低费用

1kx 创始人:亚洲文化更容易接纳加密货币,DeFi 优势在于透明度与低费用

加密数字基金 1kx 创始人 Lasse Clausen 认为东亚较欧洲更容易接纳新兴科技,能更好理解加密货币价值。 北京时间 4 月 10 日晚 9 点半,由 Winkrypto、链闻和 Yama 联合推出的加密货币线上谈话类...

一文读懂区块链领域基础设施投资:周期性与反脆弱性

一文读懂区块链领域基础设施投资:周期性与反脆弱性

区块链项目可以从周期与反脆弱角度合理优化资源,投资机构则可以从终局思维、冗余准备与寻找正面黑天鹅角度梳理投资策略。 原文标题:《区块链基础设施投资(上)-周期与反脆弱》 撰文:郑嘉梁,HashKey Capital 研究总监...