EFI:PeckShield：CEX公链DeFi风起，项目跑路谁向投资者负责？_APE

编者按：本文来自PeckShield，Odaily星球日报经授权转载。据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共生38起较为突出的安全事件。涉及DeFi相关21起、交易所安全6起、勒索相关1起，事件10起。

CEX公链DeFi“土矿”跑路谁向投资者负责？

自2020年DeFi点燃FOMO情绪后，曾经食物链顶端的CEX的优势逐渐减弱，尤其是从增量市场变为存量市场以后，CEX开始寻求新的突破点。公链作为区块链行业的发展基石，是交易所发力的重要突破点，它不仅能将交易所的各个生态布局连接到一起，同时也是与DeFi连接的契合点。2020年下半年，币安、火币、OKEx等各大中心化交易所纷纷加快布局自己的公链支持DeFi项目，为抢占DeFi市场分一杯羹。2021年起，CEX公链上的DeFi项目陆续出现跑路的状况。据PeckShield统计，2月CEX公链上的DeFi“土矿”跑路项目至少有4起。

ApeCoin社区关于推出Ape Launchpad平台的提案已获投票通过:5月18日消息，Snapshot投票页面显示，ApeCoin社区关于推出生态项目孵化器Ape Launchpad的AIP-209提案已获投票通过，最终支持率达59.09%。该提案旨在通过孵化和推动有助于ApeCoin和BAYC IP生态系统增长的项目，进一步加强ApeCoin和BAYC生态系统，APE和BAYC生态NFT持有者可以访问Launchpad并对项目进行投资，ApeCoin DAO贡献者也将有机会尽早参与有前途的Ape项目。[2023/5/18 15:11:10]

2月1日，媒体报道称，币安智能链上的DeFi“土矿”项目Popcornswap和MultiFinancial跑路，分别损失约48,000BNB和5,000BNB。此前，币安智能链上的ZapFinance、TinFinance和SharkYield等DeFi项目被爆相继跑路。2月8日，火币公链HECO上的借贷项目Filda疑似被盗580万HUST。2月28日，媒体报道称，火币公链HECO上的项目tokenlink疑似跑路，损失几百万USDT。CEX公链上的DeFi项目已现跑路的态势，投资者该向谁问责？对此，CEX相关负责人曾表示CEX搭建的公链与以太坊等公链一样，不应该为构建在其上面可能存在问题的项目负责。PeckShield安全专家表示：“从CEX所推出的公链的定位上来看，它们致力于打造一条公有链，即非许可链。在理想状态下，任何人都可以参与区块链数据维护和读取，容易部署应用程序，完全去中心化不受任何机构控制。但值得注意的是，CEX所推出的公链还处于发展初期，在构建生态的过程中，可能还需要有一个‘弱中心化’的过渡过程。从投资者角度来看，由于CEX的公链由CEX部署，虽然CEX可以对上线项目进行免责声明，但用户或将其品牌视作一种信用背书，改进和完善制度治理是CEX亟待解决的问题。”蔓延至DeFi领域DeFi可组合性漏洞持续凸显

ApeCoin关于成立多语言信息中心Apeverse的提案未获投票通过:4月21日消息，Snapshot投票页面显示，ApeCoin社区关于成立多语言信息中心Apeverse的AIP-232提案未获得投票通过，该投票弃权率达54.2%，反对率为41.85%，支持率仅为3.95%。该提案提议创建多语言信息中心Apeverse，以作为Ape社区联系和协作的平台，允许成员提交相关进展和事件来鼓励成员之间的合作等。[2023/4/21 14:17:45]

除了CEX公链上的DeFi项目跑路的安全事件外，据PeckShield统计，2月共发生21起DeFi安全事件，事件已蔓延至DeFi领域，DeFi的可组合性漏洞持续凸显。2月5日，Yearnv1yDAI保管库遭到攻击，保管库损失了1100万美元，攻击者窃取了280万美元。2月5日，DeFi保险项目ArmorFi向白帽黑客支付150万美元的漏洞赏金。据悉，这名黑客发现了该协议的一个“关键漏洞”，该漏洞可能会导致该公司所有的承保资金被耗尽。2月8日，去中心化交易协议Curve表示发现聚合协议Yearn全新的yv2资金池存在问题，为了保护流动性提供者，该资金池已经关闭。2月9日，去中心化衍生品交易所dYdX官方推特表示，目前尚未发币，也没有进行预售或空投。用户需警惕相关局。2月9日，智能DeFi收益聚合器BT.Finance遭到黑客攻击，损失约150万美元。2月13日，DeFi协议Cream.Finance以及AlphaFinance遭到闪电贷攻击，损失3,750万美元。2月15日，以太坊链上期权协议PrimitiveFinance发推称，PrimitiveFinance没有协议代币，用户需警惕相关局。2月20日，基于Tezos构建的DEXDexter被曝合约存在漏洞，该漏洞允许在未经授权的情况下提取资金，开发团队NomadicLabs已重写合约。2月21日，DAOMaker发推提醒用户，警惕冒充DAOMaker的局。2月22日，以太坊链上期权协议PrimitiveFinance智能合约中发现了一个严重漏洞。由于合约不可升级或暂停，官方利用自己的智能合约进行黑客攻击以保护用户资金。2月22日，去中心化借贷协议ForTube披露两周前的安全漏洞，暂无用户因漏洞而造成损失。2月24日，以太坊二层扩容解决方案开发团队MatterLabs发推质疑去中心化交易所ZKSwap的用户资金安全。2月25日，有报告指出，自动做市商在交易或代币互换之前使用的审批机制可能存在安全漏洞，报告称该功能允许第三方代表用户从其账户中发送代币。与此同时，报告发现有欺诈者正在使用该手法利用钓鱼邮件取LINK。2月26日，DeFiBox监测发现，上线火币生态链Heco的基金投资平台MFD存在预挖风险。2月27日，DeFi收益聚合器Yeld.Finance的DAI池遭到闪电贷攻击，损失16万DAI。2月28日，DeFi聚合平台Furucombo遭到黑客攻击，损失超过1400万美元。由于CreamFinance未及时从钱包里撤销所有对外部合约的授权，因此受到该漏洞的影响，造成损失约110万美元。2月28日，DeFi保险协议Armor.Fi发推表示，一名者从团队成员取120万枚ARMOR代币，目前已经以大约600ETH的价格抛售完毕。PeckShield发现，2月所发生的DeFi项目Furucombo、PrimitiveFinance遭攻击都与DeFi无限授权模式相关，该授权方式使得钱包无需经过用户任何许可，即可支配其所有资产，且不受用户私钥保管限制。PeckShield提示用户切勿过度授权。对于协议开发者而言，在尝试创新的基础上，需要提高安全意识，定位组合可能存在的问题，在做安全审计时充分考虑系统组合时存在的业务逻辑缺陷，进而做到安全防御为首。其次，由于DeFi项目与资产紧密相连，容易成为潜在的攻击对象，这就要求DeFi协议开发者提升安全防御等级，包括项目上线前的安全审计，项目运行中的异常数据预警和危机发生时及时的应急响应等等。交易所攻击

AIP-183投票结束，Cartan Group与ApeCoin DAO合同结束后将不在担任其社区管理员:金色财经报道，Cartan Group发起的AIP-183提案已于今日（12月22日）投票结束，该提案要求ApeCoin DAO社区将双方合同延长12个月，根据最终投票结果显示，反对票占比达到77.36%，这意味着Cartan Group与ApeCoin DAO合同结束后将不在担任其社区管理员。Cartan Group是ApeCoin DAO成立之初的社区“管理员”，负责对社区提案的治理流程和投票流程进行管理，预计ApeCoin DAO或将寻找一个替代者管理各种社区任务，包括取代Cartan Group的ApeCoin基金会董事角色。[2022/12/23 22:02:05]

据PeckShield统计，2月共发生6起典型的交易所安全事件，包括英国加密货币交易所Exmo遭到DDoS攻击，服务器暂停使用。影响较?的安全事件为2月1日交易所Cryptopia再次遭黑客入侵，被盗取约62,000新西兰元的加密货币。调查显示，黑客访问了一个自2019年被盗后一直处于休眠状态的钱包，该钱包由Cryptopia的清算人GrantThornton控制。&勒索

声音 | PeckShield: EOS竞猜游戏EOSlots遭随机数破解:今天晚上21:16～21:21之间，PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏EOSlots发起连续攻击，并获利数千EOS，目前游戏已经暂停运营。PeckShield安全人员初步研究发现，此次是因游戏合约随机数问题被攻破。在此提醒，开发者应在合约上线前做好安全测试，特别注意随机数生成算法的安全问题，必要时可寻求第三方安全公司协助，帮助其完成合约上线前黑盒测试及基础安全防御部署。[2019/4/4]

据PeckShield旗下反欺诈态势感知系统CoinHolmes统计，2月共计发生10起相关安全事件和1起勒索事件。2月4日，社交平台Discord上出现比特币赠送局，以收集加密用户数据。2月5日，澳大利亚男子被指通过加密货币对冲基金9000万美元，现已认罪。2月5日，德国检察官从一名者手中没收了价值超过5,000万欧元的比特币，但面临一个尴尬的问题，即无法破解密钥而不能解锁这笔资产。2月6日，美国司法部宣布，塞尔维亚公民AntonijeStojilkovic涉嫌加密货币投资者逾7,000万美元，已被引渡到美国，面临共谋实施欺诈和的指控。据称，Stojilkovic及其同伙在塞尔维亚等地建立了20多个虚假交易平台。2月8日，美国佛罗里达州电信公司的StephenDediore被指控进行SIM交换，窃取加密货币。如果罪名成立，Dediore将面临最高5年监禁和最高25万美元的罚款。2月10日，比利时能源部长TinneVanderStraeten的推特帐户被黑。其推特账户被改名为“以太坊基金会”，并发布以太坊赠品局诱使其关注者进入欺诈网站。2月11日，欧盟执法机构逮捕通过SIM交换窃取价值1亿美元加密货币的黑客。2月11日，日本检察官已指控一群体涉嫌处理价值1.8亿美元Coincheck交易所被盗虚拟货币。2月17日，美政府起诉北朝鲜黑客组织LazarusGroup的三名成员，涉嫌窃取逾13亿美元的资金和虚拟货币。2月18日，汽车制造商起亚汽车遭到勒索攻击，黑客索要600枚比特币作为赎金。由于加密货币具有匿名性、链上资产转移路径复杂、技术追踪难度大，从而加大了相关部?执法的难度。除了完善相关的法律法规，全球执法机构亟待引?新的监管?具和技术。

动态 | PeckShield发布EOS高危账号预警 存在“彩虹”攻击被盗风险:近日区块链安全公司PeckShield在分析EOS账户安全性时发现，部分EOS用户正在使用的秘钥存在严重的安全隐患。问题的根源在于部分秘钥生成工具允许用户采用强度较弱的助记词组合，而通过这种方式生成的秘钥很容易存在“彩虹”攻击，进而导致账户数字资产被盗。针对此安全威胁，为了帮助用户减少可能的经济损失，PeckShield安全人员定制了一套危机解决方案：

1、披露因助记词使用问题导致的资产被盗漏洞细节，并呼吁EOS社区用户加强安全防范，避免使用空助记词或较弱的助记词组合；

2、启用EOSRescuer（peckshield.com/eosrescuer）公共查询服务，用户可一键查阅自己的账号是否存在安全风险；

3、将已经监测到的存在高安全风险的用户资产暂时转移到特定的安全账户，受影响用户可联系PeckShield进行认领。为确保用户利益不受侵害，PeckShield会将上述安全账户的所有记录透明公开，并接受第三方媒体的监督。注：用户认领时需提供EOS账户所有权的证明，包括必要的交易记录等。[2018/7/11]

标签：EFIDEFDEFIAPEdefi币价格涨跌原理IC DeFiDeFi Coin BonusNo Limit Ape

欧易交易所热门资讯