月亮链 月亮链
Ctrl+D收藏月亮链
首页 > MANA > 正文

COI:PeckShield:八月共发生安全事件28起,DeFi市场成重灾区_kcoin币行纪念币

作者:

时间:1900/1/1 0:00:00

据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生28起较为突出的安全事件,危害程度评级为「中级」,涉及DeFi8起、钱包安全2起,公链安全6起,交易所相关1起,勒索相关4起,跑路7起等。

DeFi安全

8月份共发生8起DeFi相关安全事件,具体如下:1)DeFi项目YamFinance发布推文称,在Rebase合约时发现一个bug。初始重新设置之后的Rebase将产生比预期更多的YAM。具体参看PeckShield安全团队跟进分析的技术解读文章《回天乏术,一开始就注定失败的YAM投票拯救行动!》2)DeFi项目YFValue发布公告称,团队于昨日在YFV质押池中发现一个漏洞,恶意参与者借此漏洞对质押中的YFV计时器单独重置。3)08月05日,DeFi期权平台Opyn的看跌期权智能合约遭到黑客攻击,损失约37万美元。攻击者发现Opyn智能合约行权接口对接收到的ETH存在某些处理缺陷,其合约并没有对交易者的实时交易额进行检验,使得攻击者可以在一笔对自己发起真实的交易之后,再插入一笔伪装交易得卖方所抵押的数字资产,进而实现空手套白狼。具体参看《PeckShield:DeFi平台Opyn智能合约漏洞详解——攻击者空手套白狼!》4)YFII的硬分叉项目YYFI已在8月1日凌晨彻底成为了“退出局”,从一开始这个项目似乎就打定了注意为自己的跑路做好了准备。5)推特上有网友爆料称DeFi流动性挖矿项目Degen.Money通过两次授权获取用户资金。第一次授权给了质押合约,第二次授权给了转账权,会导致用户资金被攻击者拿走。6)新兴的自动做市商平台SushiSwap,被曝智能合约中存在多个安全漏洞。该漏洞可能会被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。7)DeFi流动性耕种匿名项目BASED官方宣布将重新部署质押池,官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。8)两个小型代币项目——NUGS和NEXE——在上线Uniswap不久后疑似已进行了“跑路”。NUGS项目将这一举动归咎于“智能合约漏洞”,在其官方电报频道,NUGS表示其智能合同现已“无法修复”。另一个项目NEXE疑似也已跑路,该项目的社交媒体账号已被删除。PeckShield点评:随着DeFi项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield在此建议,DeFi项目方在上线之前,应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。数字钱包安全

ApeCoin DAO发起新提案AIP-259拟建立一个新的指导委员会:金色财经报道, ApeCoin DAO已发起了一项新提案AIP-259拟建立一个新的指导委员会,以在ApeCoin DAO内部建立明确决策流出,优先考虑并在特定市场开展营销推广行动,继而最大限度发挥ApeCoin DAO的影响力,该指导委员会将负责DAO营销,并在外部咨询公司的帮助下或社区成员的帮助下开展研究,如果运行顺利则会与2024 年第一季度向ApeCoin DAO提出最终营销AIP。根据Snapshot信息显示,该提案将于7月6日结束投票,当前赞成票率高达99.98%。[2023/7/1 22:11:58]

8月份共发生2起钱包安全事件:1)一GitHub用户表示其比特币巨额款项被黑客盗取。据悉,该用户使用的是比特币钱包Electrum软件,上次访问是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装,因此他这回转移比特币之前,被提示更新和修补潜在问题。但当他根据提示操作的时候,该软件利用一个漏洞连接了黑客的服务器,1400枚BTC随即从他的钱包中被取出,存入了黑客的钱包中。2)8月30日消息,加密钱包提供商Ledger最近出现了数据库泄露以及钱包漏洞,使用户的比特币面临风险。Ledger首席技术官CharlesGuillemet对此表示,就数据库泄露而言,攻击者通过第三方在我们网站上配置错误的API密钥访问了我们的电子商务和营销数据库的一部分,允许未经授权访问我们客户的联系方式和订单数据。Ledger在同一天修复了这个问题,并禁用了API密钥。PeckShield点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。公链安全

ApeCoin DAO拟于5月5日前开放社区话语促进者角色申请:金色财经报道,ApeCoin DAO在社交媒体宣布拟于5月5日前开放社区话语促进者角色申请,允许社区成员参与治理过程,促进者角色对治理至关重要,ApeCoin DAO将于5月18日至5月24日进行快照,遵循通常的 AIP 投票周期社区最终将从申请人中选择两名候选人,他们将负责审查用户的个人资料和帖子、与作者和社区协调以通过批准的治理流程推动 AIP 以及展示全职承诺方面发挥关键作用。[2023/5/3 14:39:56]

8月份共发生6起公链相关安全事件:1)8月4日早间,AdamantCapital创始人TuurDemeester发推称,今日比特币全节点可能正在遭受连接槽耗尽攻击。而根据TuurDemeester所转发的Blockstream副总裁WarrenTogami发布的消息,其监测的几个比特币全节点,所有转入的连接插槽都满了。WarrenTogami表示,当公共传入连接槽耗尽时,来自本地主机的传入连接将停止。2)根据北京大学、北京邮电大学、浙江大学和昆士兰大学的研究人员的一项新研究,以太坊区块链上价值超过10亿美元的代币缺少2017年发布的一项软件标准,使这些代币容易被劫持并从交易所流失。该软件漏洞被称为假冒存款漏洞,已在7772个ERC-20代币发行商处被发现。该研究表明,通过操纵使用了不足的交易验证方法的ERC-20代币智能合约中的代码,黑客几乎可以无成本取大量资金。假冒的存款攻击随后可能会使交易所崩溃,导致ERC-20代币和其他加密货币持有人损失其资金。3)OpenEthereum中的一个更新使运行在新版本上的节点基本上无用,这个bug似乎是在OpenEthereum的2.7.2版本中引入的。OpenEthereum决定简单地废弃2.7版本,因为此版本及其bug非常难修复。最新的2.5.13稳定版迭代定于9月中旬在Berlin硬分叉之前发布。但是,在此之前,下载新版本的运营商将面临极具破坏性的降级任务。基础架构开发商BlockNative的开发商LiamAharon在Twitter上强调,降级需要完全重新同步区块链,“对于某些节点配置,这将需要数月的时间。”该漏洞影响了当前Parity大约50%的节点,根据Ethernodes的数据,该节点总计占整个网络的12%。OpenEthereum团队正在研究一种转换过程,该过程将帮助节点避免昂贵的重新同步。4)Bitfly发推称,今天,ETC区块链在区块高度10904146经历了一次3693个区块的链重组。这导致所有状态修建节点停止同步。这可能是51%攻击造成的,而后官方寻求所有交易所立即停止存取款,并调查所有最近发生的交易。5)8月30日,Bitfly官方发推称,今日ETC又遭遇了一次大规模51%攻击,导致7000多个区块发生重组,相当于大约2天的开采时间。所有丢失的区块将从未到期的余额中移除,其将检查所有支出以查找丢失的交易。6)8月25日,Filecoin太空竞赛开启,CDSI联盟节点"t02398"便遭受大量恶意非法攻击,攻击者通过已过滤白名单发送大量message堵塞节点,消耗Lotus节点大量运算使得节点不能正常完成任务最终导致丢掉算力。PeckShield点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。交易所相关

ApeCoin配对质押机制将使用户在出售NFT后损失质押的代币:金色财经报道,12月5日上线的ApeCoin质押系统支持用户直接质押ApeCoin代币,或将代币与Bored Ape或Mutant Ape NFT配对质押。当配对质押时,只有代币被锁定在智能合约中,NFT仍然可以在OpenSea或任何其他市场上出售。当NFT售出时,持有者将失去质押的ApeCoin给NFT的买家,因为配对的NFT充当访问密钥。

PeckShield已报道了两起该漏洞的受害者,一交易员使用来自dydx的82ETH(103000美元)快速贷款购买了BAYC#6762并认领了质押的6400枚APE(26240美元),然后交易员以88ETH的价格出售了NFT和ApeCoin,获利6ETH。另一名交易员通过购买BAYC#1633获利了近8个ETH。[2022/12/7 21:27:33]

8月份共发生1起交易所相关安全事件:1)韩国第三大数字货币交易所Coinbit被韩国查封调查,其董事长以及运营方涉嫌交易所内部交易和操纵市场价格。据悉,Coinbit排在Bithumb和Upbit之后,为韩国第三大交易所。称该公司涉嫌利用非法手段赚取了至少1000亿韩元的非法利益,Coinbit同时涉嫌伪造了其超过99%交易量。PeckShield点评:黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。详情可访问www.coinholmes.com了解。勒索相关

声音 | PeckShield创始人:相对中心化交易所,去中心化交易所是一个更安全的选择:PeckShield创始人兼CEO蒋旭宪博士表示,攻击者都是追求利益回报的。中心化交易所持有币的数量和价值,都远远大于去中心化交易所。攻击者在选取攻击目标的时候,当然会盯着价值更大的一方。另外,去中心化交易所的资产由合约掌管,而且大多数是开源的,也有助于全世界的程序员帮你审核项目有没有漏洞。整个交易流程的公开透明也使其出问题的概率降低。所以相对而言,去中心化交易所是一个更安全的选择。[2019/5/15]

8月份共发生4起勒索相关安全事件:1)过去几周,一个犯罪团伙对全球一些最大的金融服务提供商发起了DDoS攻击,并索要比特币赎金。据悉,该组织使用了像ArmadaCollective和FancyBear这样的名字——这两个名字都是借鉴了知名黑客组织——给公司发邮件,威胁将进行DDoS攻击并索要比特币赎金。2)勒索软件犯罪团伙REvil,声称已成功袭击了美国葡萄酒和烈酒巨头Brown-FormanCorp,黑客在其暗网官方博客以大约150万美元的价格出售被盗数据。不过,Brown-FormanCorp在一份声明中表示,他们已经成功地阻止了该网络犯罪团伙加密文件。3)奥地利正在调查炸弹威胁勒索激增的情况,此前有多家公司周二早上收到了勒索比特币的电子邮件。邮件内容显示,如果不在未来80小时内支付价值2万美元的比特币,他们将引爆炸药。奥地利媒体称,电子邮件中还包含有关如何购买比特币的说明。4)特斯拉通过与美国联邦调查局展开合作,成功破获一起计划中的勒索软件攻击。据悉,该起攻击的目标是特斯拉位于内华达州的一处工厂,攻击者要求特斯拉支付价值数百万美元的比特币。PeckShield点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索。其他跑路等事件

声音 | 安全公司PeckShield:Fomo3D游戏存在“薅羊毛”安全漏洞:近日,备受关注的Fomo3D游戏团队核心成员声称,发现了一个足以毁灭以太坊的“核武器”级别漏洞。以太坊基金会开发团队负责人之一Péter Szilágyi在Twitter回复这只是一种符合规范的实现,并非Fomo3D开发者所声称的EVM缺陷;是Fomo3D对该特性的误用导致合约的空投机制出现一个可被“薅羊毛”的安全漏洞。

PeckShield安全研究人员已经确认了该漏洞的存在。具体而言:Fomo3D游戏存在一个随机性的空投机制,用户有较小概率获得官方的空投奖励。攻击者可通过一定的技术手段提高事件的发生概率,进而通过操作获得空投。目前,影响范围已经从Fomo3D扩散至多个具有相似源代码的同类游戏,提醒广大用户和开发者警惕此种攻击行为。[2018/7/24]

除上述之外,8月份还发生了多起跑路事件值得警惕,例如:1)兰州市局安宁分局近日成功打掉了一个利用虚假理财平台实施电信网络犯罪的犯罪团伙,共抓获犯罪嫌疑人41人,冻结涉案赃款27万余元、查扣宝马汽车2辆以及用于作案的手机、电脑等工具100余台。2)8月20日,从江苏省苏州市局获悉,在“净网2020”专项行动中,该市破获一起针对虚拟货币的黑客犯罪案件,抓获多名犯罪嫌疑人。嫌疑人专门利用黑客手段盗取账户密码、窃取虚拟货币,并通过暗网联系职业销赃团伙变现,涉案金额达3000余万元。3)以色列网络安全公司Mitiga建议运行某些程序的亚马逊网络服务的所有客户检查自己是否受到了门罗币挖矿软件的恶意感染。在今天的一份报告中,Migita称任何运行基于CommunityAMIs的EC2实例的用户都容易受到该加密挖矿软件的攻击。据悉,Migita是在检查一家金融机4)腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH爆破登陆服务器,然后执行恶意命令下载Muhstik僵尸网络木马。该僵尸网络会控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。5)西班牙加密货币支付应用和信用卡发行商2gether承认,上周五黑客盗取140万美元,公司无法立即偿还受攻击影响的用户,并提出一个折衷方案。2gether一直在努力寻找资金,但是与一家投资集团的谈判失败,未能找到资金向所有用户偿还被盗资金。6)8月15日消息,中国香港逮捕了三名男子,他们涉嫌从比特币ATM机中取近23万港元(合3万美元),这是香港首例此类案件。在两家加密货币交易所提交报告后,在过去两天采取了行动。这些交易所怀疑犯罪分子利用了自动取款机的“漏洞”,在没有得到官方授权的情况下提取现金。7)近期,广州白云在深入开展飓风2020专项行动过程中,发现并打掉了一个借助“跑分”平台进行数字货币交易,从而为电信“”的团伙,抓获涉案嫌疑人9人,缴获作案手机、银行卡等涉案物品一批。PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

标签:COICOINOINAPEpiratecoin币行情EtherInc Coinkcoin币行纪念币PAPER

MANA热门资讯
SWAP:Sushiswap“打错币”事件:我想省下Gas费,却丢了40万美元_shibm币在哪个平台交易

作者|秦晓峰编辑|Mandy出品|Odaily星球日报 DeFi流动性挖矿爆红,造富神话当前,之前踏空的老韭菜也按捺不住,纷纷下场。但你永远不知道,意外和暴富,哪一个会先来.

1900/1/1 0:00:00
STA:科普:波卡如何设置代理账户?_pols币最新消息

编者按:本文来自PolkaWorld,Odaily星球日报经授权转载。波卡提供了代理模块,你可以通过它来设置代理账户,从而增加一层安全性。本文是波卡百科的一部分.

1900/1/1 0:00:00
比特币:国盛区块链:建设银行上线数字人民币,正式公测可期_莱特币和比特币的区别

编者按:本文来自吉时通信,Odaily星球日报经授权转载。事件根据澎湃新闻、21世纪经济报道等媒体,8月29日,建设银行短暂上线数字人民币功能,随后关闭了该功能.

1900/1/1 0:00:00
AMA:大热的波卡及波卡生态,是价值发现还是被严重高估?_Amalgam

编者按:本文来自白话区块链,作者:五火球教主,Odaily星球日报经授权转载。这两天最热的项目,波卡敢说第二,没人敢说自己是第一.

1900/1/1 0:00:00
比特币:“94”重演,比特币暴跌,听听分析师们怎么说_CHX

编者按:本文来自链内参,作者:内参君,Odaily星球日报经授权转载。过去的一个星期,比特币似乎处于三个多月来最悲观的状态.

1900/1/1 0:00:00
BIT:韩国最大交易所Bithumb遭突袭,加密货币市场上演近期最大下跌_HUM

编者按:本文来自巴比特资讯,作者:Kyle,星球日报经授权发布。9月2日晚间,加密货币市场突然集体下跌,BTC、ETH等主流币种无一幸免,遭遇近半个月以来最大跌幅.

1900/1/1 0:00:00