據成都鏈安『區塊鏈安全態勢感知系統』(Beosin-Eagle Eye)數據監測顯示,在過去的3月中,各類安全事件時有發生。成都鏈安安全人員統計3月發生較典型安全事件超『17』起,涉及以太坊Defi安全,交易所安全,詐騙跑路問題以及其他安全事件。從另一個角度來說,則包含了虛擬貨幣資產安全問題和用戶數據安全問題。
Defi方面,共發生『3』起較典型安全事件:
近幾月來,隨著Defi金融持續升溫,隨之顯現而出的安全問題也日益突出。距離我們不遠的bZx閃電貸二度開花攻擊事件,已經在提醒我們Defi的逐漸繁榮景象之下,是否隱藏著巨大的安全風險?
1)2 月 28 日,一名用戶在 Curve V4 流動性不充足的前提下進行了超大額的兌換,雖 然團隊發現了該事件,并立即進行了補救,但這名用戶最終還是損失了 14 萬美元資產。
具體的事件過程為:
用戶A希望將Curve V3資金池中的資金轉移至V4資金池,進行了多次穩定幣兌換。由于VE資金池中穩定幣USDC的資金數量嚴重不足,導致用戶兌換了數量不足的USDC,最終致使46萬美元的資產損失。
成都鏈安:國內天穹數藏宣稱遭黑客攻擊,黑客利用虛假余額購買盜取用戶的藏品:5月17日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,天穹數藏宣稱遭黑客攻擊,藏品售價異常高達近千萬元。根據平臺公告稱:平臺數據遭遇大量惡意攻擊,黑客利用虛假余額購買盜取用戶的藏品,導致數據異常,目前已恢復,平臺已第一時間報警處理。成都鏈安安全團隊初步分析,導致本次攻擊的原因猜測為:攻擊者通過傳統網絡安全攻破了平臺方數據庫,惡意篡改賬戶余額,導致大量用戶高價掛單仍可成交,最終導致數據異常。成都鏈安安全團隊建議:
1、 國內數字藏品平臺方在設計、實現和部署的過程中,要關注通信與網絡安全、主機安全、數據庫安全、移動安全等傳統安全領域,做好安全防護;
2、 國內數字藏品平臺方在運維的過程中,要做好金融風控的設計和實施,避免出現大規模資金異動而不自知的情況;
3、 數字藏品消費者在選擇交易平臺時,需要關注平臺合規風險,注意保障自身財產安全;
4、 數字藏品消費者警惕炒作風險和市場泡沫,避免泡沫破裂時造成財產損失。[2022/5/17 3:22:51]
由于用戶A的操作使得V4資金池中4種穩定幣數量不平衡,瞬間拉高了V4的手續費收益率;用戶B觀察到升高的手續費收益率之后,嘗試進行套利,用3.3萬美元兌換了9萬BUSD,所有套利操作獲利3527美元。
成都鏈安:正在追查Ronin攻擊事件的資金去向:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Axie Infinity側鏈Ronin遭到攻擊,17.36萬枚ETH和2550萬USDC被盜,總金額約合價值為6.15億美元。在這里,成都鏈安對此類跨鏈橋項目給出以下建議:
1.注意簽名服務器的安全性;
2.簽名服務在相關業務下線時,應及時更新策略,關閉對應的服務模塊,并且可以考慮棄用對應的簽名賬戶地址;
3.多簽驗證時,多簽服務之間應該邏輯隔離,獨立對簽名內容進行驗證,不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況;
4.項目方應實時監控項目資金異常情況。[2022/3/30 14:25:56]
Curve團隊發現問題之后,立即對Curve V4資金池中的資金進行補足。由于各方進行了金額較大且極度不平衡的交易,所以每個人在操作過程中產生了高達14萬美元的手續費;最終導致用戶A損失14萬美元。
導致這起安全事件的原因是Curve資金池流動性不足,并且由于Curve是基于很多項目搭建起來的,所以風險是自下而上累計的。
成都鏈安CEO楊霞:DeFi項目方應重視合約安全問題:據官方消息,在由OKEx主辦的“后疫情時代:DeFi的機遇與挑戰”社群活動上,成都鏈安創始人兼CEO楊霞談到最近dForce攻擊事件,她表示,DeFi項目正在快速發展壯大,據我們統計截止2020年,鎖定在以太坊DeFi應用中資產已達到10億美元。DeFi項目火爆主要來源它的高收益。DeFi又被稱為“去中心化金融”,開放式金融基礎,則是高達8%-10%收益率必然會伴隨巨大風險。各方DeFi團隊開發自己合約產品也是自由發揮;但并沒有一個統一的、標準的安全方案去遵守,或者說是必須通過嚴格安全審計,這就導致各種合約漏洞與相關安全問題層出不窮,此次事件項目方就應該進行重入防護:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合約狀態變量,再進行外部調用。任何Defi項目方在開發合約時應重視合約安全問題,以應對各種突發情況和各種非正常使用合約情況,從而避免造成損失;同時建議做好相關安全審計工作,借助專業的區塊鏈安全公司的力量,避免潛在的安全隱患。[2020/4/30]
2)3月12日幣圈暴跌,ETH一度跌幅達到58%,以ETH作為抵押資產的MakerDao去中心化Defi項目的清算機制幾近崩潰。被清算的ETH資產進行拍賣,價高者得。然而在MakerDao進行的3994場拍賣中,有1462場拍賣以0dai成交,導致MakerDao平臺共計損失62893個ETH,價值780萬美元。
動態 | 成都鏈安獲得前海母基金新一輪融資:金色財經報道,2020年2月,成都鏈安科技有限公司正式宣布,獲得前海母基金新一輪融資,以推動區塊鏈安全事業健康有序發展。此前,成都鏈安已在2019年12月獲得由聯想創投、復星高科領投,成創投、任子行戰略投資的數千萬元融資,以及在2018年3月獲得分布式資本的種子輪投資,在2018年9月獲得界石資本、盤古創富的天使輪投資。據了解,前海母基金是目前國內商業化募集母基金,截至目前已完成募集規模285億元。[2020/2/25]
事件前因后果為:
MakerDao的最低抵押率為150%,用戶抵押150ETH,可借出100dai。在MakerDAO的原有清算機制設計中,當ETH價格暴跌的時候,用戶抵押的ETH會被清算,以保證MakerDao持續安全運轉;然而當ETH跌至166美元時,MakerDao預言機出現故障,導致系統認為ETH價格仍停留在166美元,致使許多資產未被清算。
MakerDao預言機崩潰的原因則是在于預言機是通過實時抓取ETH的交易所報價。然而由于當晚ETH暴跌,導致以太坊鏈上交易數量急劇增加,讓本來就擁堵的以太坊網絡雪上加霜,最終導致預言機崩潰。
比原鏈牽手成都鏈安科技,共建區塊鏈安全新生態:近日,比原鏈基金會與成都鏈安科技簽署戰略合作協議。雙方將在區塊鏈安全技術領域達成初步合作意向,未來成都鏈安科技將會為比原鏈提供底層平臺的形式化安全驗證,智能合約的開發、審計、安全驗證等服務,保證比原鏈平臺和智能合約的安全性、功能正確性。[2018/5/10]
所有被清算的ETH進入到拍賣階段,在MakerDao原有的設計機制中沒有考慮到兩個問題:一是不能根據網絡擁堵情況動態而調節曠工費;二是沒有考慮到參與拍賣的人員數量在極度不足的情況難以設立拍賣底價。
正由于上述兩個原因,導致正常參與拍賣的用戶因擁堵的網絡,出價遲遲不能上鏈;別有用心的用戶則提高曠工費,并以0dai的出價參與競拍,最終成功拍下。
3)Defi項目Synthetix公開一個合約漏洞,不過該合約尚未啟用因此未產生損失。
該漏洞存在于Synthetix合約的清算接口。在正常情況下用戶質押ETH而獲得SETH,在抵押期過后進行資產清算,調用清算接口返還SETH獲得ETH;然而該漏洞可導致任意用戶都可以直接Burn掉其他用戶抵押的SETH進而獲得ETH。
不過由于該功能尚處于試用期,并未造成用戶實際資產損失。
Beosin評論:
Defi項目正在快速發展壯大,據統計截止2020年,鎖定在以太坊Defi應用中的資產已達到了10億美元。Defi項目的火爆主要來源它的高收益。Defi又被稱為『去中心化金融』,開放式金融的基礎,則是高達8%-10%的收益率必然會伴隨著巨大的風險。
這是一個快速迭代的領域,因此各方Defi團隊開發自己的合約產品也是自由發揮;但并沒有一個統一的、標準的安全方案去遵守,或者說是必須通過嚴格的安全審計,這就導致了各種合約漏洞與相關安全問題層出不窮。
成都鏈安在此建議,任何Defi項目方在開發合約時應重視合約安全問題,以應對各種突發情況和各種非正常使用合約情況,從而避免造成損失;同時建議做好相關安全審計工作,借助專業的區塊鏈安全公司的力量,避免潛在的安全隱患。
交易所方面,共發生『2』起較典型安全事件:
1)3月初,美國司法部宣布制裁涉嫌協助朝鮮黑客組織Lazarus Group洗幣的黑客田寅寅和李家東,并凍結了其所有資產。
黑客田寅寅和李家東曾在數家交易所使用假身份證和篡改后的照片,以繞過KYC流程。據統計,兩名中國公民被控從虛擬貨幣交易所黑客手中洗錢超過1億美元。
2)有情報顯示OMNI鏈上出現了新型USDT假充值攻擊,問題出現在交易所或錢包在檢測USDT充值時沒有校驗交易中的propertyid。黑客通過在鏈上發行新的其他代幣,然后對propertyid進行偽造,從而實現攻擊。
假充值問題已經是老生常談的問題了。從最開始假充值問題頻發的EOS,再到后來的以太坊及各種代幣,以及OMNI鏈上的USDT,都曾遭遇過假充值問題。
造成假充值的原因主要在于兩個問題,代幣的真實性驗證和交易的成功與否驗證。因此成都鏈安建議,交易所和錢包等項目方在驗證交易的時候應驗證交易是否成功、代幣是否正確,以避免假充值攻擊。
詐騙跑路/加密騙局方面,共發生『4』起較典型安全事件:
1)隨著新冠病(COVID-19)在全球的爆發,部分不法分子利用人們對新冠病的擔憂,進行與新冠病有關的加密騙局。
有騙局假冒世界衛生組織(WHO)和疾病控制與預防中心(CDC)向居民發送郵件和短信,聲稱能夠提供居民所在地區COVID-19陽性居民的名單,并索要比特幣(BTC);還有騙局是誘導用戶下載宣稱用于安卓設備的假新冠病跟蹤應用程序CovidLock。其實為惡意軟件,用于鎖定用戶手機,進而進行勒索。
2)BTC虛假二維碼騙局。有網站聲稱免費將用戶的BTC地址映射成二維碼,便于用戶收錢轉賬;生成的二維碼實則為黑客地址。目前該黑客地址已有超過0.6BTC的轉入。
3)雪碧交易所上線空氣幣PETH,開盤即歸零。所有受害者皆為前期私募受害者,額度在80USDT到1000USDT不等,約為228人。初步估計涉及金額約40萬人民幣,有大學生不幸涉及其中。
4)區塊鏈資金盤『硅谷區塊雞』疑似跑崩盤路。『硅谷區塊雞』是典型的虛擬寵物類資金盤,類似于區塊貓,區塊狗,低價買入寵物,一段時間后高價賣出。此類加密騙局實則為擊鼓傳花類資金盤,直到無人接盤,即是項目崩盤的時刻。
其他方面,共發生『4』起較典型安全事件:
1) 加密投資基金Trident遭黑客攻擊,26.6萬用戶數據遭泄露。
2) 微博用戶5.23億用戶數據泄露,并在暗網進行售賣。
3) 韓國N號房事件。用戶使用Telegram和虛擬貨幣進行交流和付款,由于韓國決定徹查參與直播間觀看的所有用戶,Upbit、Bithumb、Korbit、Coinone、火幣和Kucoin等交易所都表示愿意配合調查用戶信息。
4) 以太坊『一鍵發幣』平臺向開發的代幣合約植入后門,在給項目方發幣的同時偷偷轉幣至自己的賬號,待項目方代幣開始交易時再賣掉獲利。
鑒于當前區塊鏈安全領域的新形勢,『成都鏈安』在此總結:
總的來說,3月關于區塊鏈的安全事件仍然時有發生。安全事件發生的數量處于一個中等水平,事件導致的損失也處于一個中等的水平。然而這并不代表區塊鏈嚴峻的安全形勢趨于緩和,反而表現出所發生的安全事件涉及層面更廣。
其中包括持續升溫,但問題也日漸顯現的Defi項目;仍趨于活躍的暗網市場;洗錢問題;加密騙局;合約漏洞等等,都是當前形勢下難以忽視的安全問題。尤其暗網資金、加密騙局以及洗錢問題等,都是現階段各個交易所趨于合規化首要面臨的關鍵性問題,例如上文提及的田寅寅和李家東洗錢案中,兩人僅通過假身份和假照片的方式就輕易繞過了交易所的KYC驗證,從而幫助朝鮮黑客組織Lazarus Group洗錢超一億美元。
如何對鏈上交易風險進行持續監測和評估,以支撐VASP(虛擬資產服務商)、監管部門、執法部門等開展風險管理、合規監管和調查取證等業務,是成都鏈安后續開展區塊鏈生態
安全監管和推動合規建設的重要攻堅工作。
Tags:EFIDEFIDEFETHgamefi幣種Defilancer token去中心化金融defi什么意思togetherbnb游戲哪里恐怖呀
美國國稅局將允許延遲支付4月15日至7月15日期間100萬美元以下的稅款。加密貨幣交易者也可以利用這一措施來緩解由新冠病爆發導致的市場下跌帶來的壓力.
1900/1/1 0:00:00今日下午4點,BTC價格再次拉升,價格從6300美金一路拉升至最高6900美金上方在回落,漲幅趕超其余主流幣,市值排名前100的幣種,高達97個都處于上漲狀態.
1900/1/1 0:00:00散戶、量化團隊、礦工和 DeFi 用戶如何使用杠桿,并被杠桿所累?在加密貨幣市場經歷了大幅波動的「黑天鵝」事件之后.
1900/1/1 0:00:00大帝怎么看? BTC: 技術上看,比特幣1小時K線圖在布林中軌和上軌窄小區間波動,BOLL敞口總體呈平口姿態。附圖指標,成交量(VOL)小幅放量后又逐漸縮量,RSI數值57,CCI數值85.
1900/1/1 0:00:002020年3月24日,美國紐約地區法院法官Kevin P. Castel裁決支持美國證券交易委員會決定,要求把發起的區塊鏈項目Telegram開放網絡(TON)的代幣GRAM視為證券.
1900/1/1 0:00:003月30日,加密貨幣交易所OKEx宣布取得日本交易牌照;同日,加密貨幣交易所抹茶亦宣布獲得澳大利亞數字貨幣交易牌照.
1900/1/1 0:00:00