月亮链 月亮链
Ctrl+D收藏月亮链

ETH:成都链安:3月发生较典型安全事件超17起_Defi Tiger

作者:

时间:1900/1/1 0:00:00

据成都链安『区块链安全态势感知系统』(Beosin-Eagle Eye)数据监测显示,在过去的3月中,各类安全事件时有发生。成都链安安全人员统计3月发生较典型安全事件超『17』起,涉及以太坊Defi安全,交易所安全,跑路问题以及其他安全事件。从另一个角度来说,则包含了虚拟货币资产安全问题和用户数据安全问题。

Defi方面,共发生『3』起较典型安全事件:

近几月来,随着Defi金融持续升温,随之显现而出的安全问题也日益突出。距离我们不远的bZx闪电贷二度开花攻击事件,已经在提醒我们Defi的逐渐繁荣景象之下,是否隐藏着巨大的安全风险?

1)2 月 28 日,一名用户在 Curve V4 流动性不充足的前提下进行了超大额的兑换,虽 然团队发现了该事件,并立即进行了补救,但这名用户最终还是损失了 14 万美元资产。

具体的事件过程为:

用户A希望将Curve V3资金池中的资金转移至V4资金池,进行了多次稳定币兑换。由于VE资金池中稳定币USDC的资金数量严重不足,导致用户兑换了数量不足的USDC,最终致使46万美元的资产损失。

成都链安:WienerDogeToken遭遇闪电贷攻击事件分析:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,WienerDogeToken遭受闪电贷攻击。成都链安安全团队对此事件进行了简要分析,分析结果如下:攻击者通过闪电贷借贷了2900个BNB,从WDOGE和BNB的交易对交换了5,974,259,851,654个WDOGE代币,然后将4,979,446,261,701个代币重新转入了交易对。这时攻击者再调用skim函数,将交易对中多余的WDOGE代币重新提取出来,由于代币的通缩性质,在交易对向攻击地址转账的过程中同时burn掉了199,177,850,468个代币。这时交易对的k值已经被破坏,攻击者利用剩下WDOGE代币将交易对内的2,978个BNB成功swap出来,并且将获利的78个BNB转到了获利地址。

这次攻击事件中,攻击者利用了代币的通缩性质,让交易对在skim的过程中burn掉了一部分交易对代币,破坏了k值的计算。成都链安安全团队建议项目上线前最好进行安全审计,通缩代币在与交易对的交互时尽量将交易对加入手续费例外。[2022/4/26 5:11:33]

由于用户A的操作使得V4资金池中4种稳定币数量不平衡,瞬间拉高了V4的手续费收益率;用户B观察到升高的手续费收益率之后,尝试进行套利,用3.3万美元兑换了9万BUSD,所有套利操作获利3527美元。

成都链安:8ight Finance项目疑似私钥泄露,资金总损失接近100万美元:据成都链安链必应-区块链安全态势感知平台舆情监测显示,8ight Finance项目方疑似私钥泄露导致被攻击,资金已从tornado转移出去,资金总损失:868587 DAI,123621 1USDT,10843 EIGHT,80 ONE.[2021/12/8 12:58:37]

Curve团队发现问题之后,立即对Curve V4资金池中的资金进行补足。由于各方进行了金额较大且极度不平衡的交易,所以每个人在操作过程中产生了高达14万美元的手续费;最终导致用户A损失14万美元。

导致这起安全事件的原因是Curve资金池流动性不足,并且由于Curve是基于很多项目搭建起来的,所以风险是自下而上累计的。

2)3月12日币圈暴跌,ETH一度跌幅达到58%,以ETH作为抵押资产的MakerDao去中心化Defi项目的清算机制几近崩溃。被清算的ETH资产进行拍卖,价高者得。然而在MakerDao进行的3994场拍卖中,有1462场拍卖以0dai成交,导致MakerDao平台共计损失62893个ETH,价值780万美元。

声音 | 成都链安创始人:区块链领域存在六大安全漏洞,全球共损失90亿美元:在2019上海区块链国际周现场,成都链安科技有限公司创始人、电子科技大学副教授杨霞详细分析了行业的六大安全问题。即系统漏洞引起的损失、用户使用不当引起的问题、网络犯罪、暗网黑市交易、,盘和资金盘。根据数据来看,系统漏洞引起的损失,今年以来,由区块链漏洞引起的损失高达30多亿美元。从2011年到2018年损失高达90多亿美元。(华夏时报)[2019/9/17]

事件前因后果为:

MakerDao的最低抵押率为150%,用户抵押150ETH,可借出100dai。在MakerDAO的原有清算机制设计中,当ETH价格暴跌的时候,用户抵押的ETH会被清算,以保证MakerDao持续安全运转;然而当ETH跌至166美元时,MakerDao预言机出现故障,导致系统认为ETH价格仍停留在166美元,致使许多资产未被清算。

MakerDao预言机崩溃的原因则是在于预言机是通过实时抓取ETH的交易所报价。然而由于当晚ETH暴跌,导致以太坊链上交易数量急剧增加,让本来就拥堵的以太坊网络雪上加霜,最终导致预言机崩溃。

声音 | 成都链安:使用链上合约轮询开奖机制可能具有安全风险:今日早晨7点半,成都链安态势感知系统鹰眼对某游戏合约交易发出预警,我们的安全人员对该预警进行分析发现,攻击者正在使用一种新的途径获得随机数种子,并通过合约不断发起延时交易,尝试预先计算或者得到游戏合约的开奖参数,安全团队已通知项目方进行确认,建议具有类似基于线上合约定时开奖模式的项目方及时自查,避免遭到损失。望项目方看到本预警消息能够及时联系我们。[2019/6/12]

所有被清算的ETH进入到拍卖阶段,在MakerDao原有的设计机制中没有考虑到两个问题:一是不能根据网络拥堵情况动态而调节旷工费;二是没有考虑到参与拍卖的人员数量在极度不足的情况难以设立拍卖底价。

正由于上述两个原因,导致正常参与拍卖的用户因拥堵的网络,出价迟迟不能上链;别有用心的用户则提高旷工费,并以0dai的出价参与竞拍,最终成功拍下。

3)Defi项目Synthetix公开一个合约漏洞,不过该合约尚未启用因此未产生损失。

该漏洞存在于Synthetix合约的清算接口。在正常情况下用户质押ETH而获得SETH,在抵押期过后进行资产清算,调用清算接口返还SETH获得ETH;然而该漏洞可导致任意用户都可以直接Burn掉其他用户抵押的SETH进而获得ETH。

比原链牵手成都链安科技,共建区块链安全新生态:近日,比原链基金会与成都链安科技签署战略合作协议。双方将在区块链安全技术领域达成初步合作意向,未来成都链安科技将会为比原链提供底层平台的形式化安全验证,智能合约的开发、审计、安全验证等服务,保证比原链平台和智能合约的安全性、功能正确性。[2018/5/10]

不过由于该功能尚处于试用期,并未造成用户实际资产损失。

Beosin评论:

Defi项目正在快速发展壮大,据统计截止2020年,锁定在以太坊Defi应用中的资产已达到了10亿美元。Defi项目的火爆主要来源它的高收益。Defi又被称为『去中心化金融』,开放式金融的基础,则是高达8%-10%的收益率必然会伴随着巨大的风险。

这是一个快速迭代的领域,因此各方Defi团队开发自己的合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格的安全审计,这就导致了各种合约漏洞与相关安全问题层出不穷。

成都链安在此建议,任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。

交易所方面,共发生『2』起较典型安全事件:

1)3月初,美国司法部宣布制裁涉嫌协助朝鲜黑客组织Lazarus Group洗币的黑客田寅寅和李家东,并冻结了其所有资产。

黑客田寅寅和李家东曾在数家交易所使用假身份证和篡改后的照片,以绕过KYC流程。据统计,两名中国公民被控从虚拟货币交易所黑客手中超过1亿美元。

2)有情报显示OMNI链上出现了新型USDT假充值攻击,问题出现在交易所或钱包在检测USDT充值时没有校验交易中的propertyid。黑客通过在链上发行新的其他代币,然后对propertyid进行伪造,从而实现攻击。

假充值问题已经是老生常谈的问题了。从最开始假充值问题频发的EOS,再到后来的以太坊及各种代币,以及OMNI链上的USDT,都曾遭遇过假充值问题。

造成假充值的原因主要在于两个问题,代币的真实性验证和交易的成功与否验证。因此成都链安建议,交易所和钱包等项目方在验证交易的时候应验证交易是否成功、代币是否正确,以避免假充值攻击。

跑路/加密局方面,共发生『4』起较典型安全事件:

1)随着新冠病(COVID-19)在全球的爆发,部分不法分子利用人们对新冠病的担忧,进行与新冠病有关的加密局。

有局假冒世界卫生组织(WHO)和疾病控制与预防中心(CDC)向居民发送邮件和短信,声称能够提供居民所在地区COVID-19阳性居民的名单,并索要比特币(BTC);还有局是诱导用户下载宣称用于安卓设备的假新冠病跟踪应用程序CovidLock。其实为恶意软件,用于锁定用户手机,进而进行勒索。

2)BTC虚假二维码局。有网站声称免费将用户的BTC地址映射成二维码,便于用户收钱转账;生成的二维码实则为黑客地址。目前该黑客地址已有超过0.6BTC的转入。

3)雪碧交易所上线空气币PETH,开盘即归零。所有受害者皆为前期私募受害者,额度在80USDT到1000USDT不等,约为228人。初步估计涉及金额约40万人民币,有大学生不幸涉及其中。

4)区块链资金盘『硅谷区块鸡』疑似跑崩盘路。『硅谷区块鸡』是典型的虚拟宠物类资金盘,类似于区块猫,区块狗,低价买入宠物,一段时间后高价卖出。此类加密局实则为击鼓传花类资金盘,直到无人接盘,即是项目崩盘的时刻。

其他方面,共发生『4』起较典型安全事件:

1) 加密投资基金Trident遭黑客攻击,26.6万用户数据遭泄露。

2) 微博用户5.23亿用户数据泄露,并在暗网进行售卖。

3) 韩国N号房事件。用户使用Telegram和虚拟货币进行交流和付款,由于韩国决定彻查参与直播间观看的所有用户,Upbit、Bithumb、Korbit、Coinone、火币和Kucoin等交易所都表示愿意配合调查用户信息。

4) 以太坊『一键发币』平台向开发的代币合约植入后门,在给项目方发币的同时偷偷转币至自己的账号,待项目方代币开始交易时再卖掉获利。

鉴于当前区块链安全领域的新形势,『成都链安』在此总结:

总的来说,3月关于区块链的安全事件仍然时有发生。安全事件发生的数量处于一个中等水平,事件导致的损失也处于一个中等的水平。然而这并不代表区块链严峻的安全形势趋于缓和,反而表现出所发生的安全事件涉及层面更广。

其中包括持续升温,但问题也日渐显现的Defi项目;仍趋于活跃的暗网市场;问题;加密局;合约漏洞等等,都是当前形势下难以忽视的安全问题。尤其暗网资金、加密局以及问题等,都是现阶段各个交易所趋于合规化首要面临的关键性问题,例如上文提及的田寅寅和李家东案中,两人仅通过假身份和假照片的方式就轻易绕过了交易所的KYC验证,从而帮助朝鲜黑客组织Lazarus Group超一亿美元。

如何对链上交易风险进行持续监测和评估,以支撑VASP(虚拟资产服务商)、监管部门、执法部门等开展风险管理、合规监管和调查取证等业务,是成都链安后续开展区块链生态

安全监管和推动合规建设的重要攻坚工作。

标签:ETH区块链DEFDEFItogetherbnb全剧情图文攻略哪个是区块链最核心的内容Defi TigernSights DeFi Trader

酷币交易所热门资讯
DEF:新产品发布会将于4月2日线上举行_MarhabaDeFi

4月2日晚上18:00,金色财经将举办新产品发布会,以“开放、共赢”的目标,发布服务区块链全行业的工具产品-金色财经.直播,帮助行业发展。在金色财经app最新版本直播板块中实时直播.

1900/1/1 0:00:00
区块链:金色趋势丨BCH减产在即 将会影响BTC走势?_区块链技术通俗讲解科普

BCH将要在不到一天的时间内进行奖励减半,届时区块奖励将由12.5BCH减少至6.25BCH(日产量将由1800枚BCH降至900枚BCH),BSV过2天也会减半,届时很多矿工将会顶不住.

1900/1/1 0:00:00
NFT:视频 | MakerDAO中国区负责人潘超:详解多抵押 Dai 拍卖机制_HET

30分钟完整介绍多抵押 Dai 的抵押品拍卖机制,讨论近期零价竞拍事件的原因。余文乐在微博发长近11分钟视频介绍其购买、研究NFT等内容:11月2日消息,余文乐在微博发布长近11分钟视频介绍其购.

1900/1/1 0:00:00
TEL:Telegram就法院要求其停止发行GRAM代币提起上诉_RamenSwap

Telegram正在寻求就美国联邦法院最近做出的利于美国证券交易委员会(SEC)的裁决提起上诉。根据早些时候法院的初步禁令,将暂停GRAM代币的发行直至至少进行审判.

1900/1/1 0:00:00
区块链:金色深度丨数字美元走进国会只用八天 但获批之路仍漫长_CCO

金色财经 区块链4月1日讯  数字美元只用了八天时间就进入到美国国会。 新冠病疫情救济倡导者们一直希望使用数字形式发放救济金,从三月初开始就与国会工作人员合作,希望让美联储使用数字美.

1900/1/1 0:00:00
区块链:金色趋势丨传统金融市场波动比币圈有过之而无不及_ATMCASH价格

昨晚,特朗普在推特上表示,他刚刚与普京和沙特王储进行了交谈,希望俄罗斯和沙特减少1000万桶产量,可能最多可减产1500万桶。受此消息刺激,国际油价直接飙涨.

1900/1/1 0:00:00