成都鏈安：1月發生典型安全事件超25起，整體風險評級為“中”_區塊鏈:EFI

據成都鏈安安全輿情監控數據顯示：2021年1月，據不完全統計，整個區塊鏈生態發生的典型安全事件超25起，所造成的經濟損失依然主要覆蓋在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網、其他等幾個方面。總的來看，2021年1月整體安全風險評級為，仍然不可掉以輕心。相較于2020年12月，1月所發生的典型安全事件的數量有所減少；然而，在，事件數量依然居高不下，值得行業各方從業者重點關注。隨著區塊鏈技術與虛擬資產的普及程度不斷上升，而大眾的相關知識儲備卻并未得到同等程度的提高，導致不少投機者及詐騙者開始炮制各類騙局，進而導致該領域安全事件數量呈高發態勢。以下為本月安全月報的詳細事項。交易所方面：共發生『2』起典型安全事件

01俄羅斯虛擬資產交易所Livecoin宣布將終止其服務，并敦促其客戶繼續提款。02日本虛擬資產交易所Liquid近日公布針對去年11月因遭入侵而用戶數據泄漏的最終調查結果。Liquid表示，包括電子郵件地址，名稱，加密密碼，API密鑰等169782項用戶數據信息已泄漏。DeFi方面：共發生『3』起典型安全事件

成都鏈安：bDollar項目遭受價格操控攻擊，目前攻擊者獲利2381BNB存放于攻擊合約中:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，bDollar項目遭受價格操控攻擊。攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊交易eth：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a

目前攻擊者獲利2381BNB，存放于攻擊合約中。[2022/5/21 3:32:53]

011月2日，推特用戶NourHaridy發推表示，yCredit的智能合約容易受到攻擊，或導致所有用戶資金受到損失；并建議已使用ETH存入合約或在Sushiswap上購買了yCredit的用戶立即將其撤回或出售，隨后其將發布漏洞利用程序。02picklepDAI池的黑客地址繼1月8日異動后，再次于1月14日發生異動。此前黑客地址轉移了1500萬DAI到5個新地址，現除了地址，其余四個地址均發生異動，共轉入400萬DAI。031月27日，SushiSwap的DIGG-WBTC交易對的手續費被攻擊者通過特殊的手段盜取。詐騙跑路/加密騙局方面：共發生『6』起典型安全事件

成都鏈安：國內天穹數藏宣稱遭黑客攻擊，黑客利用虛假余額購買盜取用戶的藏品:5月17日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，天穹數藏宣稱遭黑客攻擊，藏品售價異常高達近千萬元。根據平臺公告稱：平臺數據遭遇大量惡意攻擊，黑客利用虛假余額購買盜取用戶的藏品，導致數據異常，目前已恢復，平臺已第一時間報警處理。成都鏈安安全團隊初步分析，導致本次攻擊的原因猜測為：攻擊者通過傳統網絡安全攻破了平臺方數據庫，惡意篡改賬戶余額，導致大量用戶高價掛單仍可成交，最終導致數據異常。成都鏈安安全團隊建議：

1、 國內數字藏品平臺方在設計、實現和部署的過程中，要關注通信與網絡安全、主機安全、數據庫安全、移動安全等傳統安全領域，做好安全防護；

2、 國內數字藏品平臺方在運維的過程中，要做好金融風控的設計和實施，避免出現大規模資金異動而不自知的情況；

3、 數字藏品消費者在選擇交易平臺時，需要關注平臺合規風險，注意保障自身財產安全；

4、 數字藏品消費者警惕炒作風險和市場泡沫，避免泡沫破裂時造成財產損失。[2022/5/17 3:22:51]

011月1日，印度于英迪拉·甘地國際機場逮捕一名60歲男子UmeshVerma，罪名是通過加密騙局詐騙至少45人，詐騙金額共計2.5億盧比。02美國聯邦調查局正在調查一起龐氏騙局，3名嫌疑人通過承諾虛擬資產和其他投資回報從投資者處竊取了約2800萬美元。031月9日，西班牙拘留了4名不同國籍的人，因其涉嫌實施一起價值約1500萬美元的加密龐氏騙局。04在過去幾周內，假冒特斯拉首席執行官埃隆·馬斯克個人資料的推特虛擬資產贈品騙局有所增加。到目前為止，這些騙局已經獲得了超過58萬美元的BTC。05加利福尼亞州一男子聲稱，在SIM交換加密騙局中損失了約27000美元的BTC。06近日，網傳多名流動性“礦工”稱幣安智能鏈上又一個DeFi“土礦”popcornswap跑路，項目方卷走近48000個BNB，價值約215萬美金。數日內還有3個項目跑路。目前SharkYield跑路疑似帶走了6000個BNB。

成都鏈安：Li.Finance遭受攻擊事件分析:金色財經消息，據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DEX聚合協議Li.Finance遭黑客攻擊損失約60萬美元，關于本次攻擊，成都鏈安團隊第一時間進行了分析發現：被攻擊合約中的swapAndStartBridgeTokensViaCBridge函數中存在call注入攻擊，可通過構造惡意的數據(_swapData)控制call調用的參數。在本次攻擊事件中，攻擊者惡意構建callTo地址為對應的代幣合約地址，并調用代幣合約的transferFrom函數轉走受害地址的代幣。[2022/3/21 14:08:55]

Beosin評論從近幾個月的安全形勢來看，所發生的事件數量呈現出穩步爬升的走向，并且所造成的經濟損失遠遠超于來自黑客的攻擊行為和盜竊行為。與此同時，無論是詐騙行為，還是跑路行為，涉案范圍都通過互聯網進而波及全球。針對如此嚴峻的安全形勢，作為用戶和投資者，更需要擦亮雙眼，謹慎甄別。勒索軟件/挖礦木馬方面：共發生『5』起典型安全事件

成都鏈安CEO楊霞：DeFi項目方應重視合約安全問題:據官方消息，在由OKEx主辦的“后疫情時代：DeFi的機遇與挑戰”社群活動上，成都鏈安創始人兼CEO楊霞談到最近dForce攻擊事件，她表示，DeFi項目正在快速發展壯大，據我們統計截止2020年，鎖定在以太坊DeFi應用中資產已達到10億美元。DeFi項目火爆主要來源它的高收益。DeFi又被稱為“去中心化金融”，開放式金融基礎，則是高達8%-10%收益率必然會伴隨巨大風險。各方DeFi團隊開發自己合約產品也是自由發揮；但并沒有一個統一的、標準的安全方案去遵守，或者說是必須通過嚴格安全審計，這就導致各種合約漏洞與相關安全問題層出不窮，此次事件項目方就應該進行重入防護：比如使用OpenZeppelin的ReentrancyGuard，另一方面先修改本合約狀態變量，再進行外部調用。任何Defi項目方在開發合約時應重視合約安全問題，以應對各種突發情況和各種非正常使用合約情況，從而避免造成損失；同時建議做好相關安全審計工作，借助專業的區塊鏈安全公司的力量，避免潛在的安全隱患。[2020/4/30]

01某網站所有者收到電子郵件威脅稱，需要發表對于coinmama.com的5星評論，并要點贊或分享兩次。如果收件人在48小時內不完成這些事情，勒索者聲稱將從網站創建數以百萬計的反向鏈接到收件人網站，破壞其聲譽。02在世界各地的公司遭到入侵后，據稱Ryuk勒索軟件的運營者從贖金支付中賺取價值超過1.5億美元的BTC。03網絡安全公司Intezer發現了一種新型惡意病ElectroRAT，該病可以在Windows，Linux和macOS上運行以竊取虛擬資產。該惡意程序已經活躍了1年多，并通過專門的論壇和市場營銷活動進行推廣，Intezer估計下載了該惡意軟件的受害者數量約為6500人。041月11日，美國密歇根州稱，一名匿名人士向州長GretchenWhitmer和該州雇員郵寄死亡威脅信，試圖收取價值約200萬美元的BTC。05智能化解決方案供應商Radware的5名客戶在去年12月和今年1月收到了勒索信。威脅稱，如果他們不向一個組織支付5個BTC，就會遭到DDoS攻擊。暗網方面：共發生『4』起典型安全事件

比原鏈牽手成都鏈安科技，共建區塊鏈安全新生態:近日，比原鏈基金會與成都鏈安科技簽署戰略合作協議。雙方將在區塊鏈安全技術領域達成初步合作意向，未來成都鏈安科技將會為比原鏈提供底層平臺的形式化安全驗證，智能合約的開發、審計、安全驗證等服務，保證比原鏈平臺和智能合約的安全性、功能正確性。[2018/5/10]

01暗網論壇Dread的管理員Hugbunter稱，目前所有v3洋蔥地址均已無法訪問，事故發生原因未知，但可能會對整個網絡造成巨大攻擊。021月11日，德國切斷并關閉了被認為是世界上最大的暗網交易平臺服務器“黑市”，該非法交易平臺上賣家超過2400個，客戶近50萬。03網絡安全公司CheckPoint在暗網上發現了許多銷售Covid-19疫苗的賣家，賣方要求用比特幣進行付款；但在付款后，并沒有交付貨物。04暗網Joker'sStash將于下個月關閉，暗網網絡安全公司GeminiAdvisory的報告顯示，該網站過去一年的比特幣收入超過10億美元。

Beosin評論本月，所發生的事件數量有所提升，對從事網絡安全及區塊鏈安全的各方從業者敲響警鐘，不能忽視整個行業生態的安全建設。長久以來，暗網充斥著各類非法犯罪行為，無形中威脅著國際社會的穩定與安全。加強暗網治理有關技術，提升全球治理和管理暗網的整體實力，是必須采取的高效措施。其他方面：共發生『5』起典型安全事件

01英國一IT工程師不小心將藏有7500個BTC私鑰的硬盤當垃圾扔掉，按照3.2萬美元估算約為2.4億美元。02據FinancialTribune一份報告顯示，伊朗當局關閉了1620個非法虛擬資產礦場，在過去18個月中，這些礦場共消耗了250兆瓦的電力。03因極右翼極端分子在BitTorrent旗下流媒體平臺DLive直播美國國會大廈的暴力暴動事件，DLive遭到抨擊。有用戶指控稱，DLive自成立以來，已經通過將虛擬資產內置在網站提供的服務中，向極端分子支付了數十萬美元資金。04去中心化虛擬游戲平臺沙盒游戲TheSandbox表示，TheSandboxASSET智能合約很容易出現重復問題，目前還沒有惡意用戶利用該漏洞進行攻擊，其他所有智能合約均不受影響，SAND和LAND智能合約也沒有風險。051月27日，Coinbase錢包工程主管PeteKim發推稱，如果在蘋果iOS設備上使用移動加密錢包，一定要盡快更新iOS系統。因為iOS系統更新包含一個遠程代碼執行漏洞的修復。該漏洞可能會威脅移動加密錢包的安全。

鑒于當前區塊鏈生態的安全態勢，『成都鏈安』在此總結：盡管2021辛丑牛年的新春佳節來臨在即，但黑客、詐騙者、攻擊者等犯罪分子并不會因為春節到來而減緩非法行為的推進步伐。相反，愈逢佳節，犯罪分子愈將抓住大眾疏于防范的心態，潛藏的安全風險也很有可能集中性爆發。因此，越是臨近春節，越要筑牢安全防線。雖然整體上來看，2021年1月的區塊鏈整個生態的典型安全事件較2020年12月呈有所下降，整體安全風險也從回落到，但依然可以清楚地看到，在、、仍舊態勢嚴峻。尤其是，涉案人員多、涉案范圍廣、涉案金額高，全球范圍內各國都已開始重視詐騙跑路及加密騙局所造成的惡劣影響，并相繼發布關于虛擬資產安全監管和合規的政策法規，以推動整個區塊鏈生態監管進程建設。在此，成都鏈安提醒廣大用戶和投資者在項目選擇階段，切記一定要謹慎，不要被所謂的“利益”蒙蔽了雙眼，天下沒有免費的午餐，餡餅也不會不偏不倚地恰好掉進自己的嘴里，切莫因小失大。在春節期間，更要提高自身安全防騙意識，拋棄不切實際的心態。

Tags：區塊鏈DEFIDEFEFI區塊鏈證據保全怎么操作視頻BTCDEFIWDEFILibre DeFi

FIL