据 PeckShield 态势感知渠道数据显现,曩昔一个月,整个区块链生态共发 35 起较为杰出的 DeFi 安全事情,危害程度评级为「高级」。涉及 DeFi 相关 13 起、钱包安全 2 起、勒索相关 5 起,欺诈事情 10 起、其他进犯 5 起。
黑客暴虐,DeFi为何沦为一小撮人的狂欢?
牛市来临之后,DeFi(去中心化金融)一度被誉为支撑加密钱银成为今年真实“头号”出财物品的关键。
据 DappTotal 数据显现,11月以来,DeFi 的总锁仓量突破新高。
整个 DeFi 生态一副欣欣向荣的现象。但是,另一边,DeFi 正堕入弱代码流行病的困扰。据 PeckShield 计算,11月共发生逾 13 起与 DeFi 相关的安全事情,形成丢掉近 5000万 美元。
11月1日,YFI 发表一个新的闪电贷安全缝隙,团队在 1.5 个小时后移除该缝隙;
11月2日,主网仅上线几个小时的 Axion Network 遭到黑客进犯,黑客运用其质押相关缝隙铸造 790亿 枚代币 AXN,导致其代币价格短时下跌 100%,而且丢掉 50万 美元;
11月6日,PercentFinance 因呈现缝隙而冻住了 100万 美元的代币,包含 44.6万 枚 USDC、28 枚WBTC 和 313 枚ETH;
11月7日,PeckShield 监控到黑客运用闪电贷(Flash loan)经过一笔买卖进犯一家去中心化数字银行 Cheese Bank,随便套利 330 万美元;
11月10日,JustSwap 白名单 DeFi 项目 SharkTron 被窃取价值 1000万 美元的 波场币(TRX),波场联合币安冻住部分资金;
11月14日, PeckShield 监控到黑客运用 Akropolis 项目存在的存储财物校验缺点,向合约建议接连屡次的重入进犯,随便增发大量的 pooltokens,掳走 203万 枚 DAI;
11月15日,PeckShied 监控到黑客运用 Value DeFi 协议中根据AMM 算法的价格预言机 (Curve) 存在的缝隙,操作 Curve 上代币的价格,铸造 pooltokens,终究获利 540万 美元
11月17日,PeckShield 监控到 DeFi 协议 Origin Protocol 稳定币 OUSD 遭到进犯,进犯者运用dYdX 的闪电贷进行重入进犯(Re-entrancy attack),形成价值 770万 美元的 ETH 和 DAI 的丢掉;
11月18日,PeckShield 监控到仅上线 48小时 的 DeFi 固定利率假贷协议 88mph 存在代码缝隙,进犯者运用该缝隙铸造价值 10 万美元 MPH 代币
11月22日,PeckShield 监控到曾被 V神 发推文赞赏的 DeFi 项目 Pickle Finance(酸黄瓜),因被黑客进犯未经审核新创建的智能合约缝隙,丢掉近 2000万 美元的 DAI;
11月26日,Compound 遭预言机进犯,9000万 美元财物遭清算。此次 Compound 巨额清算是因为预言机信息源Coinbase Pro的DAI价格剧烈波动导致的,操控预言机所依靠的信息源进行短时间的价格操作以达到误导链上价格是典型的预言机进犯;
11月29日,RGT Distributor 的合约呈现缝隙,智能合约 DeFi 智能投顾 Rari Capital 发布官方推特称已修正合约缝隙,没有资金丢掉;
11月30日,流动性挖矿项目 SushiSwap 遭到流动性提供者进犯,该进犯者经过一笔买卖中获取了 1 至 1.5万 美元,随后该修正经过 PeckShield 审核。
区块链国际信仰“Code is Law”,以为代码即法令,分布式技能可保证数据不可篡改,最大程度地保证系统安全,但现在根据区块链技能开发的 DeFi 为何频遭安全问题困扰?
PeckShield 相关负责人分析道:“DeFi 的金融特点强,与资金绑定严密,一旦发生安全事情,大概率会直接涉及到切身利益,但此类安全问题并非没有破解的办法。DeFi 还处于开展阶段,在主网上线前,一定要保证代码进行彻底地审计和研讨。例如 Pickle Finance(酸黄瓜)被进犯的事情,略过了新增代码的审计,形成黑客有机可乘。同类 DeFi 被进犯后,要及时确认自己的合约是否也存在相似的缝隙,或许寻求专业的审计机构,例如 PeckShield 对同类进犯进行监控。”
数字钱包安全
据 PeckShield 计算,11 月份共发生 2 起典型的钱包安全事情:11月6日,Ledger 钱包用户因垂钓欺诈丢掉逾 110万 枚 XRP。欺诈者运用垂钓邮件将用户引导到一个假冒的Ledger网站上,并拐骗用户下载了假充为安全更新的歹意软件,从而导致 Ledger 钱包余额悉数被盗。
11月9日,ElectrumSV 多签计划呈现严峻缝隙,致运用户被盗 600 BSV。
其他进犯
除此之外,11 月份还发生了多起其他进犯事情:
11月3日,挖矿木马团伙 z0Miner 运用 Weblogic未 授权指令执行缝隙(CVE-2020-14882/14883)入侵 5000 台服务器。该团伙经过批量扫描云服务器发现具有Weblogic缝隙的机器,发送精心结构的数据包进行进犯。之后执行长途指令下载 shell 脚本 z0.txt 运转,再运用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及经过爆破 SSH 横向移动;
11月8日,Grin Network 遭到 51% 进犯;
11月11日,歹意节点企图经过 Sybil 进犯干扰 Monero 网络,以获取有关Monero区块链上用户的信息。据悉,Sybil 进犯是对 P2P 网络的歹意进犯,个人或安排企图经过运用多个身份操控多个账户或节点来接管网络;
11月19日,挖矿木马 4SHMiner 运用缝隙针对云服务器进犯,已操控约 1.5万 台服务器挖矿;
11月21日,BCHA 链遭进犯,网络发生大量空块。
PeckShield 相关负责人表明:“近年来,针对加密钱银的进犯日益增多,安全事情频发。关于企业用户而言,一方面,针对加密企业服务器上的文件,应该及时给服务器打好安全补丁,同时防止运用弱口令,关闭不必要的端口;另一方面,应该加强对垂钓邮件的拦截,提示员工不要轻易打开来历不明的邮件,而且坚持安全软件运转状态。关于个人用户而言,需求警惕来历不明的邮件,坚持安全软件运转状态,及时修正电脑缝隙,而且养成杰出的上网习气,不运用外挂等病毒高发点的工具。针对系统性缝隙,需求养成对重要文件备份的习气,运用U盘、硬盘等存储工具对重要文件进行备份,有备无患,防范于未然。”
欺诈&勒索
随着区块链技能的开展,以及愈来愈多人对区块链范畴的关注 ,这推动了区块链的日益遍及,但也让各式骗局应运而生,以区块链概念包装、传销方式进行推行的资金盘层出不穷,同时黑客、进犯者也在将注意力转移到加密钱银上。
据 PeckShield 计算,11月共发生 10 起欺诈相关安全事情;
11月1日,KP3R 和 CORE 的仿盘项目 KPER 和 KORE 疑为骗局,币价短时暴跌几近归零;
11月2日,上海市虹口区人⺠检察院对 8 名为运用虚拟钱银帮忙欺诈分子转移逾 1500万 元钱款的 “中间商”提起公诉;
11月3日,宿迁警方破获数商我国数字钱银欺诈案,涉案金额达 220万 元;
11月6日,进入区块链的A股上市公司斯莱克遭电信欺诈,丢掉 205万 美元(折合人⺠币约为 1355 万 元);
11月10日,南京六合警方破获一同与比特币相关的欺诈案,抓获涉案人员 10名,追回欺诈款 10万 余元;
11月12日,常州出现“罗⻢币买卖所”渠道欺欺诈局,警方提示谨防“变种”欺诈;
11月14日,山⻄忻州警方破获“SZSE数字钱银买卖所”欺诈案,涉案金额逾 1000万 元;
11月16日,泉州市⺠告发MARK买卖所买卖欺诈,涉案金额高达 25亿 元;
11月20日,江苏警方破获柬埔寨水晶国际区块链骗局,涉案金额逾 1000万 元;
11月23 日,黑⻰江鹤岗市公安局成功破获一同“哥伦布 CAT 虚拟钱银”特大网络传销案,涉案资金 近 3 亿元;
据 PeckShield 计算,11月共发生 5 起勒索相关安全事情;
11月1日,黑客入侵芬兰 Vastaamo 心理治疗中心窃取芬兰公⺠的心理治疗记录,以此勒索比特币;
11月3日,江苏省启东警方破获一同比特币勒索病毒案,不合法获利 100 多枚比特币,折合人⺠ 币 500多万 元;
11月7日,游戏巨子 CAPCOM 遭勒索软件进犯,被窃取黑客索要 1100万 美元的比特币赎金;
11月12日,黑客进犯意大利酒商金巴利(Campari),窃取重要文件、合同和银行信息,并索要 1500万 美元比特币赎金;
11月13日,比特币勒索软件Pay2Key进犯多家以色列公司;
因为加密钱银具有匿名性、链上财物转移路径杂乱、技能追踪难度大,从而加大了相关部⻔追踪、监管加密财物的难度。近年来,国内外都在加大 AML 反洗钱政策的监管要求,进一步推进对加密财物的监管。
视野开拓
·“过去曾经辉煌的城市,大多数已经不再辉煌;而现在强大的城市,过去可能曾经非常弱小。通过这两类相反的雄辩事实,我确信人类的幸福不可能永远持续长存。” ·需要考虑许多因素来解释政府的增长,本书所宣称的一个观点是,特殊利益组织的不断增长是这些因素中的一个。 ·“印度社会的静态性质,它在变化的世界中拒绝改变,每一种抵制变化的文明都将衰败。” 关于印度遥远过去的资料非常缺乏,我们所知道的是如此之少以至于不可知论倒是非常适合。 ·正如优秀的历史学家让我们注意到的,在历史上发生的许多事情是出于偶然,并且必定超出了任何理论的解释力。 ·无论是左派还是右派都坚持这种传统假设,即市场会比政府和其他机构产生更大的不平等,而政府和其他机构会“降低”不平等的影响,这些观点与许多社会的事实相反,对其余的社会也只有一半是正确的。 ......一般来说,政府和其他机构干预市场不会比自由竞争造成更小的不平等。 ·在许多现实的微观经济政策上,他们通常有高度一致的观点,比如关税和贸易限制。 不幸的是,许多使用和尊崇同样微观经济理论的经济学家在宏观经济理论或通货膨胀、失业和经济波动等问题的研究上却根本达不成一致意见...... 就它们所具有的至少对整个国家的不可分性后果来说,宏观经济和货币政策类似于公共产品。 ·事实仍然是,我们从未在凯恩斯理论中找到对非自愿失业的满意解释,在不均衡理论中也未找到。 ·不同类型社会之间的共性和无差异反映了现代大多数经济学令人悲伤的非历史、非演化、比较静态以及不分具体情形的特征。 ·“要在我们的历史上找到可以与1929年到1933年发生的货币崩溃可比较的历史事件,我们必须回到近一个世纪前于1839年到1843年发生的货币紧缩时期。”——米尔顿·弗里德曼 & 安娜·施瓦茨 《美国货币史》 ·凯恩斯在提出《通论》(以及《货币论》)中主要思想的时期,英国...-《国家的兴衰》
