PeckShield:4月共发生安全事件15起,受损金额上亿元

原文标题:《PeckShield: 4 月共发生安全事件 15 起,DeFi 安全敲响行业警钟》

原文来源:PeckShield

DeFi 安全
4 月份共发生 5 起 DeFi 安全事件,具体如下:
1)04 月 18 日,黑客利用 DeFi 平台 Uniswap 和 ERC777 标准的兼容性问题缺陷,对 Uniswap 实施了重入攻击。具体而言,黑客在交易 ETH-imBTC 时,利用 ERC777 标准中进行转账的 tokensToSend 回调函数实现了重入攻击,总获利 34 万美元。
2)仅仅在 24 小时后,04 月 19 日 又一知名 DeFi 平台 Lendf.Me 也被黑客以类似的手段实施了攻击。如图所示,合约 supply() 函数中调用真实转账函数 transferFrom() 时,被 Hook 的攻击者合约里嵌入了盗用 Lendf.Me 的 withdraw() 的提币操作。
3)04 月 20 日,DeFi 稳定币交易平台 Curve 公布 sUSD 资金池合约存在借贷漏洞,并称所有的漏洞已经解决,资金安全,无损失发生。
4)04 月 23 日,DeFi 平台 PegNet 疑似遭受顶级矿工 51% 攻击,四名矿工控制了网络 70% 的哈希率,从而实施了此次攻击。
5)04 月 27 日,DeFi 项目 Hegic 代码出现漏洞导致用户资产被用户永久锁定。在该项目上线几小时后,其代码中的一个错误锁定了该平台智能合约价值 2.8 万 美元的用户资金,由于该漏洞将资金锁定在了过期合约中,使其无法被访问,Hegic 团队承诺用他们自己的资金补偿所有受影响的用户。
PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。特别是 DeFi 业务组合可能存在的系统性风险问题,平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查,还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。
交易平台安全
4 月份共发生 2 起交易平台安全事件:
1)04 月 09 日,加密货币交易平台 Bisq 被盗,攻击者利用 Bisq 交易协议中的一个缺陷,针对单笔交易来窃取交易资金。7 名受害者共损失 3 个 BTC 和 4,000 个 XMR。
2)04 月 29 日,币安交易平台遭受 DDoS 攻击,合约页面大范围卡顿,造成网络短时间滞后和访问中断。
PeckShield 点评:针对层出不穷的交易平台安全事件,交易平台应使用更加安全的防范系统,类似 DDoS 攻击,交易平台可配置多台备用机器,避免单点故障给系统带来的风险。

DApp 安全
4 月份共发生 1 起 DApp 安全事件,存在于 EOS 网络。具体而言,04 月 30 日,PeckShield 安全盾风控平台 DAppShield 监测到黑客向 EOS 竞猜类游戏 Felix 发起连续的假 EOS 攻击,获利数万 EOS,且大部分资金已转移到其他账号。
PeckShield 点评:项目方在完成智能合约的开发时,务必在合约上线前做好安全测试,必要时可寻求第三方安全公司完成审计评估,帮助其完成合约上线前攻击测试及基础安全防御部署。
诈骗跑路事件
除上述之外,4 月份还发生了多起诈骗跑路事件值得警惕,例如:
1)EOS 生态骗局崩盘,价值上亿人民币的 EOS 被转移,受害者多达 38 万余人。
2)Telegram “搬砖套利” 诈骗总金额达到 35,000 枚 ETH,其中大多数已经流入各个交易平台套现。
3)警惕钓鱼网站 airdrop-box 空投 HT 诈骗,该网站诱导用户点击钓鱼链接,用户一旦输入私钥即被盗资产。
PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

区块律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。    

PeckShield 安全 安全