據PeckShield態勢感知平臺數據顯示,過去一個月,整個區塊鏈生態共發生19起較為突出的安全事件,危害程度評級為「中級」,受損金額達百億元,涉及DeFi2起、交易所2起,智能合約1起,詐騙跑路14起等。DeFi安全
3月份共發生2起DeFi安全事件,具體如下:1)03月12日,由于以太坊ETH的價格暴跌,MakerDAO的大量抵押債倉跌破清算門檻,引發了清算程序執行。由于以太坊網絡gas費用劇增,導致MakerDAO的清算過程完全缺乏競爭,原本應該參與到清算過程中的清算機器人因為設置了較低的gas值,導致出價受阻,一位清算人在沒有競爭者的情況下,以0DAI的出價贏得了拍賣。MakerDAO清算拍賣設計的目的,是盡可能以最少的抵押物回收最大的DAI,這一機制在正常情況下是可以成功運作的。但是當以太坊系統極其擁堵的時候,或者更極端一點來說,只要競拍的參與度不足,就很容易被惡意Keeper以極低報價獲得拍賣物。針對此次清算出現的問題,MakerDAO社區也已緊急討論了針對清算機制的改進措施。2)03月26日,Synthetix的抵押貸款清算功能被發現存在漏洞,具體而言:Synthetix近期上線了一個合約,用戶可以在3個月試用期內質押ETH獲取sETH,而在試用期結束后,將啟動關閉所有貸款功能進行清算,即任意擁有sETH的用戶都可以通過調用清算接口得到ETH。然而,該接口的處理邏輯代碼存在一個漏洞會導致任意用戶直接burn掉借款人的sETH資產并獲得ETH。不過由于該功能處于試用期間,并未造成實際損失。目前,Synthetix官網的loan服務仍處于關閉狀態。PeckShield點評:隨著DeFi項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑒于其與用戶資產的緊密聯系,DeFi項目的安全問題非常嚴峻。由于各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平臺交互的過程中出現安全問題,進而腹背受敵。PeckShield在此建議,DeFi項目方在上線之前,應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。交易所安全
PeckShield:已監測到0xb6B開頭的地址在 Nomad 被盜事件中獲利近700萬美元:8月22日消息,PeckShield在推特上表示,已監測到 0xb6B 開頭的地址在 Nomad 被盜事件中獲利近 700 萬美元。其中盜取的 300.1 萬枚 USDT 通過 Uniswap 交易為以太坊后存入 0xb6B 開頭的地址,另外盜取的近 145.5 萬枚 USDC、200 枚以太坊以及 100 枚 WBTC 通過四個合約交易為以太坊,部分通過 0xb6B 開頭的地址或直接存入 Tornado Cash,部分存入 Poolin 礦池。此外,該地址還向 0xa5EF 開頭地址提供資金,后者也盜取了約 200 枚以太坊和 3 枚 WBTC,并在將·WBTC 交易為以太坊后全部轉入 Tornado Cash。[2022/8/22 12:41:43]
3月份共發生2起交易所安全事件:1)03月02日,美國司法部以陰謀洗錢和無證經營匯款為由,對名為田寅寅和李家東兩位中國人發起了公訴,并凍結了他們的全部資產。區塊鏈安全公司PeckShield第一時間介入追蹤研究分析,基于美國司法部僅公布的20個地址向上追溯、取證并以可視化圖文方式還原整個案件的來龍去脈。分析發現攻擊者試圖利用PeelChain的技術手段將手里的資產不斷拆分成小筆資產,并將這些小筆資產存入交易所,如下圖所示:
“無聊猿”BAYC生態Token ApeCoin價格跌破19美元,較高點下挫近三成:金色財經報道,據 CMC 最新數據顯示,“無聊猿”BAYC生態Token ApeCoin價格跌破19美元,本文撰寫時為 18.88 美元,24 小時跌幅為 18.2%,較 4 月 28 日創下的 26.70 美元歷史高點下挫近三成(29.3%)。當前 ApeCoin 交易總額約為 5,426,604,433 美元,市值下降到 5,420,866,653 美元。[2022/5/1 2:43:13]
在完成初步洗錢操作后,攻擊者并沒有直接轉入自己的錢包,而是再次使用PeelChain手法把原始的非法所得BTC分批次轉入OTC交易所進行變現。攻擊者每次只從主賬號分離出幾十個BTC存入OTC帳號變現,經過幾十或上百次的操作,最終成功將數千個BTC進行了混淆、清洗。(詳情參閱硬核:解密美國司法部起訴中國OTC承兌商洗錢案件)
聲音 | PeckShield:P網累計接收超1億枚比特幣為計算錯誤,實際僅為300余萬:針對Poloniex交易所一個錢包地址累計接收超過1億枚比特幣的消息,PeckShield研究人員分析發現,此數據來源于Blockchair,并非BTC官方瀏覽器,且存在統計錯誤。17A16QmavnUfCW11DAApiJxp7ARnxN5pGX地址實際累積接收的BTC應為3,279,378枚,之所以造成計算誤差,PeckShield分析原因可能為,Blockchair在計算一個地址接收BTC數額時沒有過濾找零的情況:比方該地址實際接收僅0.2枚BTC,找零6.09枚BTC,總接收額度卻被夸大統計為0.2+6.09枚,這并不符合比特幣UTXO交易的統計邏輯。[2019/10/23]
聲音 | 安全公司PeckShield:Fomo3D游戲存在“薅羊毛”安全漏洞:近日,備受關注的Fomo3D游戲團隊核心成員聲稱,發現了一個足以毀滅以太坊的“核武器”級別漏洞。以太坊基金會開發團隊負責人之一Péter Szilágyi在Twitter回復這只是一種符合規范的實現,并非Fomo3D開發者所聲稱的EVM缺陷;是Fomo3D對該特性的誤用導致合約的空投機制出現一個可被“薅羊毛”的安全漏洞。
PeckShield安全研究人員已經確認了該漏洞的存在。具體而言:Fomo3D游戲存在一個隨機性的空投機制,用戶有較小概率獲得官方的空投獎勵。攻擊者可通過一定的技術手段提高事件的發生概率,進而通過操作獲得空投。目前,影響范圍已經從Fomo3D擴散至多個具有相似源代碼的同類游戲,提醒廣大用戶和開發者警惕此種攻擊行為。[2018/7/24]
2)OMNI網絡發現新型USDT假充值手法:黑客采取發行其他類型的代幣偽造成USDT對交易所或錢包進行USDT假充值,當交易所或錢包在檢測USDT充值時如果沒有校驗交易中的propertyid,就會導致假充值情況的發生。PeckShield點評:黑客盜取資產后實施洗錢,不管過程多周密復雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求,交易所應加強AML反洗錢和資金合規化方向的審查工作。同時,針對假充值等安全問題,交易所應當在確認代幣名稱和交易狀態后再進行轉賬。智能合約
3月份共發生1起智能合約安全事件,存在于以太坊網絡。具體而言:03月24日,有項目方反映在發布ERC20代幣后,發現一些來源不明的代幣在鏈上轉賬。深入分析后發現,是項目方使用的“一鍵發幣”第三方平臺存在后門——發幣合約創建時存在暗地增發Token并竊取的惡劣行為。PeckShield點評:項目方在使用第三方服務完成智能合約的開發時,務必在合約上線前做好安全測試,必要時可尋求第三方安全公司完成審計評估,幫助其完成合約上線前攻擊測試及基礎安全防御部署。詐騙跑路事件
除上述之外,3月份還發生了多起詐騙跑路事件值得警惕,例如:1)區塊鏈資金盤“硅谷區塊雞”疑似跑路,涉案金額或達百億人民幣;2)英國夫婦因使用虛假的Chrome瀏覽器擴展丟失14,800枚XRP;3)不法分子在各種聊天群發布虛擬貨幣消息,以疫情防控為由,利用人們投資理財的迫切心理,打著虛擬貨幣的幌子實施詐騙、非法集資活動;4)YouTube上有人冒充Ripple的首席執行官推銷5,000萬XRP代幣的假贈品,以哄騙用戶將錢投入類似的空投騙局中。PeckShield點評:因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
2017年8月左右,也就是BitcoinCash誕生前后,比特幣網絡內幾筆累計約17597BTC的大額轉賬引起了社區的關注.
1900/1/1 0:00:00頭條 分析:V神凈資產大概有1億美元,包含加密貨幣、現金和股權據CryptoBriefing估計,V神持有的加密貨幣是其財富中的一大部分構成,按今天的價格計算.
1900/1/1 0:00:00本文來自:哈希派,作者:哈希派分析師團隊,星球日報經授權轉發。金色財經合約行情分析 | 主流幣整理區間逐漸收窄:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報11.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:HELENPARTZ,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自:威廉閑談,作者:陳威廉,Odaily星球日報經授權轉載。這兩周的美股走出了很多人活久見的表現。在不斷“見證歷史”的過程中,美股引爆了全球金融市場的恐慌.
1900/1/1 0:00:00自全球金融市場崩盤觸底至今,已一月有余。道瓊斯工業指數自3月23日觸底以來,漲幅達24.5%。但比特幣價格自3月13日觸底以來最大漲幅達到95%,萊特幣、以太坊等漲幅更是超過100%,加密貨幣市.
1900/1/1 0:00:00