EFI:PeckShield：11月共發生安全事件35起，DeFi為何淪為一小撮人的狂歡？_Defigram

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發35起較為突出的DeFi安全事件，危害程度評級為「高級」。涉及DeFi相關13起、錢包安全2起、勒索相關5起，詐騙事件10起、其他攻擊5起。黑客肆虐，DeFi為何淪為一小撮人的狂歡？

牛市來臨之后，DeFi一度被譽為支撐加密貨幣成為今年真正“頭號”投資產品的關鍵。

據DappTotal數據顯示，11月以來，DeFi的總鎖倉量突破新高。整個DeFi生態一副欣欣向榮的景象。然而，另一邊，DeFi正陷入弱代碼流行病的困擾。據PeckShield統計，11月共發生逾13起與DeFi相關的安全事件，造成損失近5000萬美元。

ApeCoin發起創建去中心化事件網絡ApeCoinIRL提案，當前反對票超94%:金色財經報道，ApeCoin社區發起了提案AIP-226，其中提到將創建一個去中心化事件網絡ApeCoinIRL，吸引更多Web3和ApeCoin生態系統用戶入場，該網絡將幫助社區創建小型本地聚會、信息活動以及全球博覽會和會議，同時建立在一個集成了主日歷、活動目錄、CRM和票務應用程序的尖端技術堆棧，最終成為DAO中的IRL分銷網絡。不過，該提案似乎并未獲得社區支持，本文撰寫時反對票比例高達94.04%，贊成票比例5.02%，棄權票為0.94%，提案投票截止日期是4月13日。[2023/4/9 13:53:01]

11月1日，YFI披露一個新的閃電貸安全漏洞，團隊在1.5個小時后移除該漏洞；11月2日，主網僅上線幾個小時的AxionNetwork遭到黑客攻擊，黑客利用其質押相關漏洞鑄造790億枚代幣AXN，導致其代幣價格短時下跌100%，并且損失50萬美元；11月6日，PercentFinance因出現漏洞而凍結了100萬美元的代幣，包括44.6萬枚USDC、28枚WBTC和313枚ETH；11月7日，PeckShield監控到黑客利用閃電貸通過一筆交易攻擊一家去中心化數字銀行CheeseBank，憑空套利330萬美元；11月10日，JustSwap白名單DeFi項目SharkTron被竊取價值1000萬美元的波場幣，波場聯合幣安凍結部分資金；11月14日，PeckShield監控到黑客利用Akropolis項目存在的存儲資產校驗缺陷，向合約發起連續多次的重入攻擊，憑空增發大量的pooltokens，擄走203萬枚DAI；11月15日，PeckShied監控到黑客利用ValueDeFi協議中基于AMM算法的價格預言機(Curve)存在的漏洞，操縱Curve上代幣的價格，鑄造pooltokens，最終獲利540萬美元11月17日，PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊，攻擊者利用dYdX的閃電貸進行重入攻擊，因被黑客攻擊未經審核新創建的智能合約漏洞，損失近2000萬美元的DAI；11月26日，Compound遭預言機攻擊，9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的，操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊；11月29日，RGTDistributor的合約出現漏洞，智能合約DeFi智能投顧RariCapital發布官方推特稱已修復合約漏洞，沒有資金丟失；11月30日，流動性挖礦項目SushiSwap遭到流動性提供者攻擊，該攻擊者通過一筆交易中獲取了1至1.5萬美元，隨后該修復通過PeckShield審核。區塊鏈世界信仰“CodeisLaw”，認為代碼即法律，分布式技術可確保數據不可篡改，最大程度地保證系統安全，但現在基于區塊鏈技術開發的DeFi為何頻遭安全問題困擾？PeckShield相關負責人分析道：“DeFi的金融屬性強，與資金綁定緊密，一旦發生安全事件，大概率會直接涉及到切身利益，但此類安全問題并非沒有破解的方法。DeFi還處于發展階段，在主網上線前，一定要確保代碼進行徹底地審計和研究。例如PickleFinance被攻擊的事件，略過了新增代碼的審計，造成黑客有機可乘。同類DeFi被攻擊后，要及時確認自己的合約是否也存在類似的漏洞，或者尋求專業的審計機構，例如PeckShield對同類攻擊進行監控。”數字錢包安全

Web3初創公司Spectral獲得2300萬美元融資:金色財經報道，信用風險評估基礎設施web3初創公司Spectral已在由General Catalyst和Social Capital領投的一輪融資中獲得2300萬美元。參與本輪融資的其他投資者包括三星、Gradient Ventures、Section 32、Franklin Templeton、Circle Ventures和Jump Capital。Varghese說，到目前為止，該公司已經籌集了約3000萬美元。

這家初創公司建立了一個相當于傳統FICO評分的鏈上評分，稱為多資產信用風險Oracle (MACRO)評分，允許用戶通過其平臺查看鏈上評分。（techcrunch）[2022/8/24 12:46:08]

據PeckShield統計，11月份共發生2起典型的錢包安全事件：11月6日，Ledger錢包用戶因釣魚詐騙損失逾110萬枚XRP。詐騙者利用釣魚郵件將用戶引導到一個假冒的Ledger網站上，并誘騙用戶下載了冒充為安全更新的惡意軟件，從而導致Ledger錢包余額悉數被盜。11月9日，ElectrumSV多簽方案出現嚴重漏洞，致使用戶被盜600BSV。其他攻擊

PeckShield：Nomad被攻擊事件相關地址向V神地址轉移15萬枚IAG:金色財經報道，據派盾（PeckShield）監測數據顯示，0x25c77...2bad已將150,040枚IAG代幣轉移到vitalik.eth地址（0xd8da6b...7aa96045）。0x25c77...2bad地址曾在跨鏈橋Nomad事件中利用漏洞獲利。[2022/8/5 12:05:12]

除此之外，11月份還發生了多起其他攻擊事件：11月3日，挖礦木馬團伙z0Miner利用Weblogic未授權命令執行漏洞入侵5000臺服務器。該團伙通過批量掃描云服務器發現具有Weblogic漏洞的機器，發送精心構造的數據包進行攻擊。之后執行遠程命令下載shell腳本z0.txt運行，再利用該shell腳本植入門羅幣挖礦木馬、挖礦任務本地持久化，以及通過爆破SSH橫向移動；11月8日，GrinNetwork遭到51％攻擊；11月11日，惡意節點試圖通過Sybil攻擊干擾Monero網絡，以獲取有關Monero區塊鏈上用戶的信息。據悉，Sybil攻擊是對P2P網絡的惡意攻擊，個人或組織試圖通過使用多個身份控制多個賬戶或節點來接管網絡；11月19日，挖礦木馬4SHMiner利用漏洞針對云服務器攻擊，已控制約1.5萬臺服務器挖礦；11月21日，BCHA鏈遭攻擊，網絡產生大量空塊。PeckShield相關負責人表示：“近年來，針對加密貨幣的攻擊日益增多，安全事件頻發。對于企業用戶而言，一方面，針對加密企業服務器上的文件，應該及時給服務器打好安全補丁，同時避免使用弱口令，關閉不必要的端口；另一方面，應該加強對釣魚郵件的攔截，提醒員工不要輕易打開來歷不明的郵件，并且保持安全軟件運行狀態。對于個人用戶而言，需要警惕來歷不明的郵件，保持安全軟件運行狀態，及時修復電腦漏洞，并且養成良好的上網習慣，不使用外掛等病高發點的工具。針對系統性漏洞，需要養成對重要文件備份的習慣，使用U盤、硬盤等存儲工具對重要文件進行備份，未雨綢繆，防范于未然。”欺詐&勒索

ApeCoin預計將于今年8月推出質押系統:7月23日消息，據官方消息，ApeCoin Foundation已選擇Horizen Labs作為合作伙伴，為ApeCoin建立和管理質押系統，該系統將于今年8月推出。[2022/7/23 2:32:43]

隨著區塊鏈技術的發展，以及愈來愈多人對區塊鏈領域的關注，這推動了區塊鏈的日益普及，但也讓各式騙局應運而生，以區塊鏈概念包裝、傳銷方式進行推廣的資金盤層出不窮，同時黑客、攻擊者也在將注意力轉移到加密貨幣上。據PeckShield統計，11月共發生10起欺詐相關安全事件；11月1日，KP3R和CORE的仿盤項目KPER和KORE疑為騙局，幣價短時暴跌幾近歸零；11月2日，上海市虹口區人?檢察院對8名為利用虛擬貨幣協助詐騙分子轉移逾1500萬元錢款的“中間商”提起公訴;11月3日，宿遷破獲數商中國數字貨幣詐騙案，涉案金額達220萬元；11月6日，涉足區塊鏈的A股上市公司斯萊克遭電信詐騙，損失205萬美元(折合人?幣約為1355萬元);11月10日，南京六合破獲一起與比特幣相關的詐騙案，抓獲涉案人員10名，追回詐騙款10萬余元；11月12日，常州涌現“羅?幣交易所”平臺欺詐騙局，提醒謹防“變種”詐騙;11月14日，山?忻州破獲“SZSE數字貨幣交易所”詐騙案，涉案金額逾1000萬元；11月16日，泉州市?舉報MARK交易所交易詐騙，涉案金額高達25億元;11月20日，江蘇破獲柬埔寨水晶國際區塊鏈騙局，涉案金額逾1000萬元；11月23日，黑?江鶴崗市局成功破獲一起“哥倫布CAT虛擬貨幣”特大網絡傳銷案，涉案資金近3億元；據PeckShield統計，11月共發生5起勒索相關安全事件；11月1日，黑客入侵芬蘭Vastaamo心理治療中心竊取芬蘭公?的心理治療記錄，以此勒索比特幣;11月3日，江蘇省啟東破獲一起比特幣勒索病案，非法獲利100多枚比特幣，折合人?幣500多萬元;11月7日，游戲巨頭CAPCOM遭勒索軟件攻擊，被竊取黑客索要1100萬美元的比特幣贖金;11月12日，黑客攻擊意大利酒商金巴利(Campari)，竊取重要文件、合同和銀行信息，并索要1500萬美元比特幣贖金;11月13日，比特幣勒索軟件Pay2Key攻擊多家以色列公司；由于加密貨幣具有匿名性、鏈上資產轉移路徑復雜、技術追蹤難度大，從而加大了相關部?追蹤、監管加密資產的難度。近年來，國內外都在加大AML反洗錢政策的監管要求，進一步推進對加密資產的監管。Peckshield相關負責人表示：“除了法律，目前在技術層面，可通過專業的鏈上追蹤系統對鏈上資產流轉的情況進行實時監控。有關監管部門可在專業安全團隊的輔助下，共同推動加密資產安全有序發展。”

聲音 | PeckShield：BCH硬分叉預計在5月15日21時進行:據PeckShield安全團隊消息，BCH 下一次硬分叉在北京時間2019年5月15日21時；UNIX timestamp：1,557,921,600。主要升級：加入Schnorr signature、txs storage 和 bandwidth saving 25%， 同時提高隱私。此次硬分叉沒有什么爭議，預計比較順利，屬于一次提高性能的軟件升級。[2019/5/5]

Tags：SHIEFISHIELDELDSHINDefigramSHIELD價格garfield幣預售

Gate交易所