据 PeckShield 态势感知渠道数据显现,曩昔一个月,整个区块链生态共生 38 起较为杰出的安全事情。涉及 DeFi 相关 21 起、买卖所安全 6 起、勒索相关 1 起,欺诈事情 10 起。
Peck Shield
CEX公链DeFi“土矿”跑路 谁向投资者担任?
自 2020 年 DeFi 点着 FOMO 情绪后,从前食物链顶端的 CEX(中心化买卖所)的优势逐渐削弱,尤其是从增量商场变为存量商场以后,CEX 开端寻求新的突破点。公链作为区块链职业的开展基石,是买卖所发力的重要突破点,它不仅能将买卖所的各个生态布局连接到一起,同时也是与 DeFi 连接的符合点。
2020 年下半年,币安、火币、OKEx 等各大中心化买卖所纷繁加快布局自己的公链支撑 DeFi 项目,为抢占 DeFi 商场分一杯羹。
2021 年起,CEX 公链上的 DeFi 项目陆续呈现跑路的情况。据 PeckShield 计算,2 月 CEX 公链上的 DeFi “土矿”跑路项目至少有 4 起。
2 月 1 日,媒体报道称,币安智能链上的 DeFi “土矿” 项目 Popcornswap 和 Multi Financial 跑路,分别损践约 48,000 BNB 和 5,000 BNB。此前,币安智能链上的 Zap Finance、Tin Finance 和 SharkYield 等DeFi 项目被爆相继跑路。
2 月 8 日,火币公链 HECO 上的假贷项目 Filda 疑似被盗 580 万 HUST。
2 月 28 日,媒体报道称,火币公链 HECO 上的项目 tokenlink 疑似跑路,丢失几百万 USDT。
CEX 公链上的 DeFi 项目已现跑路的态势,投资者该向谁问责?
对此,CEX 相关担任人曾表明 CEX 搭建的公链与以太坊等公链一样,不应该为构建在其上面或许存在问题的项目担任。
PeckShield 安全专家表明:“从 CEX 所推出的公链的定位上来看,它们致力于打造一条公有链,即非答应链(Permissionless Blockchain)。在抱负状况下,任何人都可以参与区块链数据维护和读取,简单部署应用程序,完全去中心化不受任何组织操控。但值得注意的是,CEX 所推出的公链还处于开展初期,在构建生态的过程中,或许还需求有一个‘弱中心化’的过渡过程。从投资者角度来看,因为 CEX 的公链由 CEX 部署,虽然 CEX 可以对上线项目进行免责声明,但用户或将其品牌视作一种信用背书,改进和完善准则管理是 CEX 亟待解决的问题。”
Peck Shield
欺诈蔓延至DeFi领域 DeFi可组合性缝隙继续凸显
除了 CEX 公链上的 DeFi 项目跑路的安全事情外,据 PeckShield 计算,2 月共产生 21 起 DeFi 安全事情,欺诈事情已蔓延至 DeFi 领域,DeFi 的可组合性缝隙继续凸显。
2 月 5 日,Yearn v1 yDAI 保管库遭到进犯,保管库丢失了1100万美元,进犯者盗取了280万美元。
2 月 5 日,DeFi 稳妥项目 ArmorFi 向白帽黑客支付 150 万美元的缝隙赏金。据悉,这名黑客发现了该协议的一个“关键缝隙”,该缝隙或许会导致该公司一切的承保资金被耗尽。
2 月 8 日,去中心化买卖协议 Curve 表明发现聚合协议 Yearn 全新的 yv2 资金池存在问题,为了维护流动性提供者,该资金池已经关闭。
2 月 9 日,去中心化衍生品买卖所 dYdX 官方推特表明,目前尚未发币,也没有进行预售或空投。用户需警惕相关圈套。
2 月 9 日,智能 DeFi 收益聚合器 BT.Finance 遭到黑客进犯,损践约 150 万美元。
2 月 13 日,DeFi 协议 Cream.Finance 以及 Alpha Finance 遭到闪电贷(Flash Loan)进犯,丢失 3,750 万美元。
2 月 15 日,以太坊链上期权协议 Primitive Finance 发推称, Primitive Finance 没有协议代币,用户需警惕相关圈套。
2 月 20 日,根据 Tezos 构建的 DEX Dexter 被曝合约存在缝隙,该缝隙允许在未经授权的情况下提取资金,开发团队 Nomadic Labs 已重写合约。
2 月 21 日,DAO Maker 发推提示用户,警惕假充 DAO Maker 的圈套。
2 月 22 日,以太坊链上期权协议 Primitive Finance 智能合约中发现了一个严峻缝隙。因为合约不行升级或暂停,官方利用自己的智能合约进行黑客进犯以维护用户资金。
2 月 22 日,去中心化假贷协议 ForTube 披露两周前的安全缝隙,暂无用户因缝隙而形成丢失。
2 月 24 日,以太坊二层扩容解决方案开发团队 Matter Labs 发推质疑去中心化买卖所 ZKSwap 的用户资金安全。
2 月 25 日,有陈述指出,自动做市商在买卖或代币交换之前运用的批阅机制或许存在安全缝隙,陈述称该功能允许第三方代表用户从其账户中发送代币。与此同时,陈述发现有欺诈者正在运用该方法利用钓鱼邮件骗得 LINK。
2 月 26 日,DeFiBox 监测发现,上线火币生态链 Heco 的基金投资渠道 MFD 存在预挖风险。
2 月 27 日,DeFi 收益聚合器 Yeld.Finance 的 DAI 池遭到闪电贷进犯,丢失 16 万 DAI。
2 月 28 日,DeFi 聚合渠道 Furucombo 遭到黑客进犯,丢失超过 1400 万美元。因为 Cream Finance 未及时从钱包里吊销一切对外部合约的授权,因此受到该缝隙的影响,形成损践约 110 万美元。
2 月 28 日,DeFi 稳妥协议 Armor.Fi 发推表明,一名欺诈者从团队成员骗得 120 万枚 ARMOR 代币,目前已经以大约 600 ETH(约合85万美元)的价格抛售结束。
PeckShield 发现,2 月所产生的 DeFi 项目 Furucombo、 Primitive Finance 遭进犯都与 DeFi 无限授权形式相关,该授权方法使得钱包无需经过用户任何答应,即可分配其一切财物,且不受用户私钥保管约束。PeckShield 提示用户切勿过度授权。
对于协议开发者而言,在测验创新的基础上,需求提高安全意识,定位组合或许存在的问题,在做安全审计时充分考虑体系组合时存在的业务逻辑缺点,然后做到安全防护为首。其次,因为 DeFi 项目与财物紧密相连,简单成为潜在的进犯目标,这就要求 DeFi 协议开发者提高安全防护等级,包含项目上线前的安全审计,项目运转中的异常数据预警和危机产生时及时的应急呼应等等。
Peck Shield
买卖所进犯
据 PeckShield 计算,2 月共产生 6 起典型的买卖所安全事情,包含英国加密钱银买卖所 Exmo 遭到 DDoS 进犯,服务器暂停运用。
影响较⼤的安全事情为 2 月 1 日买卖所 Cryptopia 再次遭黑客入侵,被盗取约 62,000 新西兰元(合约 45,000 美元)的加密钱银。调查显现,黑客访问了一个自 2019 年被盗后一向处于休眠状况的钱包,该钱包由 Cryptopia 的清算人 Grant Thornton 操控。
Peck Shield
欺诈 & 勒索
据 PeckShield 旗下反欺诈态势感知体系 CoinHolmes 计算,2 月共计产生 10 起欺诈相关安全事情和 1 起勒索事情。
2 月 4 日,社交渠道 Discord 上呈现比特币赠送圈套,以搜集加密用户数据。
2 月 5 日,澳大利亚男子被指经过加密钱银对冲基金欺诈 9000 万美元,现已认罪。
2 月 5 日,德国检察官从一名欺诈者手中没收了价值超过 5,000 万欧元(约合 6,000 万美元)的比特币,但面临一个为难的问题,即无法破解密钥而不能解锁这笔财物。
2 月 6 日,美国司法部(DOJ)宣布,塞尔维亚公民 Antonije Stojilkovic 涉嫌欺诈加密钱银投资者逾 7,000 万美元,已被引渡到美国,面临共谋实施欺诈和洗钱的指控。据称,Stojilkovic及其同伙在塞尔维亚等地建立了 20 多个虚假买卖渠道。
2月8日,美国佛罗里达州电信公司的 Stephen Dediore 被指控进行 SIM 交换欺诈,盗取加密钱银。假如罪名成立,Dediore 将面临最高 5 年拘禁和最高 25 万美元的罚款。
2 月 10 日,比利时动力部长 Tinne Van der Straeten 的推特帐户被黑。其推特账户被改名为“以太坊基金会”,并发布以太坊赠品圈套诱使其重视者进入欺诈网站。
2 月 11 日,欧盟法律组织拘捕经过 SIM 交换盗取价值 1 亿美元加密钱银的黑客。
2 月 11 日,日本检察官已指控一集体涉嫌处理价值 1.8 亿美元 Coincheck 买卖所被盗虚拟钱银。
2 月 17 日,美政府起诉北朝鲜黑客组织 Lazarus Group 的三名成员,涉嫌盗取逾 13 亿美元的资金和虚拟钱银。
2 月 18 日,轿车制造商起亚轿车(Kia Motors)遭到勒索进犯,黑客索要 600 枚比特币作为赎金(合计价值 3000 万美元)。
因为加密钱银具有匿名性、链上财物搬运路径杂乱、技能追踪难度大,然后加大了相关部⻔法律的难度。除了完善相关的法律法规,全球法律组织亟待引⼊新的监管⼯具和技能。
视野开拓
经济学是基于一个假设“人是自私的”和一个公理“需求定律”构建成的一整套理论及其推论的体系。-《经济学讲义(上)》
