PeckShield: 4 月共发生安全事件 15 起,DeFi 安全敲响行业警钟

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 15 起较为突出的安全事件,危害程度评级为「中级」,受损金额达上亿人民币,涉及 DeFi 5 起、交易所 2 起、DApp 1 起、诈骗跑路 7 起等。

DeFi 安全

4 月份共发生 5 起 DeFi 安全事件,具体如下:

1) 04 月 18 日,黑客利用 DeFi 平台 Uniswap 和 ERC777 标准的兼容性问题缺陷,对 Uniswap 实施了重入攻击。具体而言,黑客在交易 ETH-imBTC 时,利用 ERC777 标准中进行转账的 tokensToSend 回调函数实现了重入攻击,总获利 34 万美元。

2)仅仅在 24 小时后,04 月 19 日 又一知名 DeFi 平台 Lendf.Me 也被黑客以类似的手段实施了攻击。如图所示,合约 supply() 函数中调用真实转账函数 transferFrom() 时,被 Hook 的攻击者合约里嵌入了盗用 Lendf.Me 的 withdraw() 的提币操作。(详情参阅 Uniswap 和 Lendf.Me 遭攻击始末:DeFi 乐高组合下的“多米诺”式崩塌)

3) 04 月 20 日,DeFi 稳定币交易平台 Curve 公布 sUSD 资金池合约存在借贷漏洞,并称所有的漏洞已经解决,资金安全,无损失发生。

4) 04 月 23 日,DeFi 平台 PegNet 疑似遭受顶级矿工 51% 攻击,四名矿工控制了网络 70% 的哈希率,从而实施了此次攻击。

5) 04 月 27 日,DeFi 项目 Hegic 代码出现漏洞导致用户资产被用户永久锁定。在该项目上线几小时后,其代码中的一个错误锁定了该平台智能合约价值 2.8 万 美元的用户资金,由于该漏洞将资金锁定在了过期合约中,使其无法被访问,Hegic 团队承诺用他们自己的资金补偿所有受影响的用户。

PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。特别是 DeFi 业务组合可能存在的系统性风险问题,平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查,还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。

交易所安全

4 月份共发生 2 起交易所安全事件:

1) 04 月 09 日,加密货币交易所 Bisq 被盗,攻击者利用 Bisq 交易协议中的一个缺陷,针对单笔交易来窃取交易资金。7 名受害者共损失 3 个 BTC 和 4,000 个 XMR。

2) 04 月 29 日,币安交易所遭受 DDoS 攻击,合约页面大范围卡顿,造成网络短时间滞后和访问中断。

PeckShield 点评:针对层出不穷的交易所安全事件,交易所应使用更加安全的防范系统,类似 DDoS 攻击,交易所可配置多台备用机器,避免单点故障给系统带来的风险。

DApp 安全

4 月份共发生 1 起 DApp 安全事件,存在于 EOS 网络。具体而言,04 月 30 日,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS 竞猜类游戏 Felix 发起连续的假 EOS 攻击,获利数万 EOS,且大部分资金已转移到其他账号。

PeckShield 点评:项目方在完成智能合约的开发时,务必在合约上线前做好安全测试,必要时可寻求第三方安全公司完成审计评估,帮助其完成合约上线前攻击测试及基础安全防御部署。

诈骗跑路事件

除上述之外,4 月份还发生了多起诈骗跑路事件值得警惕,例如:

1) EOS 生态骗局崩盘,价值上亿人民币的 EOS 被转移,受害者多达 38 万余人。

2) Telegram " 搬砖套利 " 诈骗总金额达到 35,000 枚 ETH,其中大多数已经流入各个交易所套现。

3)警惕钓鱼网站 airdrop-box 空投 HT 诈骗,该网站诱导用户点击钓鱼链接,用户一旦输入私钥即被盗资产。

_PeckShield 点评:_因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

推荐阅读:

Fomo3D 式套利模式再现:“聪明”玩家狠狠地薅了一把羊毛!

暗夜临近,DApp 江湖上演现实版 " 狼人杀

"图文追踪 PlusToken 资产转移行踪(一):BTC 部分有 1,203 个流入交易所

资金盘 FairWin 漏洞系统详解:项目方可以撇开“作恶”嫌疑了?

EIDOS 挖矿众生相:“抬价、阻塞、攻击”让 EOS 主网不堪重负

PeckShield: 4 月共发生安全事件 15 起,DeFi 安全敲响行业警钟

来源链接:mp.weixin.qq.com