11 月区块链领域典型安全事件达 27 起,其中 DeFi 5 起,交易所 6 起。

原文标题:《盘点 | 成都链安:11 月典型安全事件超「27」起,整体风险评级「较高」》
撰文:成都链安

据成都链安「区块链安全态势感知平台」(Beosin-Eagle Eye)的数据监测显示:

2020 年 11 月,在区块链领域中,各类安全事件的发生较为频繁。相较 10 月安全事件趋于缓和的态势,本月的情况有所恶化。据不完全统计,11 月发生较典型的安全事件超过 27 起。

盘点 | 成都链安:11 月典型安全事件超「27」起,整体风险评级「较高」

本月,特别是在 DeFi 领域,黑客如同经过集中排练一般,上演了连续的协议「攻击剧目」。其中,重入攻击、预言机攻击等手段在闪电贷的辅佐下,展现了强大的杀伤力。不得不说,11 月的 DeFi 市场就像经历了一场「浩劫」,多起攻击轮番「轰炸」,造成了巨大的资产损失。

其间,成都链安曾为此呼吁,闪电贷攻击只是冠名,背后的真相不容忽视。DeFi 项目方应该尤其注意预言机操控问题,以防数据危机带来不可挽回的后果。

因此,成都链安再次郑重建议,DeFi 开发者应加强预言机的针对性测试,特别是在项目上线前,需尽可能模拟价格操控攻击的各类场景,及时发现问题并找出解决方案,切实提高项目抗预言机攻击的能力,做到提前规避此类风险。

交易所方面共发生 「6」起较典型的安全事件

常州警方龙虎塘派出所近日接到报警,有用户在「罗马币交易所」平台上进行虚拟货币投资被骗。该平台推出了两款 APP,供用户聊天和交易,操作成功之后可获得返利。目前,该交易平台已经无法登录。

波卡去中心化金融平台 Akropolis 遭遇攻击。黑客利用在衍生品平台 dYdX 的闪电贷进行重入攻击,造成了 200 万美元的损失。

泉州多位市民爆料称,遭到了数字货币交易诈骗。涉案交易所名为 MARK 交易所,涉案金额约 25 亿元,疑似参与头寸管理的大约 10 万人。

11 月 13 日,Liquid 交易所发生了一起入侵事件。黑客更改了 DNS 记录,然后控制了大量内部电子邮件帐户。最终,他们部分破坏了该交易所的基础设施并访问了存储的文档。

Pickle Finance 的 pDAI PickleJar 被黑客攻击,导致 19,759,355 枚 DAI 被耗尽。此次攻击还涉及许多 Pickle 协议组件。

知名安全博客 KrebsOnSecurity 报告称,从 11 月 13 日左右,由热门托管提供商 Godaddy 托管的几个加密货币平台遭到了攻击,其中包括加密货币交易平台 Liquid.com。

DeFi 方面共发生 「5」 起较典型的安全事件

波场主网于香港时间 11 月 02 日 06:14 受到恶意合约攻击。本次攻击中,黑客利用授予合约编写者的权限,发起了恶意交易导致「超级代表」暂停产块来获利。

DeFi 借贷平台 Percent Finance 在 11 月 4 日的博客中写道,某些货币市场遇到了可能导致用户资金永久被锁定的问题。因此,该团队冻结了专门针对 USDC、ETH 和 WBTC 的货币市场。

11 月 14 日,Value DeFi 协议的 Value DeFi MultiStables 保险库遭到黑客的预言机操控攻击,最终导致超过 700 万美元的损失。

起源协议 Origin Protocol 稳定币 OUSD 遭闪电贷攻击,跌至 0.13 美元。此后,Uniswap 中 OUSD 流动性从 16 日的 35 万美元跌至了 12 万美元。

Web3 去中心化 API 服务 API3 的 Kiyo 发推表示,DeFi 固定利率生成协议 88mph (MPH)似乎存在一个漏洞,一个攻击者利用该漏洞铸造了 10 万美元的 MPH 代币。此后,该漏洞已被修复。

Beosin 评论:本月,DeFi 项目的安全问题令人堪忧。这可能与对协议的核心环节缺乏足够重视有关。「亡羊补牢,为时不晚」,黑客的攻击似乎不会停歇,面对严峻的安全形势,主动防范的心态和行动至关重要。

成都链安认为,安全问题永远需放在首要考虑的位置。其实,项目上线前仅仅做好安全审计是远远不够的。多个案例反映出了这样一个问题,即审计只是安全防范工作的第一步。

在项目发展的过程中,需要时刻对系统问题进行梳理,防止任何「致命」漏洞的产生。否则,当黑客早于内部发现,资产安全很可能危在旦夕。

诈骗跑路 / 加密骗局方面共发生 「5」 起较典型的安全事件

印度社交名媛 Harpreet Singh Sahni 承认,其卷入了一场规模相当大的加密货币骗局,并在澳大利亚一家加密公司向投资者出售加密软件,同时推广 PGUC 代币。该公司网站经常宕机,导致用户无法提现。Sanhi 或将面临约 24 年的监禁。

非营利组织「欧洲基金追回倡议组织」(EFRI)对荷兰银行 ING 控股的 Payvision 公司提起法律诉讼,声称该公司推动了欺诈性投资计划,并曾为加密货币公司提供服务,导致投资者损失超过 7500 万美元。该组织正代表数百名受害者寻求赔偿。根据 EFRI 提供的文件,Cryptopoint 加密交易平台涉嫌与该骗局有关。

北京时间 11 月 5 日消息,伪装成埃隆·马斯克 (Elon Musk) 的一名黑客,在特朗普推文的回复中骗取用户的虚拟货币。黑客使用的账户通过了 Twitter 的认证,用户名显示为「Elon Musk」。他回复了特朗普讨论总统大选形势的推文,在数小时内获利超过 25 万美元。

11 月 9 日消息,有诈骗者利用虚假域名,从不同用户那里窃取了约 110 万枚 XRP,目前价值已超过 28 万美元。

11 月 17 日消息,澳大利亚证券投资委员会(ASIC)宣布,前 BitConnect 发起人 John Louis Anthony Bigatton 因参与被指控诈骗投资者数百万美元的加密货币项目而被起诉。

勒索软件 / 挖矿木马方面共发生 「5」 起较典型的安全事件

11 月 3 日消息,腾讯主机安全(云镜)捕获到,挖矿木马团伙 z0Miner 利用 Weblogic 未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。该团伙通过批量扫描云服务器发现,具有 Weblogic 漏洞的机器被植入了门罗币挖矿木马。

11 月初,游戏巨头 CAPCOM 遭到名为「Ragnar Locker」的组织开发的勒索软件攻击。安全专家 Pancak3lullz 表示,Ragnar Locker 通过加密锁定 CAPCOM 网络上的 2000 台设备,并索要价值 1100 万美元的比特币赎金,而这些数据包括文件夹、护照、销售报告、银行对账单、合同和大量战略信息数据库。

意大利知名酒商 Campari Group (金巴利)在 11 月 1 日遭到黑客勒索攻击。该公司的重要文件、合同和银行信息被窃取。黑客对此勒索价值 1500 万美元的比特币。

比特币勒索软件 Pay2Key 对多家以色列公司进行了攻击。据悉,每家受害公司的泄露数据都被上传到网站上的一个特定文件夹中,并附有攻击者定制的信息。

微博网友「BCH 爱好者 BruceLee」表示,BCHA 链目前处于被攻击状态。攻击是双管齐下的(大概率是同一人所为),而 BCHA 网络中产生了大量空块。

暗网方面共发生 「1」 起较典型的安全事件

美国司法部查获与暗网「丝绸之路」有关的 10 亿美元比特币。其在一份声明中表示,没收的加密货币与暗网丝绸之路有关,而这是美国目前没收的最大规模的加密货币。当局从一名黑客手中缴获了这些比特币,并在声明中称该黑客为 Inpidual X。

其他方面共发生 「5」起较典型的安全事件

在 11 月 2 日上线后仅几个小时,Axion Network 合约中出现了铸造漏洞,已有 50 万美元被盗。他们甚至建议用户避免立即购买 AXN 代币,并远离网络的仪表板。一位推特用户指出,有 790 亿枚 AXN 被意外铸造和出售。

针对 Ledger 钱包所有者的网络钓鱼和诈骗正在增加。其中一个诈骗网站从受害者处获得了超过 1150000 枚 XRP。这一骗局利用钓鱼邮件将用户引导到一个假冒的 Ledger 网站,诱骗受害者下载了冒充为安全更新的恶意软件,从而导致 Ledger 钱包余额悉数被盗。

据 Reddit 消息,一批被「主动管理」的恶意节点试图通过 Sybil 攻击干扰和破坏 Monero 网络,以获取有关 Monero 区块链上用户的信息。

Grin 网站 11 月 9 日遭受 51%攻击。一个未知实体控制了超过 57% 的网络算力。根据 Grin 网站的说法,该团队建议人们等待「关于支付最终性(Finality)的额外确认」。

近期,币安与美国司法部通力合作,对涉嫌 2018 年 3 月发起对币安网站攻击的两名人员提起公诉。

鉴于当前区块链安全领域的新形势「成都链安」温馨提示

从总体上看,11 月区块链安全事件较 10 月有所增加,整体安全事件发生数量处于中等水平。

本月的 DeFi 项目方面,安全事件发生数量较上个月有所增加。在黑客接二连三的攻击下,DeFi 领域的整体安全状况不容乐观。

成都链安在此呼吁广大项目方,在项目上线前需要切实做好一整套的安全筛查工作,并在项目上线后定期进行检测,减少代码漏洞等问题,避免不必要的损失。