ETH:成都鏈安：3月發生較典型安全事件超17起_EFI

據成都鏈安『區塊鏈安全態勢感知系統』（Beosin-Eagle Eye）數據監測顯示，在過去的3月中，各類安全事件時有發生。成都鏈安安全人員統計3月發生較典型安全事件超『17』起，涉及以太坊Defi安全，交易所安全，詐騙跑路問題以及其他安全事件。從另一個角度來說，則包含了虛擬貨幣資產安全問題和用戶數據安全問題。

Defi方面，共發生『3』起較典型安全事件：

近幾月來，隨著Defi金融持續升溫，隨之顯現而出的安全問題也日益突出。距離我們不遠的bZx閃電貸二度開花攻擊事件，已經在提醒我們Defi的逐漸繁榮景象之下，是否隱藏著巨大的安全風險？

1）2 月 28 日，一名用戶在 Curve V4 流動性不充足的前提下進行了超大額的兌換，雖 然團隊發現了該事件，并立即進行了補救，但這名用戶最終還是損失了 14 萬美元資產。

具體的事件過程為：

用戶A希望將Curve V3資金池中的資金轉移至V4資金池，進行了多次穩定幣兌換。由于VE資金池中穩定幣USDC的資金數量嚴重不足，導致用戶兌換了數量不足的USDC，最終致使46萬美元的資產損失。

BSN開放聯盟鏈成都鏈已上線:金色財經報道，近日，區塊鏈服務網絡BSN表示，開放聯盟鏈成都鏈已在BSN環境內上線，這是基于BSN環境上線的第9條開放聯盟鏈。BSN開放聯盟鏈（簡稱OPB）包括多條基于公有鏈框架和聯盟鏈框架搭建的公用鏈，此次上線的成都鏈是基于公鏈Casper框架進行合規化改造而來。[2022/12/15 21:46:38]

由于用戶A的操作使得V4資金池中4種穩定幣數量不平衡，瞬間拉高了V4的手續費收益率；用戶B觀察到升高的手續費收益率之后，嘗試進行套利，用3.3萬美元兌換了9萬BUSD，所有套利操作獲利3527美元。

Curve團隊發現問題之后，立即對Curve V4資金池中的資金進行補足。由于各方進行了金額較大且極度不平衡的交易，所以每個人在操作過程中產生了高達14萬美元的手續費；最終導致用戶A損失14萬美元。

導致這起安全事件的原因是Curve資金池流動性不足，并且由于Curve是基于很多項目搭建起來的，所以風險是自下而上累計的。

2）3月12日幣圈暴跌，ETH一度跌幅達到58%，以ETH作為抵押資產的MakerDao去中心化Defi項目的清算機制幾近崩潰。被清算的ETH資產進行拍賣，價高者得。然而在MakerDao進行的3994場拍賣中，有1462場拍賣以0dai成交，導致MakerDao平臺共計損失62893個ETH，價值780萬美元。

成都鏈安：Discover項目正在持續遭到閃電貸攻擊:6月6日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，Discover項目正在持續遭到閃電貸攻擊，攻擊者通過閃電貸使用BSC-USD大量重復兌換Discover代幣，其中一個攻擊者0x446...BA277獲利約49BNB已轉入龍卷風，攻擊交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻擊合約:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6

攻擊者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277[2022/6/6 4:05:40]

事件前因后果為：

MakerDao的最低抵押率為150%，用戶抵押150ETH，可借出100dai。在MakerDAO的原有清算機制設計中，當ETH價格暴跌的時候，用戶抵押的ETH會被清算，以保證MakerDao持續安全運轉；然而當ETH跌至166美元時，MakerDao預言機出現故障，導致系統認為ETH價格仍停留在166美元，致使許多資產未被清算。

成都鏈安：WienerDogeToken遭遇閃電貸攻擊事件分析:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，WienerDogeToken遭受閃電貸攻擊。成都鏈安安全團隊對此事件進行了簡要分析，分析結果如下：攻擊者通過閃電貸借貸了2900個BNB，從WDOGE和BNB的交易對交換了5,974,259,851,654個WDOGE代幣，然后將4,979,446,261,701個代幣重新轉入了交易對。這時攻擊者再調用skim函數，將交易對中多余的WDOGE代幣重新提取出來，由于代幣的通縮性質，在交易對向攻擊地址轉賬的過程中同時burn掉了199,177,850,468個代幣。這時交易對的k值已經被破壞，攻擊者利用剩下WDOGE代幣將交易對內的2,978個BNB成功swap出來，并且將獲利的78個BNB轉到了獲利地址。

這次攻擊事件中，攻擊者利用了代幣的通縮性質，讓交易對在skim的過程中burn掉了一部分交易對代幣，破壞了k值的計算。成都鏈安安全團隊建議項目上線前最好進行安全審計，通縮代幣在與交易對的交互時盡量將交易對加入手續費例外。[2022/4/26 5:11:33]

MakerDao預言機崩潰的原因則是在于預言機是通過實時抓取ETH的交易所報價。然而由于當晚ETH暴跌，導致以太坊鏈上交易數量急劇增加，讓本來就擁堵的以太坊網絡雪上加霜，最終導致預言機崩潰。

成都鏈安：2022年第1季度區塊鏈安全生態造成的損失達到12億美元:4月20日消息，成都鏈安統計數據顯示，加密行業2022年第1季度安全事件造成的損失達到12億美元。[2022/4/20 14:36:00]

所有被清算的ETH進入到拍賣階段，在MakerDao原有的設計機制中沒有考慮到兩個問題：一是不能根據網絡擁堵情況動態而調節曠工費；二是沒有考慮到參與拍賣的人員數量在極度不足的情況難以設立拍賣底價。

正由于上述兩個原因，導致正常參與拍賣的用戶因擁堵的網絡，出價遲遲不能上鏈；別有用心的用戶則提高曠工費，并以0dai的出價參與競拍，最終成功拍下。

3）Defi項目Synthetix公開一個合約漏洞，不過該合約尚未啟用因此未產生損失。

該漏洞存在于Synthetix合約的清算接口。在正常情況下用戶質押ETH而獲得SETH，在抵押期過后進行資產清算，調用清算接口返還SETH獲得ETH；然而該漏洞可導致任意用戶都可以直接Burn掉其他用戶抵押的SETH進而獲得ETH。

不過由于該功能尚處于試用期，并未造成用戶實際資產損失。

動態 | 成都鏈安: 今日被盜巨鯨用戶可能遭到了持續性攻擊:金色財經消息，今日被曝被盜至少1500BTC和約6萬BCH的大戶可能早就被黑客選為攻擊目標，被盜地址1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone自2018年1月23日起共收到5423枚BTC，其中絕大數來自長期持有BTC占據大戶榜前50的地址1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh。2019年2月8日，用戶生成了一筆金額為1662.4的巨額utxo并在19年多次使用該筆資金拆出小額進行交易，我們猜測黑客可能通過該地址與1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh的資金聯系等確認了用戶的身份，黑客可能在19年就確定了目標并進行了持久化的社會工程學攻擊。攻擊者在攻擊得手后立刻開始了混幣和資金轉移，值得注意的是攻擊者用于拆分資金的兩個地址之一在19年頗為活躍，經成都鏈安AMl系統分析發現其中部分資金來自幣安等交易所，這些交易所可能有相關提幣記錄，成都鏈安正在跟蹤這一線索。[2020/2/22]

Beosin評論：

Defi項目正在快速發展壯大，據統計截止2020年，鎖定在以太坊Defi應用中的資產已達到了10億美元。Defi項目的火爆主要來源它的高收益。Defi又被稱為『去中心化金融』，開放式金融的基礎，則是高達8%-10%的收益率必然會伴隨著巨大的風險。

這是一個快速迭代的領域，因此各方Defi團隊開發自己的合約產品也是自由發揮；但并沒有一個統一的、標準的安全方案去遵守，或者說是必須通過嚴格的安全審計，這就導致了各種合約漏洞與相關安全問題層出不窮。

成都鏈安在此建議，任何Defi項目方在開發合約時應重視合約安全問題，以應對各種突發情況和各種非正常使用合約情況，從而避免造成損失；同時建議做好相關安全審計工作，借助專業的區塊鏈安全公司的力量，避免潛在的安全隱患。

交易所方面，共發生『2』起較典型安全事件：

1）3月初，美國司法部宣布制裁涉嫌協助朝鮮黑客組織Lazarus Group洗幣的黑客田寅寅和李家東，并凍結了其所有資產。

黑客田寅寅和李家東曾在數家交易所使用假身份證和篡改后的照片，以繞過KYC流程。據統計，兩名中國公民被控從虛擬貨幣交易所黑客手中洗錢超過1億美元。

2）有情報顯示OMNI鏈上出現了新型USDT假充值攻擊，問題出現在交易所或錢包在檢測USDT充值時沒有校驗交易中的propertyid。黑客通過在鏈上發行新的其他代幣，然后對propertyid進行偽造，從而實現攻擊。

假充值問題已經是老生常談的問題了。從最開始假充值問題頻發的EOS，再到后來的以太坊及各種代幣，以及OMNI鏈上的USDT，都曾遭遇過假充值問題。

造成假充值的原因主要在于兩個問題，代幣的真實性驗證和交易的成功與否驗證。因此成都鏈安建議，交易所和錢包等項目方在驗證交易的時候應驗證交易是否成功、代幣是否正確，以避免假充值攻擊。

詐騙跑路/加密騙局方面，共發生『4』起較典型安全事件：

1）隨著新冠病（COVID-19）在全球的爆發，部分不法分子利用人們對新冠病的擔憂，進行與新冠病有關的加密騙局。

有騙局假冒世界衛生組織（WHO）和疾病控制與預防中心（CDC）向居民發送郵件和短信，聲稱能夠提供居民所在地區COVID-19陽性居民的名單，并索要比特幣（BTC）；還有騙局是誘導用戶下載宣稱用于安卓設備的假新冠病跟蹤應用程序CovidLock。其實為惡意軟件，用于鎖定用戶手機，進而進行勒索。

2）BTC虛假二維碼騙局。有網站聲稱免費將用戶的BTC地址映射成二維碼，便于用戶收錢轉賬；生成的二維碼實則為黑客地址。目前該黑客地址已有超過0.6BTC的轉入。

3）雪碧交易所上線空氣幣PETH，開盤即歸零。所有受害者皆為前期私募受害者，額度在80USDT到1000USDT不等，約為228人。初步估計涉及金額約40萬人民幣，有大學生不幸涉及其中。

4）區塊鏈資金盤『硅谷區塊雞』疑似跑崩盤路。『硅谷區塊雞』是典型的虛擬寵物類資金盤，類似于區塊貓，區塊狗，低價買入寵物，一段時間后高價賣出。此類加密騙局實則為擊鼓傳花類資金盤，直到無人接盤，即是項目崩盤的時刻。

其他方面，共發生『4』起較典型安全事件：

1) 加密投資基金Trident遭黑客攻擊，26.6萬用戶數據遭泄露。

2) 微博用戶5.23億用戶數據泄露，并在暗網進行售賣。

3) 韓國N號房事件。用戶使用Telegram和虛擬貨幣進行交流和付款，由于韓國決定徹查參與直播間觀看的所有用戶，Upbit、Bithumb、Korbit、Coinone、火幣和Kucoin等交易所都表示愿意配合調查用戶信息。

4) 以太坊『一鍵發幣』平臺向開發的代幣合約植入后門，在給項目方發幣的同時偷偷轉幣至自己的賬號，待項目方代幣開始交易時再賣掉獲利。

鑒于當前區塊鏈安全領域的新形勢，『成都鏈安』在此總結：

總的來說，3月關于區塊鏈的安全事件仍然時有發生。安全事件發生的數量處于一個中等水平，事件導致的損失也處于一個中等的水平。然而這并不代表區塊鏈嚴峻的安全形勢趨于緩和，反而表現出所發生的安全事件涉及層面更廣。

其中包括持續升溫，但問題也日漸顯現的Defi項目；仍趨于活躍的暗網市場；洗錢問題；加密騙局；合約漏洞等等，都是當前形勢下難以忽視的安全問題。尤其暗網資金、加密騙局以及洗錢問題等，都是現階段各個交易所趨于合規化首要面臨的關鍵性問題，例如上文提及的田寅寅和李家東洗錢案中，兩人僅通過假身份和假照片的方式就輕易繞過了交易所的KYC驗證，從而幫助朝鮮黑客組織Lazarus Group洗錢超一億美元。

如何對鏈上交易風險進行持續監測和評估，以支撐VASP（虛擬資產服務商）、監管部門、執法部門等開展風險管理、合規監管和調查取證等業務，是成都鏈安后續開展區塊鏈生態

安全監管和推動合規建設的重要攻堅工作。

Tags：ETHDEFIEFIDEFETH官方地址去中心化金融defi是干什么的DeFinerNRGY Defi

中幣