编者注:本文作了不改变作者原意的删减。
据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生19起较为突出的安全事件,危害程度评级为「中级」,受损金额达百亿元,涉及DeFi2起、交易所2起,智能合约1起,跑路14起等。
DeFi?安全
3月份共发生2起DeFi安全事件,具体如下:
1)03月12日,由于以太坊ETH的价格暴跌,MakerDAO的大量抵押债仓跌破清算门槛,引发了清算程序执行。由于以太坊网络gas费用剧增,导致MakerDAO的清算过程完全缺乏竞争,原本应该参与到清算过程中的清算机器人因为设置了较低的gas值,导致出价受阻,一位清算人在没有竞争者的情况下,以0DAI的出价赢得了拍卖。
区块链安全公司Hexens完成420万美元种子轮融资:10月11日消息,区块链安全公司Hexens宣布完成420万美元种子轮融资,IOSG Ventures领投,Delta Blockchain Fund、ChapterOne VC、Hash Capital、ImToken Ventures、Tenzor Capital,以及一批来自Polygon和其他区块链项目的天使投资人参投。
据悉,Hexens于2021年成立,其正在构建的产品有可能成为区块链领域每个开发人员和安全研究人员的标准工具包,提升基础设施审计、零知识证明/新型密码学、DeFi、NFT等领域安全并推动Web3大规模采用。(Cryptonews)[2022/10/11 10:31:14]
MakerDAO清算拍卖设计的目的,是尽可能以最少的抵押物回收最大的DAI,这一机制在正常情况下是可以成功运作的。但是当以太坊系统极其拥堵的时候,或者更极端一点来说,只要竞拍的参与度不足,就很容易被恶意Keeper以极低报价获得拍卖物。针对此次清算出现的问题,MakerDAO社区也已紧急讨论了针对清算机制的改进措施。
山东:将围绕区块链等领域开展20项以上关键核心技术研发攻关:3月29日消息,山东八部门联合制订的《山东省2022年数字经济“重点突破”行动方案》已正式发布,山东将聚焦数字产业化、产业数字化、数据价值化、数字基建、科技创新、数据安全、数字治理七个关键领域,谋划实施七大专项行动。山东还将围绕5G、大数据、人工智能、区块链、量子通信、集成电路及关键电子元器件、高端工业软件等领域开展20项以上关键核心技术研发攻关。(新华网)[2022/3/29 14:24:00]
2)03月26日,Synthetix的抵押贷款清算功能被发现存在漏洞,具体而言:Synthetix近期上线了一个合约,用户可以在3个月试用期内质押ETH获取sETH,而在试用期结束后,将启动关闭所有贷款功能进行清算,即任意拥有sETH的用户都可以通过调用清算接口得到ETH。然而,该接口的处理逻辑代码存在一个漏洞会导致任意用户直接burn掉借款人的sETH资产并获得ETH。不过由于该功能处于试用期间,并未造成实际损失。目前,Synthetix官网的loan服务仍处于关闭状态。
声音 | 孙宇晨:三星内置KeyStore钱包将开启区块链移动时代:近日,波场TRON创始人孙宇晨在社群互动中表示,三星内置KeyStore钱包为加密行业带来冲击式的改变,开启了区块链的移动时代。孙宇晨补充道,此前,苹果对于Crypto一方面不允许上架,另一方面是用户采用开发者模式时,官方可以直接将用户密钥封掉,甚至有很多人因此损失几十万美金。[2020/1/25]
PeckShield点评:
随着DeFi项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield在此建议,DeFi项目方在上线之前,应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。
动态 | 顺丰利用大数据和区块链技术 实现甘孜松茸的全程追溯:据环球财富网消息,7月10日,顺丰甘孜松茸预处理中心揭牌仪式在四川雅江举办。据悉,顺丰基于其大数据及区块链技术,在松茸上实现了全程可追溯,打造松茸全产业链质量与食品安全管理系统,使用智能设备搭载智能系统,结合特征码追溯等方式,记录每一棵松茸的采摘人员、采摘地区、生长周期、装箱时间、分拣时间等,让天生天养的松茸实现了数据沉淀与管理。[2019/7/11]
交易所安全
3月份共发生2起交易所安全事件:
1)03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。区块链安全公司PeckShield第一时间介入追踪研究分析,基于美国司法部仅公布的20?个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。
声音 | 美国国会议员:计划推出与区块链、数字货币相关的三项法案:据Cointelegraph消息,美国众议员R-MN正计划推出三项法案,即“支持数字货币和区块链技术的决议”、“区块链监管确定性法案”和“纳税人资产安全港法案”。该立法的重点是支持和发展区块链技术,以及为拥有数字资产的纳税人建立一个安全港。[2018/9/22]
分析发现攻击者试图利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所,如下图所示:
在完成初步操作后,攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。
2)OMNI网络发现新型USDT假充值手法:黑客采取发行其他类型的代币伪造成USDT对交易所或钱包进行USDT假充值,当交易所或钱包在检测USDT充值时如果没有校验交易中的propertyid,就会导致假充值情况的发生。
PeckShield点评:
黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。同时,针对假充值等安全问题,交易所应当在确认代币名称和交易状态后再进行转账。
智能合约
3月份共发生1起智能合约安全事件,存在于以太坊网络。具体而言:03月24日,有项目方反映在发布ERC20代币后,发现一些来源不明的代币在链上转账。深入分析后发现,是项目方使用的“一键发币”第三方平台存在后门——发币合约创建时存在暗地增发Token并窃取的恶劣行为。
PeckShield点评:
项目方在使用第三方服务完成智能合约的开发时,务必在合约上线前做好安全测试。
跑路事件
除上述之外,3月份还发生了多起跑路事件值得警惕,例如:1)区块链资金盘“硅谷区块鸡”疑似跑路,涉案金额或达百亿人民币;
2)英国夫妇因使用虚假的Chrome浏览器扩展丢失14,800枚XRP;
3)不法分子在各种聊天群发布虚拟货币消息,以疫情防控为由,利用人们投资理财的迫切心理,打着虚拟货币的幌子实施、非法集资活动;
4)YouTube上有人冒充Ripple的首席执行官推销5,000万XRP代币的假赠品,以哄用户将钱投入类似的空投局中。
PeckShield点评:
因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。
作者:LiangChe来源:比推bitpush.news现在距离五月的比特币区块奖励减半只有不到一个月的时间,虽然根据供需模型,比特币的价格可能会出现上涨.
1900/1/1 0:00:00来源:LongHash编者注:原标题为《从“N号房事件”看加密货币时代的隐私与监管》N号房事件始末2018年,高中生godgod在Twitter上通过冒充警察的方式.
1900/1/1 0:00:00本文来源:Cointelegraph中文作者:STEPHENO''NEAL根据普华永道最近发布的一份报告显示,即使是在现在的熊市时期,加密货币行业也在继续走向成熟.
1900/1/1 0:00:00本文系邹传伟博士3月5日于万向区块链公益黑客马拉松的线上分享,链闻获得作者授权发布。本文作者邹传伟博士特致谢陈升先生提出的修改意见.
1900/1/1 0:00:002020年的这场疫情,把很多企业都打懵了。餐饮业旅游业元气大伤,至今仍然难以恢复。目前海外疫情仍在蔓延,顺应大势,很多公司都开始线上办公,视频会议公司Zoom的股价更是顺势上涨了145%.
1900/1/1 0:00:00作者:LiangChe来源:比推bitpush.news本周美国的一些居民陆续收到了美国国税局发放的1200美元救济金,很多人使用这些钱来购买加密货币.
1900/1/1 0:00:00