盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

2020 年 3 月盘点

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

成都链安『区块链安全态势感知系统』(Beosin-Eagle Eye)数据监测显示:在过去的 3 月中,各类安全事件时有发生。成都链安安全人员统计 3 月发生较典型安全事件超『17』起,涉及以太坊 Defi 安全,交易所安全,诈骗跑路问题以及其他安全事件。从另一个角度来说,则包含了虚拟货币资产安全问题用户数据安全问题

Defi 方面

共发生 『3』 起较典型安全事件

近几月来,随着 Defi 金融持续升温,随之显现而出的安全问题也日益突出。距离我们不远的 bZx 闪电贷二度开花攻击事件,已经在提醒我们 Defi 的逐渐繁荣景象之下,是否隐藏着巨大的安全风险?

01

2 月 28 日,一名用户在Curve V4流动性不充足的前提下进行了超大额的兑换,虽然团队发现了该事件,并立即进行了补救,但这名用户最终还是损失了14 万美元资产。

▷具体的事件过程为:

用户 A 希望将 Curve V3 资金池中的资金转移至 V4 资金池,进行了多次稳定币兑换。由于 VE 资金池中稳定币 USDC 的资金数量严重不足,导致用户兑换了数量不足的 USDC,最终致使 46 万美元的资产损失。

由于用户 A 的操作使得 V4 资金池中 4 种稳定币数量不平衡,瞬间拉高了 V4 的手续费收益率;用户 B 观察到升高的手续费收益率之后,尝试进行套利,用 3.3 万美元兑换了 9 万 BUSD,所有套利操作获利 3527 美元。

Curve 团队发现问题之后,立即对 Curve V4 资金池中的资金进行补足。由于各方进行了金额较大且极度不平衡的交易,所以每个人在操作过程中产生了高达 14 万美元的手续费;最终导致用户 A 损失 14 万美元。

导致这起安全事件的原因是Curve 资金池流动性不足,并且由于 Curve 是基于很多项目搭建起来的,所以风险是自下而上累计的。

02

3 月 12 日币圈暴跌,ETH 一度跌幅达到 58%,以 ETH 作为抵押资产的MakerDao去中心化 Defi 项目的清算机制几近崩溃。被清算的 ETH 资产进行拍卖,价高者得。然而在 MakerDao 进行的 3994 场拍卖中,有 1462 场拍卖以 0dai 成交,导致 MakerDao 平台共计损失62893个 ETH,价值780 万美元

▷事件前因后果为:

MakerDao 的最低抵押率为 150%,用户抵押 150ETH,可借出 100dai。在 MakerDAO 的原有清算机制设计中,当 ETH 价格暴跌的时候,用户抵押的 ETH 会被清算,以保证 MakerDao 持续安全运转;然而当 ETH 跌至 166 美元时,MakerDao 预言机出现故障,导致系统认为 ETH 价格仍停留在 166 美元,致使许多资产未被清算。

MakerDao 预言机崩溃的原因则是在于预言机是通过实时抓取 ETH 的交易所报价。然而由于当晚 ETH 暴跌,导致以太坊链上交易数量急剧增加,让本来就拥堵的以太坊网络雪上加霜,最终导致预言机崩溃。

所有被清算的 ETH 进入到拍卖阶段,在 MakerDao 原有的设计机制中没有考虑到两个问题:

一是不能根据网络拥堵情况动态而调节旷工费;

二是没有考虑到参与拍卖的人员数量在极度不足的情况难以设立拍卖底价。

正由于上述两个原因,导致正常参与拍卖的用户因拥堵的网络,出价迟迟不能上链;别有用心的用户则提高旷工费,并以 0dai 的出价参与竞拍,最终成功拍下。

03

Defi 项目Synthetix公开一个合约漏洞,不过该合约尚未启用因此未产生损失。

该漏洞存在于 Synthetix 合约的清算接口。在正常情况下用户质押 ETH 而获得 SETH,在抵押期过后进行资产清算,调用清算接口返还 SETH 获得 ETH;然而该漏洞可导致任意用户都可以直接 Burn 掉其他用户抵押的 SETH 进而获得 ETH。

不过由于该功能尚处于试用期,并未造成用户实际资产损失。

● Beosin 评论 ●

Defi 项目正在快速发展壮大,据统计截止 2020 年,锁定在以太坊 Defi 应用中的资产已达到了 10 亿美元。Defi 项目的火爆主要来源它的高收益。Defi 又被称为『去中心化金融』,开放式金融的基础,则是高达 8%-10% 的收益率必然会伴随着巨大的风险。

这是一个快速迭代的领域,因此各方 Defi 团队开发自己的合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格的安全审计,这就导致了各种合约漏洞与相关安全问题层出不穷。

成都链安在此建议:任何 Defi 项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

交易所方面

共发生 『2』起较典型安全事件

01

3 月初,美国司法部宣布制裁涉嫌协助朝鲜黑客组织 Lazarus Group洗币的黑客田寅寅李家东,并冻结了其所有资产。

黑客田寅寅和李家东曾在数家交易所使用假身份证和篡改后的照片,以绕过 KYC 流程。据统计,两名中国公民被控从虚拟货币交易所黑客手中洗钱超过 1 亿美元

02

有情报显示OMNI 链上出现了新型 USDT 假充值攻击,问题出现在交易所或钱包在检测 USDT 充值时没有校验交易中的propertyid。黑客通过在链上发行新的其他代币,然后对 propertyid 进行伪造,从而实现攻击。

● Beosin 评论 ●

假充值问题已经是老生常谈的问题了。从最开始假充值问题频发的 EOS,再到后来的以太坊及各种代币,以及 OMNI 链上的 USDT,都曾遭遇过假充值问题。

造成假充值的原因主要在于两个问题,代币的真实性验证和交易的成功与否验证。因此成都链安建议:交易所和钱包等项目方在验证交易的时候应验证交易是否成功、代币是否正确,以避免假充值攻击

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

诈骗跑路 / 加密骗局 方面

共发生 『4』 起较典型安全事件

01

随着新冠病毒(COVID-19)在全球的爆发,部分不法分子利用人们对新冠病毒的担忧,进行与新冠病毒有关的加密骗局。

有骗局假冒世界卫生组织(WHO)和疾病控制与预防中心(CDC)向居民发送邮件和短信,声称能够提供居民所在地区 COVID-19 阳性居民的名单,并索要比特币(BTC);还有骗局是诱导用户下载宣称用于安卓设备的假新冠病毒跟踪应用程序CovidLock。其实为恶意软件,用于锁定用户手机,进而进行勒索。

02

BTC 虚假二维码骗局。有网站声称免费将用户的 BTC 地址映射成二维码,便于用户收钱转账;生成的二维码实则为黑客地址。目前该黑客地址已有超过 0.6BTC 的转入。

以下为恶意二维码生成网站,请注意

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

03

雪碧交易所上线空气币PETH,开盘即归零。所有受害者皆为前期私募受害者,额度在 80USDT 到 1000USDT 不等,约为 228 人。初步估计涉及金额约40 万人民币,有大学生不幸涉及其中。

04

区块链资金盘『硅谷区块鸡』疑似跑崩盘路。『硅谷区块鸡』是典型的虚拟宠物类资金盘,类似于区块猫,区块狗,低价买入宠物,一段时间后高价卖出。此类加密骗局实则为击鼓传花类资金盘,直到无人接盘,即是项目崩盘的时刻。

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

其他方面

共发生 『4』起较典型安全事件

01加密投资基金Trident遭黑客攻击,26.6 万用户数据遭泄露。

02 微博用户5.23 亿用户数据泄露,并在暗网进行售卖。

03 韩国 N 号房事件。用户使用 Telegram 和虚拟货币进行交流和付款,由于韩国警方决定彻查参与直播间观看的所有用户,Upbit、Bithumb、Korbit、Coinone、火币和 Kucoin等交易所都表示愿意配合警方调查用户信息。

04 以太坊『一键发币』平台向开发的代币合约植入后门,在给项目方发币的同时偷偷转币至自己的账号,待项目方代币开始交易时再卖掉获利。

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

▷鉴于当前区块链安全领域的新形势,『成都链安』在此总结:

总的来说,3 月关于区块链的安全事件仍然时有发生。安全事件发生的数量处于一个中等水平,事件导致的损失也处于一个中等的水平。然而这并不代表区块链严峻的安全形势趋于缓和,反而表现出所发生的安全事件涉及层面更广。

**
**

其中包括持续升温,但问题也日渐显现的 Defi 项目;仍趋于活跃的暗网市场;洗钱问题;加密骗局;合约漏洞等等,都是当前形势下难以忽视的安全问题。尤其暗网资金、加密骗局以及洗钱问题等,都是现阶段各个交易所趋于合规化首要面临的关键性问题,例如上文提及的田寅寅和李家东洗钱案中,两人仅通过假身份和假照片的方式就轻易绕过了交易所的 KYC 验证,从而帮助朝鲜黑客组织 Lazarus Group 洗钱超一亿美元。

如何对链上交易风险进行持续监测和评估,以支撑 VASP (虚拟资产服务商)、监管部门、执法部门等开展风险管理、合规监管和调查取证等业务,是成都链安后续开展区块链生态安全监管和推动合规建设的重要攻坚工作

在不久的将来,成都链安将针对这些亟需解决的痛点,推出『虚拟资产反洗钱合规及调查取证系统』——Beosin-AML。作为成都链安『一站式区块链安全服务平台』核心安全产品之一,Beosin-AML 将全力助力区块链生态应用建立完备的防护体系。

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

▲Beosin-AML 产品界面先览

• 出品:成都链安·安全实验室

• 制图 / 编辑 / 排版:Zachary

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

盘点 | 成都链安:3 月发生较典型安全事件超『17』起,以太坊 Defi 前景与风险并存,诈骗活动有所增加

来源链接:mp.weixin.qq.com