成都连锁安全舆情监测数据显示,2022年6月,据不完全统计,整个区块链生态共发生典安全事件36起以上,整体安全风险等级为[高]。本月,[DeFi]仍是典安全事件的主阵地,“闪电贷款攻击”仍是黑客采取的主要攻击方法。除此之外,[骗局运行/加密骗局]的安全形势也非常严峻,不可掉以轻心。
与5月份相比,DeFi生态的攻击不再局限于BSC链上的项目。伴随DeFi生态的兴盛,各种DeFi项目因商品设计和推行的不同而暴露出不一样的安全风险。比如,在xwin finance遭黑客攻击的状况下,攻击者借助项目本身“推广方法和奖励机制”的漏洞发起攻击;然而,在safepolar被黑客攻击的状况下,攻击者借助了项目合同在“抵押和报酬计算”中的逻辑缺点。
以下是本月安全月报的详细内容。
交易平台方面,发生了“2”起典安全事件
01
依据韩国当局的新规定,假如交易网站的员工在我们的平台上买卖,他们的交易网站将面临最高1亿韩元(约9万USD)的罚款和中止买卖许可。
02
韩国警方逮捕了数字货币交易网站“V global”的一名代表和四名运营商,罪名是涉嫌违反限制非法信贷有关的法律和欺诈行为。
在DeFi方面,有“11”起典的安全事件
01
Pancake hunny遭到黑客攻击,短期内发行了很多代币并销往市场。
02
Sushiswap帮助alchemix找到了一个漏洞,可以从他们的奖励合同中提取alcx,因此alchemix需要Sushiswap禁用他们的“双重挖矿奖励”。
03
对收入农场evoDeFi的攻击致使其代币发电机的价格从2.1USD跌至0.9USD,下跌了57%。
04
Defi固定速率生成协议88mph,发布init()函数紧急漏洞修复报告。
05
Alchemix-al以太币池被怀疑是易受攻击的,假如al以太币债务未偿还,用户可以提出抵押以太币。现在,专案组已停止该池的按揭贷款,并展开调查。
06
DeFi协议,无形金融,被怀疑遭到了闪电贷款的攻击。
07
十一财经中与神经有关的机枪库或许会遭到雷击。金融团队表示,这类资金是安全的。
08
6月25日,BSC链上的WiFi协议xwin Finance遭到lightning loan攻击。
09
6月28日,safepolar被怀疑遭到黑客攻击,一份未经确认的合同提取了美元C和美元T的25万USD。
十
ThERChain遭到恶意攻击,导致14万USD的资本损失。不过,thERChain表示,用户的资金不会遭到影响,资金池将用于弥补资金漏洞。
十一
Merlin lab是一个收入聚合器,因为Merlin strategy alpacabnb的逻辑漏洞,它遭到了黑客的攻击。漏洞在于合同错误地将受益人出售的wbnb作为挖矿收入,这使得合同发行了更多的merlUSD作为奖励。
B柚子币in评论:
本月,典安全事件突破“十大”关口,安全形势依旧严峻。如闪电贷款攻击、业务逻辑漏洞、项目奖励机制等缘由,都成为黑客攻击的“裂缝”。因此,作为项目方,看重项目本身的设计和推行是尤为重要的。必要时,可在第三方安全企业的帮助下进行项目自检,消除安全隐患。
在诈骗/加密诈骗方面,有“8”起典安全事件
01
6月1日,两名涉嫌通过BTCP2P平台local bitcoins进行诈骗的男子被拘留。在这起诈骗案中,有近36人和约13.6万USD的数字货币让人骗。
02
6月12日,Twitter用户表示,他们收到了欺诈小组的一封电子邮件,该小组打开了附有Microsoft Word徽标的SCR文件,然后他们遭到了攻击。
03
英国诺丁汉郡一名男子说,他在一家假冒经纪企业的加密骗局中被偷了20万英镑(约合28.2万USD)。
04
Stable magnet finance是硬Binance全智能链(BSC)上稳定币兑换的自动做市商,它从用户手中抢走了2200万USD并逃跑了。
05
数字货币投资平台africrypt的开创者失去联系,平台上的6.9万BTC(约23亿USD)被转移。
06
6月24日,在加大打击电信互联网诈骗的过程中,西昌市公安局初次破获了借助数字货币为电信互联网诈骗“洗钱”的团伙。
07
欧洲刑警组织打击了比利时的庞氏骗局。在这次行动中,执法职员追回了110万欧元现金和150万欧元数字货币。
08
一些骗子假装是数字货币剖析师PlanB,在twitter上行骗。很多人的钱被偷了。
B柚子币in评论:
在过去两个月中,[欺诈/加密骗局]的典安全事件数目一直居高不下。这样来看,数字货币欺诈日益成为影响整个区块链安全生态的“害群之马”。日益高涨的安全形势不只紧急威胁着用户的财产安全,也给整个区块链产业的好进步带来巨大阻力,值得关注!
在勒索软件/挖矿木马方面,出现了“4”起典安全事件
01
美国司法部近期指控拉脱维亚公民阿拉·维特参与一个国际互联网犯罪组织,该组织制造并部署了一个名为trickbot的电脑银行勒索软件,企图欺骗买家、企业和其他组织。
02
美国收回了支付给殖民地政府的钱;管道勒索软件黑客数百万数字货币。
03
巴西肉类加工公司JBS SA的美国子公司JBS USA holdings首席实行官安德烈·诺盖拉(Andre Nogueira)表示,该公司已向互联网犯罪分子支付1100万USD赎金,以解决软件敲诈攻击。
04
monero恶意软件Crackonosh已经感染了222000台电脑。
其他方面发生“11”起典安全事故
01
6月3日,苹果联合开创者史蒂夫·沃兹尼亚克(Steve Wozniak)在去年7月起诉YouTube,指控YouTube平台允许他人用我们的图片发布BTC欺诈视频。加州法院周三驳回了这一诉讼。
02
韩国数字货币交易平台upbit的11名用户对其运营商dunamu公司提起集体诉讼,需要其赔偿因涉嫌技术问题导致的资本损失。
03
斯里兰卡总理的官方网站被一个匿名黑客组织入侵,并被重定向到另一个名为去中心化数字货币BTC的网站。
04
Siastats在twitter上说,SIA互联网在过去48小时内遭到DDoS攻击。最大的目的是互联网主机和存储提供商,其中约30%的公司遭遇停电。
05
DeFi资产管理平台Zapper在twitter上表示,它在旧版本的“POLOGAN桥”智能合约中发现了一个漏洞,攻击者可以通过该漏洞窃取无限的批准资金。
06
有twitter用户表示,美元C/以太币买卖100万USD的曲线滑动点高于美元C/以太币买卖1000万USD的曲线滑动点,怀疑是路由错误导致的。现在,该漏洞已被修复。
07
孟买居民马卡兰·帕迪普·阿迪维卡尔(Makarand Pardeep apirkar)被印度麻醉品局(NCB)逮捕,称其为该国地下毒品循环的“加密之王”,印度数字货币交易平台wazirx称被告不是他的当事人。
08
算法稳定币协议Malt(算法稳定币协议)宣布了一项计划,以补偿遭到妨碍该协议推出的漏洞影响的投资者,并锁定流动性提供者。
09
一位名叫黄炳光的税务官员凭着其敏锐的调查方法,成功追回了高达3200万USD的税款。国家税务总局决定对他进行表彰,授与“出色公务员”称号。
十
安全公司Fireblocks就ETH损失stacehound 7500万USD一事回话称,这是由于stacehound未能按需要用第三方灾难恢复服务备份BLS密钥,双方签署协议时以书面形式进行了交流。
十一
6月29日,因为担忧投资欺诈和欺诈,美国国家西岸银行(NatWest bank)限制了顾客天天可以发送到数字货币交易平台(包含货Binance全)的金额。
结论:
总体来看,6月份典安全事件较5月份略有增加,整个区块链生态系统的安全形势仍处于[高风险水平]。不难看出,从6月份的安全事件类分布来看,【DeFi】和【欺诈/加密诈骗】仍然需要区块链各方从业者的关注。
就[DeFi]而言,伴随DeFi生态的不断进步,各种DeFi项目层出不穷。链上的资产中心化度越高,用户覆盖范围越广,就越自然成为黑客攻击的目的。成都联安建议,各大DeFi项目方需要做好安全审计和安全防范工作。
伴随数字货币市场的飞速扩张,各种诈骗、逃逸犯罪活动日益猖獗。成都联安指出,最近,愈加多的犯罪分子开始借助数字货币进行诈骗、传销、洗钱、互联网赌博等违法犯罪活动。建议投资者不要盲目跟风、轻信,以免落入犯罪分子“精心炮制”的陷阱。
