PeckShield:6月共发生安全事件20起,DeFi安全问题再次凸显

原文标题:《PeckShield:6 月共发生安全事件 20 起,DeFi 安全问题再次凸显》

原文来源:PeckShield

DeFi 安全
6 月份共发生 4 起 DeFi 安全事件,具体如下:
1)知名 DeFi 平台 Balancer 流动性池遭黑客闪电贷攻击,损失 50 万美金。PeckShield 安全人员介入分析后,迅速定位到问题的本质在于,Balancer 上的通缩型代币和其智能合约在某些特定场景不兼容,使得攻击者可以创建价格偏差的 STA/STONK 流通池并从中获利。(详见 PeckShield:DeFi 平台 Balancer 遭黑客攻击全过程技术拆解)
此次黑客实施攻击共计分了四个步骤,具体而言:

1)攻击者通过闪电贷从 dYdX 平台借出了 104,331 个 WETH;
2)攻击者反复执行 swapexactMountin() 调用,直至 Balancer 拥有的大部分 STA 代币被消耗殆尽,进而开始下一步攻击。最终 Balancer 仅仅剩余 0.000000000000000001 个 STA。
3)攻击者利用 STA 代币和 Balancer 智能合约存在的不兼容性即记账和余额的不匹配性实施攻击,将资金池中的其他资产耗尽,最终共计获利价值 523,616.52 美元的数字资产。
4)攻击者偿还从 dYdX 借出的闪电贷,并卷走了攻击所得的数字资产。

PeckShield:6月共发生安全事件20起,DeFi安全问题再次凸显
(图解黑客攻击全流程)
2)DeBank 工程师 frenzy_hao 今日在推特上表示,黑客再次利用 dYdX 的闪电贷攻击了 balancer 部分流动性矿池中的 COMP 交易对,将池子中未领取的 COMP 奖励取走,共获利 10.8 ETH。
3) 去中心化协议 Bancor 官方披露了安全漏洞细节,原本应该设置为私有的函数 safeTransferFrom 被定义为公开函数,所以导致任何人都可以转移代币。庆幸的是,并没有发生太大安全损失,在发现漏洞之后团队进行了白帽攻击,以将资金转移到安全地址。
4)6 月 21 日,安全研究员 samczsun 私下披露了目前 AtomicLoans 部署的合约和借贷代理中的两个漏洞。这两个漏洞可能导致借款人在特定情况下无需偿还贷款即可解锁部分或全部 BTC 抵押品。
PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。
数字钱包安全
6 月份共发生 1 起钱包安全事件:
1)网络安全公司 OpenZeppelin 研究人员发文称,发现以太坊钱包 Argent 上出现高危漏洞。漏洞可使攻击者接管用户钱包,特别是那些没有激活「守护」功能的用户。与此同时,Argent 团队很快修复了漏洞,并已经联系受影响的用户。
PeckShield 点评:数字钱包作为管理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。
公链安全
6 月份共发生 1 起公链安全事件:
1)Blockstream 商业侧链 Liquid Network 被曝存在安全漏洞。由于哈希时间不一致,网络中的重要账户会收到技术漏洞影响,可导致上百美元 BTC 被盗。目前,Blockstream 网络管理员已通过恢复多签名合同暂时扣押 Liquid 网络上存储的 870 枚比特币。
PeckShield 点评:公链上的漏洞,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好安全测试和漏洞排查,并寻求第三方安全公司审计,避免因漏洞威胁影响公链生态。
勒索相关
6 月份共发生 4 起勒索相关安全事件:
1)安全公司 Unit 42 的研究人员发现一种新的恶意软件「Lucifer」正在传播,该软件是某种旧的加密货币勒索软件的变种。新的变体可用于恶意加密货币挖矿,但也可以用来进行 DDoS 攻击。
2)ST Engineering Aerospace 美国子公司遭遇勒索软件攻击,该公司及其合作伙伴被盗 1.5TB 的敏感数据。此前 2 月份消息,黑客 Maze 入侵五家美国律师事务所,要求支付超过 93.3 万美元 BTC 赎金。此前 3 月份消息,加密勒索组织 Maze 声称使用黑客软件攻击保险业巨头 Chubb。
3) 英国肯特郡一公司 Kent Commercial Services(KCS)近期遭遇黑客勒索攻击,黑客要求 80 万英镑的比特币赎金,否则将在暗网上泄露了该公司的数据。KCS 方面表示,该公司并没有支付赎金,也没有涉及纳税人的个人数据被盗。
4)针对 2 起异常天价以太坊手续费转账行为,PeckShield 安全公司研究人员认为,这可能是来自韩国的山寨交易平台 GoodCycle 遭到了黑客勒索攻击。黑客通过钓鱼攻击等方式获取了该交易平台的部分权限,因此采用挥霍 GasPrice 的行为对其实施勒索。(具体请参看以太坊天价手续费转账背后:一场黑客发起的 GasPrice 勒索攻击?以太坊天价手续费转账真相:资金盘项目 GoodCycle 上演误杀瞒天记!)
PeckShield 点评:勒索类安全事件一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后,不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗。
诈骗跑路事件
除上述之外,6 月份还发生了多起诈骗跑路事件值得警惕,例如:
1)据 PeckShield 旗下数字资产可视化追踪平台 CoinHolmes 数据显示,06 月 22 日下午起,PlusToken 跑路资金发生异动,26,316,339 个 EOS,2,503 个 BTC;789,533 个 ETH 被转移。
2)韩国首尔警方今日发起一项调查,针对两家涉及 ETH 犯罪的无名数字货币交易平台,犯罪分子采用多层次庞氏骗局手法骗取受害人的数字货币。已有 433 名投资者向警方投诉,尚有 1000 名投资者未与警方取得联系,涉案 ETH 价值 4150 万美元。
3)中国媒体广泛报道的伊朗交易平台 bitisis 已经跑路,多个消息源指出其背后实控人是中国诈骗分子,掌握多个宣称能搬砖套利的海外交易平台吸纳散户资金再卷款跑路。目前各地警方已经立案。该交易平台将用户资产转移到三个地址,其中有平台已紧急将相关地址冻结。
4) Bibox 官方公告,有不法分子山寨 Bibox APP、冒充 Bibox 客服,诱导用户交易,请用户提高警惕。
5) Huobi全球站接到举报,有钓鱼诈骗网站冒充Huobi发布公告,在社群传播「ERD 空投活动」。Huobi全球站郑重声明,Huobi未发布任何关于「ERD 空投活动」,请广大交易者提高警惕,认清Huobi官方网站地址。
6) 抹茶交易平台发公告称,近日,有不法分子冒充多家交易平台客服人员,并创建诈骗网站诱导用户交易,或要求向诈骗网站转入数字资产。MXC 抹茶没有开通官方微信号,微信上任何「MXC 抹茶」账号均非官方账号。如遇到以 MXC 抹茶名义联系用户并要求向其他平台「转账数字资产」等行为,可通过 MXC 抹茶官网客服通道对其进行身份核验。
7)近日,山东烟台警方在深圳、惠州、合肥三地同时收网,成功打掉一个以「虚拟货币投资」为幌子,利用假投资平台实施诈骗的犯罪团伙,涉案金额 1,400 余万元。
8)山东省菏泽市巨野县公安局近日破获一起特大电信网络诈骗案,打掉多个涉嫌以网贷和投资「比特币」为名实施电信网络诈骗的团伙,抓获犯罪嫌疑人 83 名,扣押、冻结涉案资金 2700 多万元,目前 30 名主要犯罪嫌疑人已被巨野警方依法移送到检察机关审查起诉。
9)近期一名南宁 OTC 商疑似协助电信诈骗犯罪分子洗钱,遭到警方调查抓获,侧面说明 USDT、加密货币与电信诈骗在中国的结合愈加紧密,可能对普通用户带来更多的冻卡风险,OTC 商也需要加大甄别力度。
10)据此前报道,不法分子正在 YouTube 上利用特斯拉创始人 Elon Musk 及其公司 SpaceX 的名字进行比特币诈骗。据统计,总共有 214 个 BTC 被发送到此类诈骗地址上,价值超过 200 万美元。
11 ) DeFi 货币市场协议 DMM 官方推特表示,在公募期间其电报群遭到恶意劫持,攻击者冒名顶替了 DMM 基金会,目的是为了窃取资金。对于在代币销售中被骗的人补偿了相应 DMG 数额,希望确保所有资金损失的人都得到了对应补偿。
PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。