4 月安全事件较 3 月有所减少,但在以太坊 DeFi 方面形势依旧严峻,仍然有 3 起安全事件发生。

原文标题:《盘点 | 成都链安:4 月发生较典型安全事件超『12』起,以太坊 Defi 接连暴雷,各类诈骗依然活跃》
撰文:成都链安科技

据成都链安「区块链安全态势感知平台」(Beosin-Eagle Eye)数据监测显示:在过去的 4 月中,各类安全事件仍然时有发生。成都链安安全人员统计 4 月发生较典型安全事件超 12 起,DeFi 安全问题仍然突出。

DeFi 方面,共发生 3 起较典型安全事件

  1. 4 月 18 日,Uniswap 上的 imBTC 池遭到黑客重入攻击,黑客利用 Uniswap 和 ERC777 的兼容性问题,在进行 ETH-imBTC 交易时,利用 ERC777 中的多次迭代调用 tokensToSend 来实现重入攻击,黑客在此次攻击中获得 1278 枚 ETH 和一部分 imBTC,总计损失超过 30 万美元。
  2. 4 月 19 日,去中心化借贷平台 Lendf.me 遭到类似 Uniswap 事件的重入攻击,攻击者重复调用 supply() 函数,并在第二次 supply() 时调用了 Lendf.me 的 withdraw() 函数,直接将先前存入的 imBTC 取出,当 supply() 执行返回的时候,账户余额也并未被重置。攻击者通过不断修改提高自己 imBTC 的抵押额,最终从交易对中借出所有可借的币种资金。黑客在此次攻击中获得超过 2400 万美元的各币种资金,不过黑客最终迫于各方的压力,尽数归还了各个币种的资金。
  3. 4 月 23 日,刚刚上线不久的期权交易协议 Hegic,由于代码中的一个错误,将价值 28000 美元的用户资金锁定在了一个过期的期权合约中,永久无法访问。

Beosin 评论:

2 月份的 bZx 事件仍时隔不远,3 月份的 MakerDAO 事件仍历历在目,动荡的以太坊 DeFi 市场在 4 月仍然难逃厄运,Lendf.me 和 Uniswap 都遭到了重入攻击,损失惨重。如今 DeFi 市场各个平台的 DeFi 协议层出不穷,没有一个引导的标准,导致百花齐放;这就如同一个横七竖八拼凑而成,并且越拼越大的乐高积木,一旦某个环节出现了问题,都将会带来很大的影响。

成都链安在此建议:

  1. 项目的合约代码不仅要功能完整,简洁清晰,更要遵守安全规范,一些不规范的代码逻辑极大可能会造成安全问题。
  2. 项目上线前应通过自身或者借助第三方安全公司的力量,对合约代码进行完整和专业的安全审计,尽可能地修复问题,避免风险。
  3. 项目运行时则应当设立应急预案或者风控机制,在遇到异常情况时能及时阻断,避免造成进一步的损失。

交易所方面,共发生 1 起较典型安全事件

4 月 29 日,自中午开始,币安交易所遭到攻击并导致合约页面大范围卡顿,甚至打不开页面。

暗网方面,共发生 3 起较典型安全事件

  1. 4 月 9 日,电子邮件服务提供商 Email.it 遭黑客入侵,60 万用户数据被挂暗网。
  2. 4 月 23 日,2.67 亿个 Facebook 帐户信息在暗网以 600 美元的售价出售,账户信息包括姓名、邮箱地址、电话、社会身份、性别等。
  3. 4 月 29 日,一名黑客将慧影医疗公司的新冠检测技术和数据在暗网上以 4 个比特币的价格进行出售。

诈骗跑路 / 加密骗局方面,共发生 4 起较典型安全事件

  1. 4 月 19 日,运营超过一年半的「EOS 生态」资金盘项目跑路,其充币地址 w.io 频繁向其他地址转账,露出转移资产套现的意图。截至 4 月 22 日,w.io 账户余额仅剩 1682 枚 EOS。链上数据追踪显示,「EOS 生态」的资金最终汇集到 4 个主要的 EOS 地址,总计超过 2000 万 EOS,涉及金额超 3.6 亿元。
  2. Telegram 的「搬砖套利」骗局仍在流行。近期又有多名用户被骗超过 900ETH。尽管无论是 Huobi 方面还是 imtoken 钱包方都曾发表过官方声明,然而此类骗局还是时常有用户上当受骗。
  3. 钓鱼账号创建的虚假 imtoken 官方电报群充当官方技术人员的身份,引导「搬砖套利」。被骗用户在指定网站输入私钥进行所谓的「交易回滚」操作,遭到二次诈骗,被骗用户资金已经部分流入交易所。
  4. EOS 主网上近期存在冒充 Voice 官方账号诱骗用户充值的骗局,目前两个骗局的充币地址月超过 9000EOS。

其他方面,共发生 1 起较典型安全事件

稳定币网络 PegNet 本周遭到了「51% 攻击」,四名攻击者合计占有了高达 70% 的哈希率,在提交了虚假的价格数据后,将自己钱包中的余额由 11 美元变更为 670 万美元。

总结

总的来说,较之 3 月发生的安全事件情况,4 月所发生的的安全事件有所减少。但就个别方面来说,却是呈现上升的趋势。在以太坊 DeFi 方面,形势依然严峻,4 月仍然有 3 起安全事件发生。其中在 Lendf.me 被盗事件中,虽然黑客返还了所有盗取资金,但是如此巨大的资金被盗事件发生,还是应给各方敲响一个警钟:即使是一个不起眼的微小错误,就很有可能成为掏空项目方资金池的导火索。

另外,我们在此提醒,对于市场上所有的 DeFi 项目方而言,当暴露出安全风险的时候,项目方应及时进行自查,排查出潜伏的安全漏洞与安全风险是非常值得,也是非常必要的举措。当然,借助专业的区块链安全公司的力量,以寻求更为全面和细致的排查更能防患于未然。

除此以外需要注意的是,4 月所收到的相关加密骗局情报有所上升,无论是熟悉 TelegramT「搬砖套利」以及衍生的一系列投资骗局以及 EOS 公链上的假冒 Voice 骗局,都利用了人们贪图小便宜的心理。作为用户,只要不抱有贪图小利的心态,则可以避免被骗。

来源链接:www.lianantech.com