據成都鏈安安全輿情監控數據顯示:2021年1月,據不完全統計,整個區塊鏈生態發生的典型安全事件超25起,所造成的經濟損失依然主要覆蓋在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網、其他等幾個方面。總的來看,2021年1月整體安全風險評級為,仍然不可掉以輕心。相較于2020年12月,1月所發生的典型安全事件的數量有所減少;然而,在,事件數量依然居高不下,值得行業各方從業者重點關注。隨著區塊鏈技術與虛擬資產的普及程度不斷上升,而大眾的相關知識儲備卻并未得到同等程度的提高,導致不少投機者及詐騙者開始炮制各類騙局,進而導致該領域安全事件數量呈高發態勢。以下為本月安全月報的詳細事項。交易所方面:共發生『2』起典型安全事件
01俄羅斯虛擬資產交易所Livecoin宣布將終止其服務,并敦促其客戶繼續提款。02日本虛擬資產交易所Liquid近日公布針對去年11月因遭入侵而用戶數據泄漏的最終調查結果。Liquid表示,包括電子郵件地址,名稱,加密密碼,API密鑰等169782項用戶數據信息已泄漏。DeFi方面:共發生『3』起典型安全事件
成都鏈安:GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息,據成都鏈安安全輿情監控數據顯示,GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣,攻擊者惡意調用了depositFromOtherContract函數記賬,并憑空提取了GYM token,目前2000BNB已進了Tornado Cash,3000BNB存放在攻擊賬戶中,價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]
011月2日,推特用戶NourHaridy發推表示,yCredit的智能合約容易受到攻擊,或導致所有用戶資金受到損失;并建議已使用ETH存入合約或在Sushiswap上購買了yCredit的用戶立即將其撤回或出售,隨后其將發布漏洞利用程序。02picklepDAI池的黑客地址繼1月8日異動后,再次于1月14日發生異動。此前黑客地址轉移了1500萬DAI到5個新地址,現除了地址,其余四個地址均發生異動,共轉入400萬DAI。031月27日,SushiSwap的DIGG-WBTC交易對的手續費被攻擊者通過特殊的手段盜取。詐騙跑路/加密騙局方面:共發生『6』起典型安全事件
成都鏈安:bDollar項目遭受價格操控攻擊,目前攻擊者獲利2381BNB存放于攻擊合約中:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,bDollar項目遭受價格操控攻擊。攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e
攻擊交易eth:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4
攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a
目前攻擊者獲利2381BNB,存放于攻擊合約中。[2022/5/21 3:32:53]
011月1日,印度于英迪拉·甘地國際機場逮捕一名60歲男子UmeshVerma,罪名是通過加密騙局詐騙至少45人,詐騙金額共計2.5億盧比。02美國聯邦調查局正在調查一起龐氏騙局,3名嫌疑人通過承諾虛擬資產和其他投資回報從投資者處竊取了約2800萬美元。031月9日,西班牙拘留了4名不同國籍的人,因其涉嫌實施一起價值約1500萬美元的加密龐氏騙局。04在過去幾周內,假冒特斯拉首席執行官埃隆·馬斯克個人資料的推特虛擬資產贈品騙局有所增加。到目前為止,這些騙局已經獲得了超過58萬美元的BTC。05加利福尼亞州一男子聲稱,在SIM交換加密騙局中損失了約27000美元的BTC。06近日,網傳多名流動性“礦工”稱幣安智能鏈上又一個DeFi“土礦”popcornswap跑路,項目方卷走近48000個BNB,價值約215萬美金。數日內還有3個項目跑路。目前SharkYield跑路疑似帶走了6000個BNB。
成都鏈安:fortress被盜金額已被轉換成1048eth并轉入了Tornado Cash:5月9日消息,據成都鏈安安全輿情監控數據顯示,fortress 遭受預言機價格操控攻擊,被盜金額已被轉換成1048eth并轉入了Tornado Cash。經成都鏈安技術團隊分析,本次攻擊原因是由于fortress項目的預言機FortressPriceOracle的數據源Chain合約的價格提交函數submit中,將價格提交者的權限驗證代碼注釋了,導致任何地址都可以提交價格數據。攻擊者利用這個漏洞,提交一個超大的FST價格,導致抵押品價值計算被操控,進而借貸出了項目中所有的代幣。
攻擊交易:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
攻擊者地址:0xa6af2872176320015f8ddb2ba013b38cb35d22ad
攻擊者合約:0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]
成都鏈安CMO:交易所需建設一套完整的資金內控系統:3月11日晚8點,成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點:交易所需建設一套完整的資金內控系統,并對每筆資金的出入都應該做好審核和記錄。此外他還指出,關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司,由前海母基金,聯想創投,復星國際,分布式資本等知名企業和創投戰略投資,電子科技大學楊霞教授,郭文生教授,高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動,不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]
Beosin評論從近幾個月的安全形勢來看,所發生的事件數量呈現出穩步爬升的走向,并且所造成的經濟損失遠遠超于來自黑客的攻擊行為和盜竊行為。與此同時,無論是詐騙行為,還是跑路行為,涉案范圍都通過互聯網進而波及全球。針對如此嚴峻的安全形勢,作為用戶和投資者,更需要擦亮雙眼,謹慎甄別。勒索軟件/挖礦木馬方面:共發生『5』起典型安全事件
聲音 | 成都鏈安:使用鏈上合約輪詢開獎機制可能具有安全風險:今日早晨7點半,成都鏈安態勢感知系統鷹眼對某游戲合約交易發出預警,我們的安全人員對該預警進行分析發現,攻擊者正在使用一種新的途徑獲得隨機數種子,并通過合約不斷發起延時交易,嘗試預先計算或者得到游戲合約的開獎參數,安全團隊已通知項目方進行確認,建議具有類似基于線上合約定時開獎模式的項目方及時自查,避免遭到損失。望項目方看到本預警消息能夠及時聯系我們。[2019/6/12]
01某網站所有者收到電子郵件威脅稱,需要發表對于coinmama.com的5星評論,并要點贊或分享兩次。如果收件人在48小時內不完成這些事情,勒索者聲稱將從網站創建數以百萬計的反向鏈接到收件人網站,破壞其聲譽。02在世界各地的公司遭到入侵后,據稱Ryuk勒索軟件的運營者從贖金支付中賺取價值超過1.5億美元的BTC。03網絡安全公司Intezer發現了一種新型惡意病ElectroRAT,該病可以在Windows,Linux和macOS上運行以竊取虛擬資產。該惡意程序已經活躍了1年多,并通過專門的論壇和市場營銷活動進行推廣,Intezer估計下載了該惡意軟件的受害者數量約為6500人。041月11日,美國密歇根州稱,一名匿名人士向州長GretchenWhitmer和該州雇員郵寄死亡威脅信,試圖收取價值約200萬美元的BTC。05智能化解決方案供應商Radware的5名客戶在去年12月和今年1月收到了勒索信。威脅稱,如果他們不向一個組織支付5個BTC,就會遭到DDoS攻擊。暗網方面:共發生『4』起典型安全事件
01暗網論壇Dread的管理員Hugbunter稱,目前所有v3洋蔥地址均已無法訪問,事故發生原因未知,但可能會對整個網絡造成巨大攻擊。021月11日,德國切斷并關閉了被認為是世界上最大的暗網交易平臺服務器“黑市”,該非法交易平臺上賣家超過2400個,客戶近50萬。03網絡安全公司CheckPoint在暗網上發現了許多銷售Covid-19疫苗的賣家,賣方要求用比特幣進行付款;但在付款后,并沒有交付貨物。04暗網Joker'sStash將于下個月關閉,暗網網絡安全公司GeminiAdvisory的報告顯示,該網站過去一年的比特幣收入超過10億美元。
Beosin評論本月,所發生的事件數量有所提升,對從事網絡安全及區塊鏈安全的各方從業者敲響警鐘,不能忽視整個行業生態的安全建設。長久以來,暗網充斥著各類非法犯罪行為,無形中威脅著國際社會的穩定與安全。加強暗網治理有關技術,提升全球治理和管理暗網的整體實力,是必須采取的高效措施。其他方面:共發生『5』起典型安全事件
01英國一IT工程師不小心將藏有7500個BTC私鑰的硬盤當垃圾扔掉,按照3.2萬美元估算約為2.4億美元。02據FinancialTribune一份報告顯示,伊朗當局關閉了1620個非法虛擬資產礦場,在過去18個月中,這些礦場共消耗了250兆瓦的電力。03因極右翼極端分子在BitTorrent旗下流媒體平臺DLive直播美國國會大廈的暴力暴動事件,DLive遭到抨擊。有用戶指控稱,DLive自成立以來,已經通過將虛擬資產內置在網站提供的服務中,向極端分子支付了數十萬美元資金。04去中心化虛擬游戲平臺沙盒游戲TheSandbox表示,TheSandboxASSET智能合約很容易出現重復問題,目前還沒有惡意用戶利用該漏洞進行攻擊,其他所有智能合約均不受影響,SAND和LAND智能合約也沒有風險。051月27日,Coinbase錢包工程主管PeteKim發推稱,如果在蘋果iOS設備上使用移動加密錢包,一定要盡快更新iOS系統。因為iOS系統更新包含一個遠程代碼執行漏洞的修復。該漏洞可能會威脅移動加密錢包的安全。
鑒于當前區塊鏈生態的安全態勢,『成都鏈安』在此總結:盡管2021辛丑牛年的新春佳節來臨在即,但黑客、詐騙者、攻擊者等犯罪分子并不會因為春節到來而減緩非法行為的推進步伐。相反,愈逢佳節,犯罪分子愈將抓住大眾疏于防范的心態,潛藏的安全風險也很有可能集中性爆發。因此,越是臨近春節,越要筑牢安全防線。雖然整體上來看,2021年1月的區塊鏈整個生態的典型安全事件較2020年12月呈有所下降,整體安全風險也從回落到,但依然可以清楚地看到,在、、仍舊態勢嚴峻。尤其是,涉案人員多、涉案范圍廣、涉案金額高,全球范圍內各國都已開始重視詐騙跑路及加密騙局所造成的惡劣影響,并相繼發布關于虛擬資產安全監管和合規的政策法規,以推動整個區塊鏈生態監管進程建設。在此,成都鏈安提醒廣大用戶和投資者在項目選擇階段,切記一定要謹慎,不要被所謂的“利益”蒙蔽了雙眼,天下沒有免費的午餐,餡餅也不會不偏不倚地恰好掉進自己的嘴里,切莫因小失大。在春節期間,更要提高自身安全防騙意識,拋棄不切實際的心態。
今日下午,深圳市地方金融監管局發布了一條關于防范“虛擬貨幣”非法活動風險提示的風險提示。公告稱:近期,隨著比特幣、以太坊等虛擬貨幣價格不斷攀升,虛擬貨幣炒作有所抬頭.
1900/1/1 0:00:00編者按:本文來自白話區塊鏈,Odaily星球日報經授權轉載。如果說2020年區塊鏈只有一個主題,那我想非DeFi莫屬。什么公鏈,什么存儲,什么跨鏈,在DeFi面前都不值一提.
1900/1/1 0:00:00編者按:本文來自加密谷Live,作者:LukaB,翻譯:李翰博,Odaily星球日報經授權轉載.
1900/1/1 0:00:002021年1月的最后一個交易周,美國華爾街對沖基金和機構沽空者在GameStop股票多空博弈中損失慘重,而其交易對手之一的多頭力量則是來自互聯網的業余散戶交易社區.
1900/1/1 0:00:00編者按:本文來自彩云區塊鏈,Odaily星球日報經授權轉載。烏克蘭政府所有的核電站委托一家公司在里夫納建立一個大型數據中心,用于開展比特幣挖礦業務.
1900/1/1 0:00:00當前比特幣盤面顯得不冷不熱,包括市場情緒也是如此,但可以確定的是,短時間內市場無意營造進一步下行的氛圍,每當一個空頭消息出來的時候,總能看到更積極的多頭消息進行反擊.
1900/1/1 0:00:00