原文标题:《盘点 | 成都链安:4月发生典型安全事件超19起,区块链生态安全风险指数偏低,依然不可掉以轻心》
2021年4月盘点
据成都链安【链必安-区块链安全态势感知平台(Beosin-Eagle Eye)】安全舆情监控数据显示:2021年4月,据不完全统计,整个区块链生态发生的典型安全事件超19起,整体安全风险评级为【低】。本月,尽管安全风险指数偏低,但各细分领域的典型安全事件均有发生,整体呈均匀分布,因此依然不可掉以轻心。
除【其他方面】存在的9起典型安全事件以外,不难看出,在偏“低”风险的安全现状之下,整个区块链生态依然是【DeFi方面】和【跑路/加密局方面】,更容易成为黑客攻击和犯罪滋生的温床。由此,对于日常工作生活中确保DeFi项目安全审计以及加强自我反诈意识,就显得尤为重要。
以下为本月安全月报的详细事项。
共发生『2』起典型安全事件
Terawulf在4月自产出239个比特币:金色财经报道,比特币矿业公司Terawulf宣布 2023 年 4 月的生产和运营更新。截至 2023 年 4 月 30 日,哈希率容量环比增加 21% 以上,达到 4 EH/s。4 月自产出 239 个比特币,2023 年迄今为 771 个比特币。为其在 Nautilus 设施的 50 兆瓦股份完全供电,这是美国第一个由 100% 核电供电的比特币采矿设施。4 月份每生产一个比特币的平均电力成本为 7.6 万美元,部署了 34,500 名矿工,其中 18,500 名矿工在纽约全资拥有的 Lake Mariner 设施,16,000 名自营矿工在宾夕法尼亚州的核动力 Nautilus 设施。完成 Lake Mariner 设施 2 号楼的建设,该设施仍按计划在 2023 年第二季度上线新增 50 兆瓦的自挖能力。[2023/5/6 14:45:43]
01
4月21日,用户对土耳其交易所Thodex提起刑事诉讼,称其盗窃数亿美元资金,该交易所CEO在提起诉讼前一天离开了土耳其,并在提起讼诉当天,该交易所暂停了交易。目前土耳其政府已对该交易所展开了调查。
报告:从2020年4月至今,稳定币USDT、USDC、BUSD和DAI上涨20多倍:金色财经报道,数字资产投资管理公司DAIM进行的研究显示,按市值计算的加密货币的四个最大稳定币此后在两年内大幅增长。根据 DAIM 的数据,从2020年4月至今,USDT、USDC、BUSD和DAI上涨了20多倍,从70亿美元增至1470亿美元。DAIM在其报告中表示,这意味着生态系统有额外的 1400亿美元准备部署到比特币和山寨币中,部署在数字场外的资金数量从未如此之多,这表明大量耐心的投资者准备好突袭打折的数字资产。
澳大利亚数字资产管理公司和托管人 Zerocap表示,虽然自去年 11 月以来所有加密货币的总市值已下降近70%,从3万亿美元降至9500亿美元,但前四大稳定币的流通供应量增加了12.6%。稳定币供应的净增长完全表明用户在链上持有资金,而不是换回美元,部分链上稳定币可能被持有,而投资者的平均投资成本或闲置,等待合适的时间进行分配。[2022/7/5 1:52:16]
02
Reactor将于4月28日开启RCT代币空投:4月21日消息,Terra生态协议Reactor将于4月28日晚十点(北京时间)开启第一阶段RCT代币空投,空投共分三阶段进行。并称,The Big Bang的主要目的是引导Reactor并将RCT代币分发到Terra生态系统中活跃的社区成员手中。[2022/4/21 14:39:22]
4月24日00:35,FTX交易所联合创始人SBF发推文称,网站遭受了一种小型DDOS攻击,目前网站已冻结,但用户资金和核心系统不会受影响,只会影响API和GUI的吞吐量。
共发生『3』起典型安全事件
DeFi门户网站DeFiBox.com称,Heco链上的CORN项目存在极高安全风险。若用户在挖矿过程中退出质押,就将扣除99%的本金。据该项目白皮书称,扣除的资金94%将被捐献给社区,5%的流动性资金将继续挖矿。
Easyfi.network创始人兼CEO Ankitt Gaur在推特上称,4月19日,黑客将大量EASY代币从EasyFi官方钱包转移到以太坊网络和Polygon网络上未知钱包;而管理这些代币的计算机有超一周处于离线状态并未使用。
Gate.io 将于4月28日开启Startup项目BLACK:据官方公告,Gate.io将于4月28日12:00至4月28日20:00开启Startup项目BlackHole Protocol(BLACK)认购通道,并于4月29日21:00上线交易,8小时内有效下单同等对待。用户需要达到VIP1和以上级别才能参与认购,VIP等级越高的用户认购额度越高。用户下单后到结束认购后2小时内,请务必保证现货交易账户中有不低于认购金额的足够金额,金额不足将自动排除在有效订单之外。[2021/4/24 20:53:42]
03
4月28日,币安智能链专注于AMM链上激励协议Uranium.Finance发推表示,合约在迁移的过程中出现漏洞并遭到黑客攻击利用,导致5000万美元的资金被盗。
Beosin评论
尽管本月【DeFi方面】所发生的典型安全事件较少,但因涉案事件而造成的经济损失依然严重。通过Uranium.Finance被黑事件,成都链安(Beosin)·安全团队建议当用户参与到DeFi项目时,切记要时刻注意规避风险,选择通过第三方安全公司审计后的可靠项目。
世界区块链论坛将于4月在迪拜举行:4月16日至17日,世界区块链论坛(WBF)将在迪拜举行,届时许多个人和企业将讨论区块链和数字货币解决方案。迪拜希望在全球范围内成为区块链领域的领导者。[2018/3/14]
一款名为“阳光果园”的APP“碰瓷”各类植树软件,将果实包装成虚拟资产,自称高达1600%的收益率受到了人们的青睐。但这实际上是通过、庞氏局等手段结合互联网噱头的“资金盘”。
一名人员取了西班牙各地300多名加密投资者高达35.8亿美元的资金,而近日这群被的投资者集体向西班牙法院提起了诉讼。
谷歌应用商场再次出现假冒Uniswap的App。该App一经上架,一度成为谷歌应用商城金融类下载量最高的付费应用。截至消息爆出,该应用已经下架,本次假冒App导致1000多人受。
共发生『1』起典型安全事件
Github调查了一系列滥用基础设施来非法挖掘虚拟资产的攻击,黑客通过执行自己的恶意代码,在Github的基础结构上进行挖矿,每次攻击可能部署数百矿机,这对基础架构的算力产生了重大影响。
4月26日,俄罗斯表示,有4名俄罗斯伪钞制造者将10亿卢布(约合1220万美元)的伪钞在暗网商场Hydra上卖出,并兑换为比特币;目前该4名犯罪嫌疑人在当地法院面临起诉。
共发生『9』起典型安全事件
一名意大利男子试图通过1万欧元的比特币雇佣一名杀手并指使该杀手杀害他的前妻。但在犯罪行动进行之前,被欧洲刑警组织和意大利逮捕。
4月8日,Summa创始人James Prestwich在推特上发文谴责BitClout,称其将用户密钥上传到公共服务器上,这将导致任何拥有权限访问BitClout服务器的员工都可以将平台上所有资金窃取一空。
以太坊钱包Dharma出现宕机情况,所有资金都是安全的。官方已经确定解决方案,很快将会恢复。
04
韩国庆州市将对数10起可能的虚拟资产逃税案件进行调查,市政府已与多个虚拟资产交易所保持联系,来收集有关违法行为的数据。目前已指定超500人进行调查。
05
2016年被盗比特币在本月内发生转移,共分为63笔转移,共转移了10057枚比特币,每笔50到1241.37枚不等,目前总价近6.3亿。据称,2016年8月,黑客共盗取了12万枚比特币。
06
目前,盐城建湖查明EOS公链上名为“Biggame”的平台有高达7.3万余人的涉人员,涉及17个国家及地区,涉案资金高达80亿元,违法所得超6000万元;抓捕了多地共25名犯罪嫌疑人,查扣价值超2600万元的虚拟资产130余万个。
07
以太坊2.0客户端Prysm的开发团队Prysmatic Labs披露了客户端缺陷的细节,该缺陷导致使用Prysm的信标节点持续了18个纪元(约两小时)无法产生区块,但是之后自动恢复了,且并未人工干预。
08
本月,安全研究员发现黑客创建了一个伪造DirectX 12的下载网站,该网站看起来与正常网站无异,但会促使恶意软件对用户电脑进行扫描,若用户存在虚拟资产钱包,还会对Ledger Live、Waves、Exchange、Coinomi、Electrum等一系列内容进行搜索,最后将窃取的信息发送给黑客。
09
根据公开法庭文件,FBI探员逮捕了一个俄罗斯和瑞典公民罗曼·斯特林诺夫(Roman Sterlingov),该犯罪嫌疑人是一个比特币混币服务运营商Bitcoin Fog的运营人员,他在10年内提供的混币服务所涉及比特币的金额高达3.36亿美元。
本月【其他方面】典型安全事件频发,诸如信息泄露、隐私保护、私钥窃取、买凶、等相关事件严重威胁着整个区块链生态的稳定发展。因此,在重点关注热门领域的安全态势的同时,也需要兼顾来自区块链行业【其他方面】的安全风险。
鉴于当前区块链生态的安全态势,『成都链安』在此总结:
从总体上来看,4月典型安全事件的发生较3月呈现明显的下降趋势,事件总数跌落“20”关口,整体事件发生数量处于低风险水平。因此,成都链安(Beosin)·安全团队将本月的安全风险定级为【低】。
然而,需要注意的是,本月的典型安全事件分布较为均匀,每个细分领域都有所涉及,成都链安再次建议各大项目方一定要借助第三方安全公司的专业力量,引入一整套覆盖全生命周期的安全解决方案,以完善安全防护机制。
另外,【其他方面】所发生的安全事件,往往会是容易被忽略的对象。本月,这一领域事件高发,无疑在提醒着区块链生态各参与方,在夯实关键领域的安全防护之外,切记也要更全面地应对各种突发挑战。
出品:成都链安(Beosin)·安全实验室
制图/编辑/排版:Zachary
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。