6 月區塊鏈生態發生 20 起較爲突出的安全事件,其中超過半數與詐騙跑路有關,Balancer、Bancor 事件使 DeFi 安全再次引發關注。

原文標題:《PeckShield:6 月共發生安全事件 20 起,DeFi 安全問題再次凸顯》
撰文:PeckShield

據 PeckShield 態勢感知平臺數據顯示,過去一個月,整個區塊鏈生態共發生 20 起較爲突出的安全事件,危害程度評級爲「中級」,涉及 DeFi 4 起、錢包安全 1 起,公鏈安全 1 起, 勒索相關 3 起,詐騙跑路 11 起等。

DeFi 安全

6 月份共發生 4 起 DeFi 安全事件,具體如下:

1) 知名 DeFi 平臺 Balancer 流動性池遭黑客閃電貸攻擊,損失 50 萬美金。PeckShield 安全人員介入分析後,迅速定位到問題的本質在於, Balancer 上的通縮型代幣和其智能合約在某些特定場景不兼容,使得攻擊者可以創建價格偏差的 STA/STONK 流通池並從中獲利。

此次黑客實施攻擊共計分了四個步驟,具體而言:

  1. 攻擊者通過閃電貸從 dYdX 平臺借出了 104,331 個 WETH;
  2. 攻擊者反覆執行 swapexactMountin() 調用,直至 Balancer 擁有的大部分 STA 代幣被消耗殆盡,進而開始下一步攻擊。最終 Balancer 僅僅剩餘 0.000000000000000001 個 STA。
  3. 攻擊者利用 STA 代幣和 Balancer 智能合約存在的不兼容性即記賬和餘額的不匹配性實施攻擊,將資金池中的其他資產耗盡,最終共計獲利價值 523,616.52 美元的數字資產。
  4. 攻擊者償還從 dYdX 借出的閃電貸,並捲走了攻擊所得的數字資產。

PeckShield:6 月 DeFi 發生 4 起安全事件,詐騙跑路事件達 11 起圖解黑客攻擊全流程

2) DeBank 工程師 frenzy_hao 今日在推特上表示,黑客再次利用 dYdX 的閃電貸攻擊了 Balancer 部分流動性礦池中的 COMP 交易對,將池子中未領取的 COMP 獎勵取走,共獲利 10.8 ETH。

3) 去中心化協議 Bancor 官方披露了安全漏洞細節,原本應該設置爲私有的函數 safeTransferFrom 被定義爲公開函數,所以導致任何人都可以轉移代幣。慶幸的是,並沒有發生太大安全損失,在發現漏洞之後團隊進行了白帽攻擊,以將資金轉移到安全地址。

4) 6 月 21 日,安全研究員 samczsun 私下披露了目前 AtomicLoans 部署的合約和借貸代理中的兩個漏洞。這兩個漏洞可能導致借款人在特定情況下無需償還貸款即可解鎖部分或全部 BTC 抵押品。

PeckShield 點評:隨着 DeFi 項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與用戶資產的緊密聯繫,DeFi 項目的安全問題非常嚴峻。由於各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平臺交互的過程中出現安全問題,進而腹背受敵。PeckShield 在此建議,DeFi 項目方在上線之前,應當儘可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。

數字錢包安全

6 月份共發生 1 起錢包安全事件:

網絡安全公司 OpenZeppelin 研究人員發文稱,發現以太坊錢包 Argent 上出現高危漏洞。漏洞可使攻擊者接管用戶錢包,特別是那些沒有激活「守護」功能的用戶。與此同時,Argent 團隊很快修復了漏洞,並已經聯繫受影響的用戶。

PeckShield 點評: 數字錢包作爲管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網絡連接的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,用戶也要謹防網絡釣魚,惡意代碼注入等攻擊方式。

公鏈安全

6 月份共發生 1 起公鏈安全事件:

Blockstream 商業側鏈 Liquid Network 被曝存在安全漏洞。由於哈希時間不一致,網絡中的重要賬戶會收到技術漏洞影響,可導致上百美元 BTC 被盜。目前,Blockstream 網絡管理員已通過恢復多簽名合同暫時扣押 Liquid 網絡上存儲的 870 枚比特幣。

PeckShield 點評: 公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,並尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。

勒索相關

6 月份共發生 4 起勒索相關安全事件:

1)安全公司 Unit 42 的研究人員發現一種新的惡意軟件「Lucifer」正在傳播,該軟件是某種舊的加密貨幣勒索軟件的變種。新的變體可用於惡意加密貨幣挖礦,但也可以用來進行 DDoS 攻擊。

2) ST Engineering Aerospace 美國子公司遭遇勒索軟件攻擊,該公司及其合作伙伴被盜 1.5TB 的敏感數據。此前 2 月份消息,黑客 Maze 入侵五家美國律師事務所,要求支付超過 93.3 萬美元 BTC 贖金。此前 3 月份消息,加密勒索組織 Maze 聲稱使用黑客軟件攻擊保險業巨頭 Chubb。

3) 英國肯特郡一公司 Kent Commercial Services (KCS)近期遭遇黑客勒索攻擊,黑客要求 80 萬英鎊的比特幣贖金,否則將在暗網上泄露了該公司的數據。KCS 方面表示,該公司並沒有支付贖金,也沒有涉及納稅人的個人數據被盜。

4)針對 2 起異常天價以太坊手續費轉賬行爲,PeckShield 安全公司研究人員認爲,這可能是來自韓國的山寨交易所 GoodCycle 遭到了黑客勒索攻擊。黑客通過釣魚攻擊等方式獲取了該交易所的部分權限,因此採用揮霍 GasPrice 的行爲對其實施勒索。(具體請參看 以太坊天價手續費轉賬背後:一場黑客發起的 GasPrice 勒索攻擊?以太坊天價手續費轉賬真相:資金盤項目 GoodCycle 上演誤殺瞞天記!

PeckShield 點評: 勒索類安全事件一直是影響整個互聯網生態的重大隱患,不侷限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。

詐騙跑路事件

除上述之外,6 月份還發生了多起詐騙跑路事件值得警惕,例如:

1)據 PeckShield 旗下數字資產可視化追蹤平臺 CoinHolmes 數據顯示,06 月 22 日下午起,PlusToken 跑路資金髮生異動,26,316,339 個 EOS,2,503 個 BTC;789,533 個 ETH 被轉移。

2)韓國首爾警方今日發起一項調查,針對兩家涉及 ETH 犯罪的無名數字貨幣交易所,犯罪分子採用多層次龐氏騙局手法騙取受害人的數字貨幣。已有 433 名投資者向警方投訴,尚有 1000 名投資者未與警方取得聯繫,涉案 ETH 價值 4150 萬美元。

3)中國媒體廣泛報道的伊朗交易所 bitisis 已經跑路,多個消息源指出其背後實控人是中國詐騙分子,掌握多個宣稱能搬磚套利的海外交易所吸納散戶資金再捲款跑路。目前各地警方已經立案。該交易所將用戶資產轉移到三個地址,其中有平臺已緊急將相關地址凍結。

4) Bibox 官方公告,有不法分子山寨 Bibox APP、冒充 Bibox 客服,誘導用戶交易,請用戶提高警惕。

5) 火幣全球站接到舉報,有釣魚詐騙網站冒充火幣發佈公告,在社羣傳播「ERD 空投活動」。火幣全球站鄭重聲明,火幣未發佈任何關於「ERD 空投活動」,請廣大交易者提高警惕,認清火幣官方網站地址。

6) 抹茶交易所發公告稱,近日,有不法分子冒充多家交易所客服人員,並創建詐騙網站誘導用戶交易,或要求向詐騙網站轉入數字資產。MXC 抹茶沒有開通官方微信號,微信上任何「 MXC 抹茶」賬號均非官方賬號。如遇到以 MXC 抹茶名義聯繫用戶並要求向其他平臺「轉賬數字資產」等行爲,可通過 MXC 抹茶官網客服通道對其進行身份覈驗。

7)近日,山東煙臺警方在深圳、惠州、合肥三地同時收網,成功打掉一個以「虛擬貨幣投資」爲幌子,利用假投資平臺實施詐騙的犯罪團伙,涉案金額 1,400 餘萬元。

8)山東省菏澤市鉅野縣公安局近日破獲一起特大電信網絡詐騙案,打掉多個涉嫌以網貸和投資「比特幣」爲名實施電信網絡詐騙的團伙,抓獲犯罪嫌疑人 83 名,扣押、凍結涉案資金 2700 多萬元,目前 30 名主要犯罪嫌疑人已被鉅野警方依法移送到檢察機關審查起訴。

9)近期一名南寧 OTC 商疑似協助電信詐騙犯罪分子洗錢,遭到警方調查抓獲,側面說明 USDT、加密貨幣與電信詐騙在中國的結合愈加緊密,可能對普通用戶帶來更多的凍卡風險,OTC 商也需要加大甄別力度。

10)據此前報道,不法分子正在 YouTube 上利用特斯拉創始人 Elon Musk 及其公司 SpaceX 的名字進行比特幣詐騙。據統計,總共有 214 個 BTC 被髮送到此類詐騙地址上,價值超過 200 萬美元。

11 ) DeFi 貨幣市場協議 DMM 官方推特表示,在公募期間其電報羣遭到惡意劫持,攻擊者冒名頂替了 DMM 基金會,目的是爲了竊取資金。對於在代幣銷售中被騙的人補償了相應 DMG 數額,希望確保所有資金損失的人都得到了對應補償。

PeckShield 點評: 因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。

來源鏈接:mp.weixin.qq.com