PeckShield:2019年度区块链安全复盘总结暨区块链十大安全事件_APE:SMD COIN

如果说2018年,我们做区块链安全拥有了“上帝视角”,那过去的2019年,我们则收获了“圣母心态”。2018年,基于代码技术底层,我们俯瞰交易所、钱包、矿池、DApp等生态各个环节,挖漏洞、搭态势感知平台、发威胁情报,向行业科普漏洞背后的技术原理,引领行业从一次次安全事件的“教育”中,加强安全防护,巩固安全壁垒。2019年,通过渗透业务逻辑,我们深入智能合约、DeFi、地址溯源、暗网等不同产业底层,搭链上数据预警系统,抢先洞察安全威胁,深入社区协同开发者做应急响应,誓为行业发展扫平一切路障。据区块链安全公司PeckShield数据显示,2019年全年区块链安全事件177起,造成的经济损失高达76.79亿美元,环比2018年增长了60%左右。过去一年,PeckShield敏锐观察到:1)区块链安全波及范围面更广了,从交易所到数字钱包,再到DeFi领域,越是离钱越近的地方,越会是黑客攻击的重灾区;2)开发者安全意识普遍有所提高,DApp、智能合约等原先存在的溢出、重放、随机数等基础型攻击方式整体减少了,开发者安全防御普遍有所提高,倒逼黑客攻击方式不断演变;3)安全危机事发背后的原因越来越魔幻了,私钥丢失、代码预留后门、冷钱包被攻击、创始人离奇死亡等花式“漏洞”乱花渐欲迷人眼,技术BUG易除,人性BUG难平;4)理财钱包、跑路事件等成为行业新患,基于普通大众在区块链技术上的认知盲区,不法分子炮制各类币、模式币、空气币搅乱行业风气;5)交易所跨国境资产流动更加频繁了,随着数字资产的广泛普及,区块链生态头号玩家“交易所”的中枢作用愈发凸显,交易所之间资金流动的背后存在未监管资金大规模“出海”事实。交易所安全重回公众视野

ApeCoin新提案AIP-254获得通过,将推出数字盾牌NFT并分发给APE生态用户:金色财经报道,ApeCoin社区旨在推出数字盾牌(shield)NFT的新提案AIP-254已获得通过,Snapshot数据显示最终投票赞成率达到57.86%,按照提案内容,ApeCoin NFT数字盾牌将用于Decentraland、The Sandbox、Otherside 等元宇宙游戏中将其设置为可穿戴武器,并且分发给前15万名ApeCoin持有者和BAYC、MAYC、CryptoPunks、Meebits、BAKC、Otherside 持有者,此外FREE Golden ApeCoin NFT分发给前690名ApeCoin持有者。[2023/8/5 16:20:38]

2019年05月08日,全球知名的交易所币安被曝遭遇了黑客大规模系统性攻击,黑客获取了大量API密钥,谷歌验证2FA码等信息,一次性提走了7,000枚BTC。这次突发的交易所安全事件,让人联想到去年3月份币安的惊魂一夜,部分币安用户发现自己账户中的代币被抛售,导致数字资产价格下跌10%。相比之下,今年币安再遭一劫后,数字资产市场并没有太大的波动,用户在应对黑天鹅事件的心态正趋于成熟,且攻击发生后,币安创始人兼CEO赵长鹏随即宣布通过SAFU进行全额赔付,很快将事件的负面影响平息了下来,最终,并没有对二级市场造成太大冲击。不过,这次事件暴露出了交易所安防面临的挑战尤为艰巨。币安除了巩固自身服务器安全之外,还得提防中间资产托管服务是否遭到木马入侵,尤其是用户客户端遭劫持的情况下。这就倒逼交易所同样需要从业务层加强审核机制,比如,自动化提币额度分级,人工审核提币等。事实上,在去年年底Upbit交易所被曝遭遇攻击,损失了34万ETH,再次给交易所安全敲响了警钟,尤其是钓鱼、API劫持、服务器木马攻击等等偶然性攻击因素。这同时给市场提了一个醒,最大的安全风险可能不是来自企业防护层,而关系到每一个用户的安全意识和操作习惯。DeFi安全成未来行业重灾区

Web3 社交数据协议 Inspect 即将推出 INSP 代币:5月30日消息,Web3 社交数据协议 Inspect 宣布即将发布 2.0 版本,Inspect 2.0 将在界面、产品套件有所改进,还会有创新的 DAO 架构。Inspect 同时表示即将推出 INSP 代币。Inspect 提醒称,当前未发布正式的 INSP 合约。[2023/5/31 11:49:01]

2019年,以太坊公链赛道跑出了DeFi这匹野马,让业界普遍认知到。区块链技术基于DeFi金融应用场景获得大规模落地应用的可能。目前DeFi应用中,以MakerDAO、Compound、dYdX、instaDApp等金融借贷平台为主,主要满足用户抵押数字资产借贷稳定币的需求,此外还发展出了诸如Synthetix、Augur等衍生品平台。DeFi特有的类乐高积木似的可组合特性,让DeFi赛道展现出超强的活力,很可能会是未来两三年区块链领域的焦点。DeFi产品基于智能合约和交互协议搭建,代码普遍开源,资产完全在链上,极容易成为黑客攻击的重心。今年05月07日,头部DeFi借贷平台MakerDAO被曝治理合约存在安全漏洞,PeckShield随即介入参与,呼吁社区用户尽快转移暴露在危险下的MKR资产,同时独立分析研究了漏洞细节,协助MakerDAO官方进行了漏洞修复,所幸最终并没有产生任何攻击损失。事实上,今年年初Compound、Nuo也先后被曝出过智能合约问题,在此后的半年时间内,Synthetix、0x协议、Edgeware等DeFi相关应用也被曝出存在潜在安全隐患。0x去中心化交易所协议合约在校验订单签名时存在缺陷,受其影响一大批部署了0x协议的DEX平台可能都存在潜在安全风险。不过,这些DeFi平台在曝出安全威胁后,第一时间联合安全公司进行了漏洞修复,最终并没有产生较明显的安全损失。但却透露出一个危险信号,黑客已经盯上DeFi领域了。一旦DeFi平台的资产抵押规模和受众群体再上一个量级,这个领域很可能会是继DApp之后的下一个安全事件多发区。理财钱包成行业新瘤

ApeCoin正式推出,15%的总供应量将空投给BAYC/MAYC NFT持有者:3月17日消息,据官方消息,与Bored Ape Yacht Club(BYAC)NFT生态系统相关的代币ApeCoin(APE)正式推出。ApeCoin是一种用于文化、游戏和商业的代币,用于在Web3的前沿构建去中心化社区。

ApeCoin由去中心化组织ApeCoin DAO拥有和运营,每个代币持有者都可以对生态系统基金的治理和使用进行投票,持有ApeCoin是ApeCoin DAO成员的唯一要求。该DAO得到Ape基金会的支持,该基金会的创建是为了充当ApeCoin的法律管家并管理ApeCoin DAO社区做出的决定。

ApeCoin总供应量的62%将分配给ApeCoin社区,其中一部分(总供应量的15%)将于美东时间3月17日8:30(北京时间20:30)开始领取。占ApeCoin总供应量15%的空投将提供给BAYC/MAYC NFT持有者(Bored Apes和Mutant Apes,以及与BAYC或MAYC配对的BAKC dogs)。

该团队表示,ApeCoin将可供所有人使用,预计将尽快开始在各大主流加密交易所上线。[2022/3/17 14:01:37]

2019年,PlusToken、TokenStore、OneCoin等理财钱包被曝跑路,卷走数百亿数字资产,令数百万投资者奔上了漫漫“维权路”。区块链技术概念被一些不法分子包装成低投入、高收入的理财模式,用来一些对区块链行业认知欠缺的普通用户。PlusToken号称是一家在韩国注册的加密币钱包和交易所,其真实面目是一个用高回报吸引投资者的旁氏局。PlusToken许诺给投资者10%-30%的月息,并以高回报吸引大量投资者相继投入了20万枚BTC,78万枚ETH,和2,600万EOS等价值不菲的数字资产,涉及资金达到200多亿人民币,用户超300余万人,影响范围非常广且危害巨大。2019年6月29日,PlusToken用户反馈无法提币,项目方也被媒体曝光跑路,随后又传出六名主要负责人被中国逮捕。然而,其涉及的巨额赃款仍没有追回并返还受害者。在随后的数月内,PlusToken的BTC资产、ETH资产,EOS资产出现多次操作。PeckShield旗下可视化资产追踪平台CoinHolmes监控到,PlusToken的部分资产开始汇聚、分散转移,再通过类似ChipMixer的工具进行混淆,再通过场外OTC的渠道卖出。但目前而言,只有少部分资金被洗成功了,大部分数字资产依然悬而未决,以至于一旦出现行情不明缘由大跌的情况,就有分析称是PlusToken砸盘。PlusToken效应如同股市里的丁蟹效应一样,成了大家畏惧的存在。不过,客观来看,理财钱包的出现,能让一部分普通用户接触到区块链以及各类数字资产,给行业带入新的流量和资金。短期看对行业是利好影响。然而,长期来看恰恰相反,随着这类理财钱包的崩盘和跑路,大批的普通用户会成为受害者,带着偏见和认知差可能会永远的告别这个行业。凡是过往,皆为序章。尽管过去三年以来,区块链行业安全事件造成的经济损失呈愈演愈烈之势。我们通过黑客攻击方式的演变以及生态目前面临的安全威胁发现,区块链行业安全正在从草莽期逐渐趋向成熟,表现在:1)出现了一批优秀的区块链安全公司。他们专注于区块链安全攻防,为行业生态提供专业的安全监测、态势感知、威胁情报、AML可视化等专业化工具,和躲在区块链黑暗森林的黑客,形成了一支相抗衡的正义力量;2)智能合约、DApp生态上一些简单且具有连带威胁的漏洞正逐渐减少。尽管黑客们仍持续进行撒网式的攻击尝试,但项目开发者基础的安全攻防意识已初步形成,一些较为低级的安全漏洞明显有所减少;3)交易所、理财钱包等离用户比较近的平台成为安全事件频发的重灾区,这是由于行业发展早期,用户端安全意识薄弱造成的隐患。比如针对用户进行的钓鱼木马入侵和高理财收益等。换个角度来看,说明区块链市场的安全薄弱环节从B端已经转移到了C端,安全守护工作逐渐变得可控、可防也是一种进步;4)数字资产“合规化”引领下一轮行业发展。一方面,国家顶层设计将区块链技术定义为核心技术突破口,另一方面未受监管的数字资产数额越来越大。区块链数字资产领域开始面临“合规化”的新挑战。包括,交易所KYT服务、AML反服务、黑客赃款追踪服务等等。短期看,监管肃清可能会给生态带来致命打击,但长期看,被纳入监管或许是下一轮高速发展的开端。附:2019年度区块链十大安全事件

Paydex推出PEC锁仓挖矿:据官方消息,Paydex推出的PEC锁仓挖矿结合了流通产生价值的核心生态,PEC作为流通推广的媒介,迅速让整个生态系统落地应用,PEC锁仓挖矿中,PEC持有者,可在Paydex Dapp钱包中进行锁仓挖矿,享受增值。PEC按1:6锁仓兑换成积分,积分账户一般以每天2‰速率释放PEC。[2020/3/2]

声音 | PeckShield:以太坊部分节点分叉块已出 但算力只占主网2%:据PeckShield态势感知平台数据显示:以太坊部分节点7080000分叉块于今天下午14:17:32被挖出。一部分节点由于未完成昨天发布的强制软件升级,出现了小分叉,矿工地址为:0x06b8c5883ec71bc3f4b332081519f23834c8706e,分叉块哈希值: 0x61b1f78914ffb664661724d3568dd513b836f9d9d79d78746c9b79deed88ea64。截至发稿前,分叉块已经挖出5块。这是由已进行君士坦丁堡升级且昨天未进行强制升级的节点所出的块。根据目前出块时间和difficuty推测分叉链算力占主网不到2%,不会对主网造成威胁。[2019/1/17]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:45ms