ETH:成都链安：3月发生较典型安全事件超17起，以太坊DeFi前景与风险并存，活动有所增加_future币区块链

据成都链安「区块链安全态势感知系统」数据监测显示，在过去的3月中，各类安全事件时有发生。成都链安安全人员统计3月发生较典型安全事件超17起，涉及以太坊Defi安全，交易所安全，跑路问题以及其他安全事件。从另一个角度来说，则包含了虚拟货币资产安全问题和用户数据安全问题。Defi方面，共发生3起较典型安全事件：近几月来，随着Defi金融持续升温，随之显现而出的安全问题也日益突出。距离我们不远的bZx闪电贷二度开花攻击事件，已经在提醒我们Defi的逐渐繁荣景象之下，是否隐藏着巨大的安全风险？1）2月28日，一名用户在CurveV4流动性不充足的前提下进行了超大额的兑换，虽然团队发现了该事件，并立即进行了补救，但这名用户最终还是损失了14万美元资产。具体的事件过程为：用户A希望将CurveV3资金池中的资金转移至V4资金池，进行了多次稳定币兑换。由于VE资金池中稳定币USDC的资金数量严重不足，导致用户兑换了数量不足的USDC，最终致使46万美元的资产损失。由于用户A的操作使得V4资金池中4种稳定币数量不平衡，瞬间拉高了V4的手续费收益率；用户B观察到升高的手续费收益率之后，尝试进行套利，用3.3万美元兑换了9万BUSD，所有套利操作获利3527美元。Curve团队发现问题之后，立即对CurveV4资金池中的资金进行补足。由于各方进行了金额较大且极度不平衡的交易，所以每个人在操作过程中产生了高达14万美元的手续费；最终导致用户A损失14万美元。导致这起安全事件的原因是Curve资金池流动性不足，并且由于Curve是基于很多项目搭建起来的，所以风险是自下而上累计的。2）3月12日币圈暴跌，ETH一度跌幅达到58%，以ETH作为抵押资产的MakerDao去中心化Defi项目的清算机制几近崩溃。被清算的ETH资产进行拍卖，价高者得。然而在MakerDao进行的3994场拍卖中，有1462场拍卖以0dai成交，导致MakerDao平台共计损失62893个ETH，价值780万美元。事件前因后果为：MakerDao的最低抵押率为150%，用户抵押150ETH，可借出100dai。在MakerDAO的原有清算机制设计中，当ETH价格暴跌的时候，用户抵押的ETH会被清算，以保证MakerDao持续安全运转；然而当ETH跌至166美元时，MakerDao预言机出现故障，导致系统认为ETH价格仍停留在166美元，致使许多资产未被清算。MakerDao预言机崩溃的原因则是在于预言机是通过实时抓取ETH的交易所报价。然而由于当晚ETH暴跌，导致以太坊链上交易数量急剧增加，让本来就拥堵的以太坊网络雪上加霜，最终导致预言机崩溃。所有被清算的ETH进入到拍卖阶段，在MakerDao原有的设计机制中没有考虑到两个问题：一是不能根据网络拥堵情况动态而调节旷工费；二是没有考虑到参与拍卖的人员数量在极度不足的情况难以设立拍卖底价。正由于上述两个原因，导致正常参与拍卖的用户因拥堵的网络，出价迟迟不能上链；别有用心的用户则提高旷工费，并以0dai的出价参与竞拍，最终成功拍下。3）Defi项目Synthetix公开一个合约漏洞，不过该合约尚未启用因此未产生损失。该漏洞存在于Synthetix合约的清算接口。在正常情况下用户质押ETH而获得SETH，在抵押期过后进行资产清算，调用清算接口返还SETH获得ETH；然而该漏洞可导致任意用户都可以直接Burn掉其他用户抵押的SETH进而获得ETH。不过由于该功能尚处于试用期，并未造成用户实际资产损失。Beosin评论：Defi项目正在快速发展壮大，据统计截止2020年，锁定在以太坊Defi应用中的资产已达到了10亿美元。Defi项目的火爆主要来源它的高收益。Defi又被称为「去中心化金融」，开放式金融的基础，则是高达8%-10%的收益率必然会伴随着巨大的风险。这是一个快速迭代的领域，因此各方Defi团队开发自己的合约产品也是自由发挥；但并没有一个统一的、标准的安全方案去遵守，或者说是必须通过严格的安全审计，这就导致了各种合约漏洞与相关安全问题层出不穷。成都链安在此建议，任何Defi项目方在开发合约时应重视合约安全问题，以应对各种突发情况和各种非正常使用合约情况，从而避免造成损失；同时建议做好相关安全审计工作，借助专业的区块链安全公司的力量，避免潜在的安全隐患。交易所方面，共发生2起较典型安全事件：1）3月初，美国司法部宣布制裁涉嫌协助朝鲜黑客组织LazarusGroup洗币的黑客田寅寅和李家东，并冻结了其所有资产。黑客田寅寅和李家东曾在数家交易所使用假身份证和篡改后的照片，以绕过KYC流程。据统计，两名中国公民被控从虚拟货币交易所黑客手中超过1亿美元。2）有情报显示OMNI链上出现了新型USDT假充值攻击，问题出现在交易所或钱包在检测USDT充值时没有校验交易中的propertyid。黑客通过在链上发行新的其他代币，然后对propertyid进行伪造，从而实现攻击。Beosin评论：假充值问题已经是老生常谈的问题了。从最开始假充值问题频发的EOS，再到后来的以太坊及各种代币，以及OMNI链上的USDT，都曾遭遇过假充值问题。造成假充值的原因主要在于两个问题，代币的真实性验证和交易的成功与否验证。因此成都链安建议，交易所和钱包等项目方在验证交易的时候应验证交易是否成功、代币是否正确，以避免假充值攻击。跑路/加密局方面，共发生4起较典型安全事件：1）随着新冠病在全球的爆发，部分不法分子利用人们对新冠病的担忧，进行与新冠病有关的加密局。有局假冒世界卫生组织和疾病控制与预防中心向居民发送邮件和短信，声称能够提供居民所在地区COVID-19阳性居民的名单，并索要比特币；还有局是诱导用户下载宣称用于安卓设备的假新冠病跟踪应用程序CovidLock。其实为恶意软件，用于锁定用户手机，进而进行勒索。2）BTC虚假二维码局。有网站声称免费将用户的BTC地址映射成二维码，便于用户收钱转账；生成的二维码实则为黑客地址。目前该黑客地址已有超过0.6BTC的转入。3）雪碧交易所上线空气币PETH，开盘即归零。所有受害者皆为前期私募受害者，额度在80USDT到1000USDT不等，约为228人。初步估计涉及金额约40万人民币，有大学生不幸涉及其中。4）区块链资金盘「硅谷区块鸡」疑似跑崩盘路。「硅谷区块鸡」是典型的虚拟宠物类资金盘，类似于区块猫，区块狗，低价买入宠物，一段时间后高价卖出。此类加密局实则为击鼓传花类资金盘，直到无人接盘，即是项目崩盘的时刻。其他方面，共发生4起较典型安全事件：1)加密投资基金Trident遭黑客攻击，26.6万用户数据遭泄露。2)微博用户5.23亿用户数据泄露，并在暗网进行售卖。3)韩国N号房事件。用户使用Telegram和虚拟货币进行交流和付款，由于韩国决定彻查参与直播间观看的所有用户，Upbit、Bithumb、Korbit、Coinone、火币和Kucoin等交易所都表示愿意配合调查用户信息。4)以太坊「一键发币」平台向开发的代币合约植入后门，在给项目方发币的同时偷偷转币至自己的账号，待项目方代币开始交易时再卖掉获利。鉴于当前区块链安全领域的新形势，成都链安在此总结：总的来说，3月关于区块链的安全事件仍然时有发生。安全事件发生的数量处于一个中等水平，事件导致的损失也处于一个中等的水平。然而这并不代表区块链严峻的安全形势趋于缓和，反而表现出所发生的安全事件涉及层面更广。其中包括持续升温，但问题也日渐显现的Defi项目；仍趋于活跃的暗网市场；问题；加密局；合约漏洞等等，都是当前形势下难以忽视的安全问题。尤其暗网资金、加密局以及问题等，都是现阶段各个交易所趋于合规化首要面临的关键性问题，例如上文提及的田寅寅和李家东案中，两人仅通过假身份和假照片的方式就轻易绕过了交易所的KYC验证，从而帮助朝鲜黑客组织LazarusGroup超一亿美元。如何对链上交易风险进行持续监测和评估，以支撑VASP、监管部门、执法部门等开展风险管理、合规监管和调查取证等业务，是成都链安后续开展区块链生态安全监管和推动合规建设的重要攻坚工作。在不久的将来，成都链安将针对这些亟需解决的痛点，推出「虚拟资产反合规及调查取证系统」——Beosin-AML。作为成都链安「一站式区块链安全服务平台」核心安全产品之一，Beosin-AML将全力助力区块链生态应用建立完备的防护体系。

成都链安：国内天穹数藏宣称遭黑客攻击，黑客利用虚假余额购买盗取用户的藏品:5月17日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，天穹数藏宣称遭黑客攻击，藏品售价异常高达近千万元。根据平台公告称：平台数据遭遇大量恶意攻击，黑客利用虚假余额购买盗取用户的藏品，导致数据异常，目前已恢复，平台已第一时间报警处理。成都链安安全团队初步分析，导致本次攻击的原因猜测为：攻击者通过传统网络安全攻破了平台方数据库，恶意篡改账户余额，导致大量用户高价挂单仍可成交，最终导致数据异常。成都链安安全团队建议：

1、 国内数字藏品平台方在设计、实现和部署的过程中，要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域，做好安全防护；

2、 国内数字藏品平台方在运维的过程中，要做好金融风控的设计和实施，避免出现大规模资金异动而不自知的情况；

3、 数字藏品消费者在选择交易平台时，需要关注平台合规风险，注意保障自身财产安全；

4、 数字藏品消费者警惕炒作风险和市场泡沫，避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]

成都链安：Visor Finance遭受攻击事件分析:据成都链安监测显示，Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析，本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞：

1.call调用未对目标合约进行限制，攻击者可以调用任意合约，并接管了抵押挖矿合约的执行流程；<- 主要漏洞，造成本次攻击的根本原因。2.函数未做防重入攻击；<- 次要漏洞，导致了抵押凭证数量计算错误，不是本次攻击的主要利用点，不过也可凭此漏洞单独发起攻击。针对这两个问题，成都链安在此建议项目方应做好下面两方面：1.进行外部合约调用时，建议增加白名单，禁止任意的合约调用，特别是能够控制合约执行流程的关键合约调用；2.函数做好防重入，推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]

仙人掌CTS智能合约已通过Beosin(成都链安）安全审计:据官方消息，Beosin（成都链安）近日已完成仙人掌CTS智能合约项目的安全审计服务。

?仙人掌CTS是基于波场底层打造的一个去中心化开放金融底层基础设施。结合跨链，同时包含去中心化稳定数字货币，去中心化预言机，去中心化保险，流动性挖矿，智能挖矿等等功能的创新和聚合，进而打造全面的去中心化金融平台。仙人掌CTS代币无ICO、零预挖且零私募，社区高度自治。仙人掌CTS将会在9月28日晚20点上线Justswap,并开启流动性挖矿。

合约地址：TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

审计报告编号：202009262149[2020/9/28]

动态 | 成都链安面向联盟链推出“一站式”安全平台:据官方消息，成都链安面向联盟链安全需求推出“一站式”安全解决方案，为联盟链生态提供从安全设计、开发、安全检测到运行时安全监控和管理等全方位的安全服务与支持。

?

“一站式”安全平台主要包括：支持FISCO-BCOS、Fabric、以太坊、EOS等多个平台的“一键式”智能合约自动形式化验证工具Beosin-VaaS；Beosin-IDE智能合约开发工具；Beosin-Eagle Eye安全态势感知系统；Beosin-Firewall防火墙；Beosin-OSINT 威胁情报系统；安全审计与检测；安全顾问等服务。

?

成都链安作为最早专门从事区块链安全的公司之一，核心团队在安全领域深耕18年，申请区块链安全相关软件发明专利和著作权15项。平台推出以来，已为微众银行区块链、布比、云象、益链等多个联盟链平台提供了全套的“一站式”安全解决方案和安全防护。[2019/11/28]

分析 | 成都链安：钱包Safuwallet服务器是否存储了用户的私钥是关键:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事，成都链安在接受金色财经采访时指出：“safuwallet是第三方extension插件钱包，用户资产被盗，主要原因还是私钥被盗，发生了这样的问题，对于钱包服务器而言只要不存储用户的私钥，只做相关交易数据的处理的话，两者之间就没有关系，如果服务器存储了用户的私钥，那黑客就有可能通过攻击服务器获取到用户的私钥。推特消息称是safuwallet被注入了恶意代码，黑客可能先将恶意代码注入到safuwallet中，然后引诱受害者安装钱包，再获取到受害者的私钥后，进行相关代币的转移。事实上，对于非官方钱包，安全性确实不太好保障。对于此类钱包，私钥被盗的时间时有发生。对于这个事件，后续的影响主要是用户的损失、钱包和交易所的声誉。”[2019/10/12]

标签：ETH区块链DEFIDEFETHYfuture币区块链Origen DEFIDEFI S

DOT热门资讯