据成都链安【链必安-区块链安全态势感知平台(Beosin-Eagle Eye)】安全舆情监控数据显示:2021年3月,据不完全统计,整个区块链生态发生的典型安全事件超23起,整体安全风险评级为【中】。需要引起注意的是,3月【DeFi方面】与【跑路/加密局方面】典型安全事件频发,较2月呈现出明显增长态势。
纵观3月发生的典型安全事件,【DeFi方面】暴露出来的安全风险依然不容忽视,多个DeFi项目遭到黑客攻击,所造成的巨额经济损失严重影响着区块链生态的安全和稳定。另外,随着虚拟货币的普及程度和财富效益逐步攀升,本月【跑路/加密局方面】的相关事件波澜再起,亟需重点关注。
以下为本月安全月报的详细事项。
共发生『1』起典型安全事件
01
去中心化资产管理平台Cook Protocol在推特上发布警示称,目前出现了一些假冒Cook Protocol的团体、渠道和流动性池。官方表示,Cook Protocol还没有上线Uniswap,请用户当心。
矿企Argo 3月产出161枚比特币,目前持有85枚比特币:4月4日消息,加密矿企Argo Blockchain PLC公布3月运营情况:本月产出161枚比特币,日均收益率约为5.2枚比特币,与2月份相比下降了10%。每日BTC产量下降的主要驱动因素是网络难度的增加。3月份的平均网络难度比2月份高出11%。
截至2023年3月31日,Argo持有85枚比特币,总算力为2.5 EH/s。3月份的挖矿收入为405万美元,而2月份为376万美元。
此外,Argo宣布任命Jim MacCallum为首席财务官,自4月5日起生效。(Proactive Investors)[2023/4/4 13:44:13]
共发生『8』起典型安全事件
社群信息显示,DeFi项目Meerkat Finance金库合约遭遇黑客攻击,黑客利用漏洞盗取了金库中的全部资金价值约3100万美元的BNB代币。目前该项目网站已经无法打开。
02
去中心化金融(DeFi)应用程序Paid Network的合约代币铸造功能因漏洞被利用,已错误铸造了6000万枚PAID代币。
MATH 将于3月24日16:00上线ZBG:据ZBG官方消息,MATH已于3月24日12:00开启充值服务,并将于3月24日16:00开启MATH/USDT交易对和提币服务。
MathWallet (麦子钱包)是一个加密钱包平台,兼容来自 53 个不同的公共链的货币。MathChain 致力于降低大众用户进入区块链的门槛、降低交易手续费,以及支持多链、适配和连接各种 Layer2。团队的目标是打造一个多链、跨链的资产 Hub,并将其推向市场,得到大规模使用。详情见官网公告。[2021/3/24 19:13:21]
03
DeFi门户网站DeFiBox.com项目监测发现,宣称上线Heco的Heco.cx使用了虚假的媒体快讯,且项目宣传中多处夸大失实,其审计报告疑似造假。
04
去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击,转移走价值近98万美元的Wrapped CRES(wCRES)和近114万美元的USDT。
CoinWind将于3月17日14:00上线V2版本:据官方消息,DeFi智能单币挖矿金融平台CoinWind将于3月17日14:00(UTC+8)正式上线V2版本,该版本优化了对冲无常损失的策略,同时还增加了社区合约治理。据悉,V2版本预计新增开放额度超1亿美金。
CoinWind是一个DeFi智能挖矿金融平台,通过合约自动将质押的币种进行撮合配对,配合对冲无常损失策略,将用户收益最大化,有效解决了用户单币种挖矿收益低、LP挖矿无常损失大等风险问题。[2021/3/17 18:52:12]
05
ETH和BSC上的跨链稳定币True Seigniorage Dollar(TSD)表示,恶意攻击者利用TSD DAO在其账户中铸造118亿枚TSD代币,并全部在Pancakeswap出售。
06
北京时间3月15日晚,大量BSC(币安智能链)项目前端遭到攻击,推特上开始提醒用户请勿进行合约操作。Cream Finance表示DNS已经被第三方破坏,请不要在网页上输入任何词句;Pancake也表示,遭到了与Cream类似的DNS劫持,请不要使用该网站。
聚币Jubi将于3月19日启动EIP溢价回购 JT回购价0.4052USDT:据官方消息,聚币Jubi将于2021年3月19日(UTC+8)启动3月EIP溢价回购,JT回购价为0.4052USDT。本月JT回购资金为208,759.3568 USDT,环比上月增长25.9%。JT场外预约回购将于3月19日15:00-20:00(UTC+8)限时开启。
EIP是聚币Jubi创新推出的溢价回购机制,每月JT回购价将定增35%,在新型通缩模型下,预计2021年6月EIP回购价格将达1 USDT(1 JT=1 USDT)。JT持币时间久、日均持币量越高的JT持有者将享受更多回购额度。[2021/3/16 18:49:40]
07
Filecoin出现“双花交易”,多家交易所关闭FIL充值通道。此次攻击方法更加隐蔽,是由于Filecoin节点特性所引起。
08
DeFi聚合理财服务SIL.Finance发文称,在发现智能合约因存在高危漏洞而无法提现后,经过多方36小时的努力,已经追回1215万美元,并且挽救一个多签钱包地址。
ZEL将于3月31日20:00上线BiKi:据官方公告,ZEL将于3月31日20:00(GMT+8)上线BiKi,开放ZEL/USDT交易,并同时开放提现业务,充值业务已开放。
项目介绍:Zelcash(ZEL)是一种加密货币,在Zel生态系统中占据核心地位。Zel节点的拥有者可以创建ZelDex和ZelDev平台,使Zel能够创建一个分布式的开发平台。[2020/3/31]
Beosin评论
全球范围内,百放齐放的各类DeFi项目正在蓬勃发展,而这些DeFi项目同时又锁着超过百亿的虚拟货币资产,无疑将成为黑客开展各类攻击的重灾区。成都链安认为,DeFi领域目前尚处于发展阶段,各大项目方一定要确保上线前做好代码审计工作,防微杜渐。
跑路/加密局方面
共发生『7』起典型安全事件
以太坊侧链扩容方案Polygon(原Matic Network)在推特上发布警告称,谷歌Play商店提供了一款假冒的“Matic Wallet”应用程序。此恶意应用程序与Matic Network或Polygon无关。
3月2日,有人向一个名为“Elon Musk”(特斯拉创始人)的钱包地址发送了5枚BTC,价值约24.3万美元。
美国司法部宣布瑞典公民Roger Nils-Jonas Karlsson对证券欺诈,电汇欺诈和指控表示认罪。他因电汇欺诈和证券欺诈指控而面临最高20年的监禁,而对指控则面临20年的最高刑期。
印度班加罗尔一名38岁的私立大学讲师Ramesh J向报告称,自己在加密交易平台CoinSwitch Kuber遭遇加密,损失了价值100万卢比(约合13780美元)的比特币。
英国英格兰兰开夏郡表示,五名犯罪嫌疑人利用由澳大利亚Casey Block Services运营的名为Coinspot的公司的漏洞进行虚拟货币,金额2000万英镑(合2700万美元)。
美国纽约联邦法官Mary Kay Vyskocil已同意美国CFTC关于加密计划Control-Finance创始人Benjamin Reynolds存在欺诈行为的裁决,并命令他支付4.29亿美元的罚款和1.43亿美元的赔偿金,总计5.72亿美元。
3月31日,一款设计得像正版应用的比特币应用被苹果的应用商店审核团队接受,最终让iPhone用户PhillipeChristodoulou损失了17.1个比特币,被盗时价值高达60多万美元。
Beosin评论?
区块链技术及虚拟货币日益普及,推动了越来越多的人对新兴领域的关注,也让者和投机者萌生出新型犯罪方式,各类基于区块链技术和虚拟货币的局应运而生。成都链安在此提醒,时刻提供警惕,不要盲目轻信和跟风。
共发生『2』起典型安全事件
NiceHash警告该平台的矿工立刻停止使用Phoenix挖矿插件。NiceHash风险控制团队发现,Phoenix挖矿软件已经无法正常地从其原来的下载地址进行下载,来自新下载地址的Control shasum与开发者在其频道发布的值不一致。
知名电脑厂商宏碁(Acer)遭遇勒索软件团伙REvil的攻击,要求支付高达5000万美元的XMR,以解密公司的电脑,并且不在暗网上泄露数据。
美国司法部宣布,经营DeepDotWeb的Tal Prihar对串谋实施活动认罪。根据司法部的指控,Prihar使用新闻网站DeepDotWeb投放广告,将读者定向到各种暗网市场。他们说,Prihar根据点击进入市场的客户,在此类广告的回扣中赚了大约8155枚比特币。
共发生『4』起典型安全事件
01?
3月1日,支持比特币的社交网络平台Gab的70GB数据遭黑客入侵,被黑客入侵的数据包含公共帖子、个人资料和密码、以及私人账户的帖子和消息。
白帽黑客Taha Karim检测到比特币钱包Electrum的macOS版本被入侵。攻击者向Electrum / util.py和Electrum / storage.py存储库中注入了恶意代码,Electrum的Windows版本也存在同样的问题。
NFT指数基金NFTX发起新提案XIP#2,提议向独立安全研究员Samczsun支付50000美元的漏洞赏金,因为Samczsun在NFTX的vault创建合约中发现了一个严重的漏洞。
3月10日,跨链项目Cosmos(ATOM)官方发推文表示,所有Cosmos Hub验证节点请注意,在Gaia v4.0.x中发现一个严重的安全漏洞,但用户资金没有风险。
鉴于当前区块链生态的安全态势,『成都链安』在此总结:
从总体上来看,3月所发生的典型安全事件总数虽然与2月持平,整体安全风险评级都由成都链安(Beosin)安全团队定级为【中】,但区块链生态中较为关键的两个方面,【DeFi】与【跑路/加密局】,整体安全风险依然严峻。
不难看出,DeFi的典型安全事件居高不下,DeFi项目仍旧是黑客眼中的重点攻击靶子。在此,我们建议广大项目方一方面要在合约或项目上线之前开展全面和专业的安全审计工作,另一方面也需要联动行业各方力量,搭建一套完善的安全防护和资产追踪机制。
针对跑路/加密局方面,我们建议广大投资者在甄选投资理财产品时,一定要尽可能做好尽调工作,不要盲目跟风,也不要听信所谓的“内幕消息”,或者宣称稳赚不赔的“理财专家”。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。