3月共发生安全事件19起,DeFi安全问题凸显

PeckShield 2020-04-01 20:22 1.32万
分享

编者注:本文作了不改变作者原意的删减。

据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生19起较为突出的安全事件,危害程度评级为「中级」,受损金额达百亿元,涉及DeFi 2起、交易所2起,智能合约1起, 诈骗跑路14起等。

DeFi 安全

3月份共发生 2 起 DeFi 安全事件,具体如下:

1)03月12日,由于以太坊 ETH的价格暴跌,MakerDAO的大量抵押债仓跌破清算门槛,引发了清算程序执行。由于以太坊网络gas费用剧增,导致 MakerDAO 的清算过程完全缺乏竞争,原本应该参与到清算过程中的清算机器人(Keeperbot)因为设置了较低的gas值,导致出价受阻,一位清算人(Keeper)在没有竞争者的情况下,以0 DAI的出价赢得了拍卖。

MakerDAO清算拍卖设计的目的,是尽可能以最少的抵押物回收最大的 DAI,这一机制在正常情况下是可以成功运作的。但是当以太坊系统极其拥堵的时候,或者更极端一点来说,只要竞拍的参与度不足,就很容易被恶意Keeper以极低报价获得拍卖物。针对此次清算出现的问题,MakerDAO 社区也已紧急讨论了针对清算机制的改进措施。

2)03月26日,Synthetix的抵押贷款清算功能被发现存在漏洞,具体而言:Synthetix近期上线了一个合约,用户可以在 3 个月试用期内质押ETH获取sETH,而在试用期结束后,将启动关闭所有贷款功能进行清算,即任意拥有sETH 的用户都可以通过调用清算接口得到 ETH。然而,该接口的处理逻辑代码存在一个漏洞会导致任意用户直接burn掉借款人的sETH资产并获得ETH。不过由于该功能处于试用期间,并未造成实际损失。目前, Synthetix官网的loan服务仍处于关闭状态。

PeckShield 点评:

随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。

交易所安全

3 月份共发生 2 起交易所安全事件:

1)03月02日,美国司法部以阴谋洗钱和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。区块链安全公司 PeckShield 第一时间介入追踪研究分析,基于美国司法部仅公布的 20 个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。

分析发现攻击者试图利用 Peel Chain 的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所,如下图所示:


在完成初步洗钱操作后,攻击者并没有直接转入自己的钱包,而是再次使用 Peel Chain 手法把原始的非法所得 BTC 分批次转入 OTC 交易所进行变现。攻击者每次只从主账号分离出几十个 BTC 存入 OTC 帐号变现,经过几十或上百次的操作,最终成功将数千个 BTC 进行了混淆、清洗。

2)OMNI网络发现新型USDT假充值手法:黑客采取发行其他类型的代币伪造成 USDT 对交易所或钱包进行 USDT 假充值,当交易所或钱包在检测 USDT 充值时如果没有校验交易中的 propertyid,就会导致假充值情况的发生。

PeckShield 点评:

黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。同时,针对假充值等安全问题,交易所应当在确认代币名称和交易状态后再进行转账。

智能合约

3月份共发生1起智能合约安全事件,存在于以太坊网络。具体而言:03月24日,有项目方反映在发布ERC20代币后,发现一些来源不明的代币在链上转账。深入分析后发现,是项目方使用的“一键发币”第三方平台存在后门——发币合约创建时存在暗地增发Token并窃取的恶劣行为。

PeckShield 点评:

项目方在使用第三方服务完成智能合约的开发时,务必在合约上线前做好安全测试。

诈骗跑路事件

除上述之外,3月份还发生了多起诈骗跑路事件值得警惕,例如:1)区块链资金盘“硅谷区块鸡”疑似跑路,涉案金额或达百亿人民币;

2)英国夫妇因使用虚假的 Chrome 浏览器扩展丢失 14,800 枚 XRP;

3)不法分子在各种聊天群发布虚拟货币消息,以疫情防控为由,利用人们投资理财的迫切心理,打着虚拟货币的幌子实施诈骗、非法集资活动;

4)YouTube 上有人冒充 Ripple 的首席执行官推销 5,000 万 XRP 代币的假赠品,以哄骗用户将钱投入类似的空投骗局中。

PeckShield 点评:

因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

本文来源:巴比特 原文作者:PeckShield 责任编辑:克格莫
声明:奔跑财经登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。

评论

还没有人评论,快来评论吧

相关新闻

巴西证券交易所B3获监管批准提供比特币期货

2024-03-29 14:55
巴西主流的证券交易所B3宣布,该国证券监管机构已经批准他们为客户提供比特币期货。>
Coingape 5021

现实与谣言:解读阿根廷的比特币狂热潮

2024-03-29 12:39
尽管全球范围内的探究热情高涨,但其在阿根廷的采用为何仍然滞后,以及它面临的障碍是什么。>
CryptoNews 5558

美国联邦机构被勒令任命人工智能官员,并满足其他要求

2024-03-29 11:39
3 月 28 日,白宫命令所有美国联邦机构任命首席人工智能官。>