盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

2020 年 3 月盤點

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

成都鏈安『區塊鏈安全態勢感知系統』(Beosin-Eagle Eye)數據監測顯示:在過去的 3 月中,各類安全事件時有發生。成都鏈安安全人員統計 3 月發生較典型安全事件超『17』起,涉及以太坊 Defi 安全,交易所安全,詐騙跑路問題以及其他安全事件。從另一個角度來說,則包含了虛擬貨幣資產安全問題用戶數據安全問題

Defi 方面

共發生 『3』 起較典型安全事件

近幾月來,隨着 Defi 金融持續升溫,隨之顯現而出的安全問題也日益突出。距離我們不遠的 bZx 閃電貸二度開花攻擊事件,已經在提醒我們 Defi 的逐漸繁榮景象之下,是否隱藏着巨大的安全風險?

01

2 月 28 日,一名用戶在Curve V4流動性不充足的前提下進行了超大額的兌換,雖然團隊發現了該事件,並立即進行了補救,但這名用戶最終還是損失了14 萬美元資產。

▷具體的事件過程爲:

用戶 A 希望將 Curve V3 資金池中的資金轉移至 V4 資金池,進行了多次穩定幣兌換。由於 VE 資金池中穩定幣 USDC 的資金數量嚴重不足,導致用戶兌換了數量不足的 USDC,最終致使 46 萬美元的資產損失。

由於用戶 A 的操作使得 V4 資金池中 4 種穩定幣數量不平衡,瞬間拉高了 V4 的手續費收益率;用戶 B 觀察到升高的手續費收益率之後,嘗試進行套利,用 3.3 萬美元兌換了 9 萬 BUSD,所有套利操作獲利 3527 美元。

Curve 團隊發現問題之後,立即對 Curve V4 資金池中的資金進行補足。由於各方進行了金額較大且極度不平衡的交易,所以每個人在操作過程中產生了高達 14 萬美元的手續費;最終導致用戶 A 損失 14 萬美元。

導致這起安全事件的原因是Curve 資金池流動性不足,並且由於 Curve 是基於很多項目搭建起來的,所以風險是自下而上累計的。

02

3 月 12 日幣圈暴跌,ETH 一度跌幅達到 58%,以 ETH 作爲抵押資產的MakerDao去中心化 Defi 項目的清算機制幾近崩潰。被清算的 ETH 資產進行拍賣,價高者得。然而在 MakerDao 進行的 3994 場拍賣中,有 1462 場拍賣以 0dai 成交,導致 MakerDao 平臺共計損失62893個 ETH,價值780 萬美元

▷事件前因後果爲:

MakerDao 的最低抵押率爲 150%,用戶抵押 150ETH,可借出 100dai。在 MakerDAO 的原有清算機制設計中,當 ETH 價格暴跌的時候,用戶抵押的 ETH 會被清算,以保證 MakerDao 持續安全運轉;然而當 ETH 跌至 166 美元時,MakerDao 預言機出現故障,導致系統認爲 ETH 價格仍停留在 166 美元,致使許多資產未被清算。

MakerDao 預言機崩潰的原因則是在於預言機是通過實時抓取 ETH 的交易所報價。然而由於當晚 ETH 暴跌,導致以太坊鏈上交易數量急劇增加,讓本來就擁堵的以太坊網絡雪上加霜,最終導致預言機崩潰。

所有被清算的 ETH 進入到拍賣階段,在 MakerDao 原有的設計機制中沒有考慮到兩個問題:

一是不能根據網絡擁堵情況動態而調節曠工費;

二是沒有考慮到參與拍賣的人員數量在極度不足的情況難以設立拍賣底價。

正由於上述兩個原因,導致正常參與拍賣的用戶因擁堵的網絡,出價遲遲不能上鍊;別有用心的用戶則提高曠工費,並以 0dai 的出價參與競拍,最終成功拍下。

03

Defi 項目Synthetix公開一個合約漏洞,不過該合約尚未啓用因此未產生損失。

該漏洞存在於 Synthetix 合約的清算接口。在正常情況下用戶質押 ETH 而獲得 SETH,在抵押期過後進行資產清算,調用清算接口返還 SETH 獲得 ETH;然而該漏洞可導致任意用戶都可以直接 Burn 掉其他用戶抵押的 SETH 進而獲得 ETH。

不過由於該功能尚處於試用期,並未造成用戶實際資產損失。

● Beosin 評論 ●

Defi 項目正在快速發展壯大,據統計截止 2020 年,鎖定在以太坊 Defi 應用中的資產已達到了 10 億美元。Defi 項目的火爆主要來源它的高收益。Defi 又被稱爲『去中心化金融』,開放式金融的基礎,則是高達 8%-10% 的收益率必然會伴隨着巨大的風險。

這是一個快速迭代的領域,因此各方 Defi 團隊開發自己的合約產品也是自由發揮;但並沒有一個統一的、標準的安全方案去遵守,或者說是必須通過嚴格的安全審計,這就導致了各種合約漏洞與相關安全問題層出不窮。

成都鏈安在此建議:任何 Defi 項目方在開發合約時應重視合約安全問題,以應對各種突發情況和各種非正常使用合約情況,從而避免造成損失;同時建議做好相關安全審計工作,藉助專業的區塊鏈安全公司的力量,避免潛在的安全隱患

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

交易所方面

共發生 『2』起較典型安全事件

01

3 月初,美國司法部宣佈制裁涉嫌協助朝鮮黑客組織 Lazarus Group洗幣的黑客田寅寅李家東,並凍結了其所有資產。

黑客田寅寅和李家東曾在數家交易所使用假身份證和篡改後的照片,以繞過 KYC 流程。據統計,兩名中國公民被控從虛擬貨幣交易所黑客手中洗錢超過 1 億美元

02

有情報顯示OMNI 鏈上出現了新型 USDT 假充值攻擊,問題出現在交易所或錢包在檢測 USDT 充值時沒有校驗交易中的propertyid。黑客通過在鏈上發行新的其他代幣,然後對 propertyid 進行僞造,從而實現攻擊。

● Beosin 評論 ●

假充值問題已經是老生常談的問題了。從最開始假充值問題頻發的 EOS,再到後來的以太坊及各種代幣,以及 OMNI 鏈上的 USDT,都曾遭遇過假充值問題。

造成假充值的原因主要在於兩個問題,代幣的真實性驗證和交易的成功與否驗證。因此成都鏈安建議:交易所和錢包等項目方在驗證交易的時候應驗證交易是否成功、代幣是否正確,以避免假充值攻擊

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

詐騙跑路 / 加密騙局 方面

共發生 『4』 起較典型安全事件

01

隨着新冠病毒(COVID-19)在全球的爆發,部分不法分子利用人們對新冠病毒的擔憂,進行與新冠病毒有關的加密騙局。

有騙局假冒世界衛生組織(WHO)和疾病控制與預防中心(CDC)向居民發送郵件和短信,聲稱能夠提供居民所在地區 COVID-19 陽性居民的名單,並索要比特幣(BTC);還有騙局是誘導用戶下載宣稱用於安卓設備的假新冠病毒跟蹤應用程序CovidLock。其實爲惡意軟件,用於鎖定用戶手機,進而進行勒索。

02

BTC 虛假二維碼騙局。有網站聲稱免費將用戶的 BTC 地址映射成二維碼,便於用戶收錢轉賬;生成的二維碼實則爲黑客地址。目前該黑客地址已有超過 0.6BTC 的轉入。

以下爲惡意二維碼生成網站,請注意

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

03

雪碧交易所上線空氣幣PETH,開盤即歸零。所有受害者皆爲前期私募受害者,額度在 80USDT 到 1000USDT 不等,約爲 228 人。初步估計涉及金額約40 萬人民幣,有大學生不幸涉及其中。

04

區塊鏈資金盤『硅谷區塊雞』疑似跑崩盤路。『硅谷區塊雞』是典型的虛擬寵物類資金盤,類似於區塊貓,區塊狗,低價買入寵物,一段時間後高價賣出。此類加密騙局實則爲擊鼓傳花類資金盤,直到無人接盤,即是項目崩盤的時刻。

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

其他方面

共發生 『4』起較典型安全事件

01加密投資基金Trident遭黑客攻擊,26.6 萬用戶數據遭泄露。

02 微博用戶5.23 億用戶數據泄露,並在暗網進行售賣。

03 韓國 N 號房事件。用戶使用 Telegram 和虛擬貨幣進行交流和付款,由於韓國警方決定徹查參與直播間觀看的所有用戶,Upbit、Bithumb、Korbit、Coinone、火幣和 Kucoin等交易所都表示願意配合警方調查用戶信息。

04 以太坊『一鍵發幣』平臺向開發的代幣合約植入後門,在給項目方發幣的同時偷偷轉幣至自己的賬號,待項目方代幣開始交易時再賣掉獲利。

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

▷鑑於當前區塊鏈安全領域的新形勢,『成都鏈安』在此總結:

總的來說,3 月關於區塊鏈的安全事件仍然時有發生。安全事件發生的數量處於一箇中等水平,事件導致的損失也處於一箇中等的水平。然而這並不代表區塊鏈嚴峻的安全形勢趨於緩和,反而表現出所發生的安全事件涉及層面更廣。

**
**

其中包括持續升溫,但問題也日漸顯現的 Defi 項目;仍趨於活躍的暗網市場;洗錢問題;加密騙局;合約漏洞等等,都是當前形勢下難以忽視的安全問題。尤其暗網資金、加密騙局以及洗錢問題等,都是現階段各個交易所趨於合規化首要面臨的關鍵性問題,例如上文提及的田寅寅和李家東洗錢案中,兩人僅通過假身份和假照片的方式就輕易繞過了交易所的 KYC 驗證,從而幫助朝鮮黑客組織 Lazarus Group 洗錢超一億美元。

如何對鏈上交易風險進行持續監測和評估,以支撐 VASP (虛擬資產服務商)、監管部門、執法部門等開展風險管理、合規監管和調查取證等業務,是成都鏈安後續開展區塊鏈生態安全監管和推動合規建設的重要攻堅工作

在不久的將來,成都鏈安將針對這些亟需解決的痛點,推出『虛擬資產反洗錢合規及調查取證系統』——Beosin-AML。作爲成都鏈安『一站式區塊鏈安全服務平臺』核心安全產品之一,Beosin-AML 將全力助力區塊鏈生態應用建立完備的防護體系。

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

▲Beosin-AML 產品界面先覽

• 出品:成都鏈安·安全實驗室

• 製圖 / 編輯 / 排版:Zachary

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

盤點 | 成都鏈安:3 月發生較典型安全事件超『17』起,以太坊 Defi 前景與風險並存,詐騙活動有所增加

來源鏈接:mp.weixin.qq.com