2021年5月盤點
據成都鏈安[鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)]安全輿情監控數據顯示:2021年5月,據不完全統計,整個區塊鏈生態發生的典型安全事件超32起,整體安全風險評級為[高]。本月,盡管其余方面的典型安全事件有所緩和,但[DeFi方面]成為典型安全事件頻發的“重災區”,需高度警惕;幣安智能鏈(BSC)首當其沖,成為黑客發動閃電貸攻擊的“主戰場”。
多起BSC鏈上項目在5月集中“暴雷”,業界稱為“黑色5月”,而這也是DeFi歷史上當前所遭受的攻擊頻次最高、損失最大的一個月。據初步統計,所造成的經濟損失約達3億美元。典型安全事件的頻頻發生,也直接引發了多種虛擬資產幣價閃崩。這個5月,對于投資者、項目方,乃至整個DeFi生態來說,都是空前“灰暗”的一個月。
以下為本月安全月報的詳細事項。
交易所方面
共發生『1』起典型安全事件
01
Hotbit交易所遭到攻擊者攻擊,導致一些基本服務癱瘓,Hotbit團隊將關閉所有服務7天以上,以進行檢查和恢復。
BSN開放聯盟鏈成都鏈已上線:金色財經報道,近日,區塊鏈服務網絡BSN表示,開放聯盟鏈成都鏈已在BSN環境內上線,這是基于BSN環境上線的第9條開放聯盟鏈。BSN開放聯盟鏈(簡稱OPB)包括多條基于公有鏈框架和聯盟鏈框架搭建的公用鏈,此次上線的成都鏈是基于公鏈Casper框架進行合規化改造而來。[2022/12/15 21:46:38]
DeFi方面
共發生『14』起典型安全事件
5月2日,DeFi項目Spartan遭遇閃電貸攻擊,導致3,000萬美元損失。
02
5月7日,ValueDeFi被黑客攻擊,IRONFinance的部分池和產品受到攻擊,導致STEELLP代幣可能耗盡。
03
DeFi收益聚合器RariCapital遭到黑客攻擊,導致價值超過1471萬美元的ETH損失。
04
DeFi協議xToken遭遇閃電貸攻擊,導致2450萬美元的損失。
成都鏈安:8ight Finance項目疑似私鑰泄露,資金總損失接近100萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,8ight Finance項目方疑似私鑰泄露導致被攻擊,資金已從tornado轉移出去,資金總損失:868587 DAI,123621 1USDT,10843 EIGHT,80 ONE.[2021/12/8 12:58:37]
05
5月16日,bEarn Fi遭到攻擊,導致近1100萬美元的損失。
06
5月19日,BSC最大借貸平臺VENUS發生大額清算。目前給Venus平臺造成了1億多美元的壞賬。
07
5月20日,DeFi收益聚合器PancakeBunny遭到閃電貸攻擊,損失約4500萬美元的WBNB和BUNNY。
08
鏈上期權協議FinNexus疑似被攻擊。導致黑客通過某個地址在以太坊上鑄造了3.23億枚FNX,價值600萬美元,在BSC上鑄造了6000萬枚FNX,價值160萬美元。
QitChain已通過成都鏈安安全審計:據官方消息,分布式搜索引擎項目QitChain已通過區塊鏈安全機構成都鏈安的安全審計。
分布式搜索引擎QitChain是一個基于IPFS的區塊鏈搜索工具,旨在成為Web3.0有效數據信息聚合器,在保障用戶安全隱私的同時帶來更高效、更精準的信息查找。
成都鏈安是領先的區塊鏈安全公司,自成立以來,一直致力于區塊鏈安全的生態建設。[2021/10/25 20:55:41]
09
Bogged Finance官方表示,黑客對BOG代幣合約進行了閃電貸攻擊,目前已禁用交易費。
10
AutoSharkFinance遭閃電貸攻擊,幣價出現閃崩,跌幅一度超過99%。
11
Merlin疑似遭到攻擊。據悉,項目方貌似已暫時暫停了MERL代幣的鑄造。
12
BurgerSwap疑似遭遇閃電貸攻擊,被盜約330萬美元的Burger。
13
巧克力COCO智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成巧克力coco智能合約項目的安全審計服務。據介紹,巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議,訂單簿DEX,智能挖礦等等功能的創新和聚合,進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募,社區高度自治。合約地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號:202010042149[2020/10/5]
5月28日,JulSwap遭到閃電貸攻擊,$JULB短時跌幅逾 95%。
14
5月30日,BSC鏈上結合多策略收益優化的AMM協議Belt Finance遭到閃電貸攻擊。
Beosin評論
BSC鏈上項目5月頻頻“暴雷”,損失慘重,這足以向BSC、DeFi,乃至整個區塊鏈生態敲響警鐘。通過復盤各起典型安全事件的共性,不難發現,“閃電貸攻擊”是黑客采取的最主要的攻擊手法;且攻擊金額普遍較大,至少6個項目的損失金額都已超過1000萬美元。
成都鏈安CEO楊霞:DeFi項目方應重視合約安全問題:據官方消息,在由OKEx主辦的“后疫情時代:DeFi的機遇與挑戰”社群活動上,成都鏈安創始人兼CEO楊霞談到最近dForce攻擊事件,她表示,DeFi項目正在快速發展壯大,據我們統計截止2020年,鎖定在以太坊DeFi應用中資產已達到10億美元。DeFi項目火爆主要來源它的高收益。DeFi又被稱為“去中心化金融”,開放式金融基礎,則是高達8%-10%收益率必然會伴隨巨大風險。各方DeFi團隊開發自己合約產品也是自由發揮;但并沒有一個統一的、標準的安全方案去遵守,或者說是必須通過嚴格安全審計,這就導致各種合約漏洞與相關安全問題層出不窮,此次事件項目方就應該進行重入防護:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合約狀態變量,再進行外部調用。任何Defi項目方在開發合約時應重視合約安全問題,以應對各種突發情況和各種非正常使用合約情況,從而避免造成損失;同時建議做好相關安全審計工作,借助專業的區塊鏈安全公司的力量,避免潛在的安全隱患。[2020/4/30]
在此,成都鏈安(Beosin)·安全團隊鄭重呼吁,后續DeFi項目方需著重防范與“閃電貸”相關的攻擊。安全審計、安全防護、安全加固此類工作,之于DeFi項目方而言,切記是不可忽視的;有必要時,可聯動第三方安全公司的力量,建立一套完善和專業的風控措施。
詐騙跑路/加密騙局方面
共發生『7』起典型安全事件
GEC環保幣多次被地方政府驅趕和調查,本次幣價大跌后,再次被曝光其涉嫌傳銷。
詐騙團隊在SNL(周六夜現場)的活動詐騙10萬美元的虛擬資產。
有冒充Coingecko團隊成員的人欺騙加密項目方,聲稱付費即可在Coingecko平臺上列出代幣。
一加(OnePlus)聯合創始人Carl Pei的推特賬戶遭到黑客攻擊,并被用于宣傳加密騙局。
西班牙國民警衛隊(Civil Guard)的官方YouTube賬戶受到疑似魚叉式網絡釣魚攻擊,已被XRP詐騙者接管。該賬戶的名稱已更改為“Ripple - XRP Foundation”,并刪除了所有內容。
美國貨幣監理署(OCC)就近期有關加密欺詐電子郵件發出警告稱,沒有發送此類消息,也沒有為個人利益持有任何資金。
基于BSC構建去中心化金融協議DeFi100被曝出是一個騙局,運營者已經騙取了投資者的錢后跑路。
本月,雖然[DeFi方面]安全形勢嚴峻,但依然不能輕視來自[詐騙跑路/加密騙局方面]的安全威脅。成都鏈安(Beosin)·七星實驗室注意到,近期市面上已出現了多起打著“DeFi”旗號,實為傳銷騙局的各種資金盤項目。作為投資者,切記擦亮雙眼,謹防打著“DeFi”旗號的資金盤傳銷騙局!
勒索軟件/挖礦木馬方面
共發生『3』起典型安全事件
網絡安全軟件公司趨勢科技(Trend Micro)發現了一種新的惡意軟件,名為“熊貓”(Panda)。研究人員稱,加密錢包已與銀行帳戶一樣,都成為了在線盜竊的目標。
Colonial Pipeline上周五向黑客支付了近500萬美元的贖金,而之前的報道稱該公司并無意愿向黑客支付勒索費,以幫助美國輸油管道恢復運營。
新西蘭懷卡托衛生部確認之前網絡攻擊中使用的勒索軟件為“Zeppelin”,衛生部部長對此不予否認。
其他方面
Mask Network的ITO合約遭到機器人攻擊,官方已將地址列入黑名單。
5月6日,Hpool官方稱官網前端遭受DDOS攻擊,暫時不能正常訪問,但不影響挖礦服務。
FeiProtocol開發團隊FeiLabs發現并披露了一個合約漏洞,并立即暫停了該合約。目前該漏洞未被利用,不會影響任何用戶。
吉爾吉斯斯坦國家安全委員會(GKNB)在首都比什凱克和丘伊州打擊非法挖礦行動,突擊搜查并繳獲了2000臺非法虛擬資產采礦設備。
英國突襲伯明翰附近的一個倉庫,發現其是一個相當大的比特幣礦。該比特幣礦機是由非法從主電源中分離出來的電力驅動,設備已被扣押。
一名加利福尼亞男子承認經營無牌匯款業務、洗錢和未能維持有效的反洗錢計劃,被美國沒收了價值約125萬美元的比特幣(18.4枚)和以太坊(222.5枚)。
以太坊核心開發人員發現了EIP-1559中的一個重大漏洞,目前開發人員已經向EIP-1559添加了四項檢查,并修復了該漏洞。
鑒于當前區塊鏈生態的安全態勢,『成都鏈安』在此總結:
從總體上來看,5月典型安全事件較4月顯著上升。事件總數突破“30”關口,整體安全風險由[低]陡升為[高]。尤其是在[DeFi方面],一連串的黑客攻擊、頻頻發生的安全事件、超3億美元的資金損失,無疑對整個DeFi生態的安全秩序造成了災難性打擊。
嚴峻形勢之下,成都鏈安(Beosin)·安全團隊注意到,在Pancakebunny遭到閃電貸攻擊之后,其BSC鏈上諸如Merlin、AutoSharkFinance等仿盤也相繼“淪陷”,這足以說明FORK項目未對原項目有深入的理解,在更新代碼的過程中亦引入了新的安全風險。
DeFi作為一種創新的金融模式,如何在“創新”與“安全”方面找尋一個平衡點,做到兼顧與并行,需要廣大DeFi項目開發者深刻反思。在此,我們建議廣大項目方切記做好相關安全防護建設,對存在異常操作進行實時監控,即刻發現,即刻解決!作為用戶,也應當增強自身安全意識,防范安全風險,避免造成經濟損失。
Tags:DEFIDEFEFI區塊鏈DefiPlazaTRD-DeFiEndless Battlefield區塊鏈工程專業學什么女生比較好
本文由公號"老雅痞"(laoyapicom)授權轉載目前為止,雖然NFTs已經占據大部分了圍繞加密貨幣的時尚對話.
1900/1/1 0:00:00加密貨幣作為一項新興事物,還沒有被很多國家所認可,所以加密貨幣如何征稅的具體方案離落地還很遠,但不少國家已經有了要對加密貨幣征稅的苗頭。不過也有一些國家直接做到了對加密貨幣免稅.
1900/1/1 0:00:00從Compound在2020年6月推出“借貸即挖礦”開始帶火了DeFi,“流動性挖礦”已經流行將近兩年時間。由于DeFi帶動鏈上活動量的上漲,導致gas費長期居于高位.
1900/1/1 0:00:00本文的某些內容涉及潛在的法律風險和策略。作者不是律師,而且這些內容也不構成法律建議。所以在作出任何決定前,請咨詢律師.
1900/1/1 0:00:00眾所周知,加密貨幣似乎并不怎么討監管者喜歡。就在上周,歐洲央行(ECB)行長馬里奧?德拉吉(Mario Draghi)就抨擊了比特幣,稱這種加密貨幣根本不是貨幣,而是一種資產.
1900/1/1 0:00:00孔乙己一到酒館,所有喝酒的人便都看著他笑,有的叫道,“孔乙己,你又學新的 crypto 知識點了!”他不回答,對柜里說,“充1w塊,u 要6.3的。”便排出一月工資.
1900/1/1 0:00:00