成都链安:4月发生较典型安全事件超12起,以太坊Defi接连暴雷

成都链安科技
企业专栏
热度: 25755
总的来说,较之3月发生的安全事件情况,4月所发生的的安全事件有所减少。

黑客

据成都链安『区块链安全态势感知平台』(Beosin-Eagle Eye)数据监测显示:在过去的4月中,各类安全事件仍然时有发生。成都链安安全人员统计4月发生较典型安全事件超『12』起,Defi安全问题仍然突出。 

Defi方面,共发生『3』起较典型安全事件:

1418日,Uniswap上的imBTC池遭到黑客重入攻击,黑客利用UniswapERC777的兼容性问题,在进行ETH-imBTC交易时,利用ERC777中的多次迭代调用tokensToSend来实现重入攻击,黑客在此次攻击中获得1278ETH和一部分imBTC,总计损失超过30万美元。 

2419日,去中心化借贷平台Lendf.me遭到类似Uniswap事件的重入攻击,攻击者重复调用supply()函数,并在第二次supply()时调用了Lendf.mewithdraw()函数,直接将先前存入的imBTC取出,当supply()执行返回的时候,账户余额也并未被重置。攻击者通过不断修改提高自己imBTC的抵押额,最终从交易对中借出所有可借的币种资金。黑客在此次攻击中获得超过2400万美元的各币种资金,不过黑客最终迫于各方的压力,尽数归还了各个币种的资金。 

3423日,刚刚上线不久的期权交易协议Hegic,由于代码中的一个错误,将价值28000美元的用户资金锁定在了一个过期的期权合约中,永久无法访问。

Beosin评论:

2月份的BZX事件仍时隔不远,3月份的MakerDao事件历历在目,动荡的以太坊Defi市场在4月仍然难逃厄运,Lendf.meUniswap都遭到重入攻击,损失惨重。如今Defi市场各个平台的Defi协议层出不穷,没有一个引导的标准,导致百花齐放;这就如同一个横七竖八拼凑而成,并且越拼越大的乐高积木,一旦某个环节出现了问题,都将带来很大的影响。

成都链安在此建议:

1、项目合约代码不仅要功能完整,简洁清晰,更要遵守安全规范,一些不规范的代码逻辑极大可能造成安全问题。 

2、项目上线前应通过自身或者借助第三方安全公司的力量,对合约代码进行完整和专业的安全审计,尽可能修复问题,避免风险。 

3、项目运行时则应当设立应急预案或者风控机制,在遇到异常情况时能及时阻断,避免造成进一步的损失。 

交易所方面,共发生『1』起较典型安全事件:

429日,中午开始,币安交易所遭到攻击导致合约页面大范围卡顿,甚至打不开页面。

暗网方面,共发生『3』起较典型安全事件 

149日,电子邮件服务提供商Email.it遭黑客入侵,60万用户数据被挂暗网

2423日,2.67亿个Facebook帐户信息在暗网以600美元的售价出售,账户信息包括姓名、邮箱地址、电话、社会身份、性别等。

3429日,一名黑客将慧影医疗公司的新冠检测技术和数据在暗网上以4比特币的价格进行出售。

诈骗跑路/加密骗局方面,共发生『4』起较典型安全事件:

1419日,运营超过一年半的『EOS生态』资金盘项目跑路,其充币地址w.io频繁向其他地址转账,露出转移资产套现的意图。截至422日,w.io账户余额仅剩1682EOS。链上数据追踪显示EOS生态』的资金最终汇集到4个主要的EOS地址,总计超过2000EOS,涉及金额超3.6亿元。

2、Telegram的『搬砖套利』骗局仍在流行近期又有多名用户骗超过900ETH。尽管无论是Huobi方面还是imtoken钱包都曾发表过官方声明,然而此类骗局还是时用户上当受骗。

3、钓鱼账号创建的虚imtoken官方电报群充当官方技术人员身份,引导『搬砖套利』被骗用户在指定网站输入私钥进行所谓『交易回滚』操作,遭到二次诈骗被骗用户资金已经部分流入交易所。

4、EOS主网上近期存在冒充Voice官方账号诱骗用户充值的骗局,目前两个骗局的充币地址月超过9000EOS 

其他方面,共发生『1』起较典型安全事件: 

稳定币网络PegNet本周遭到了『51%攻击』,四名攻击者合计占有了高达70%哈希率在提交了虚假的价格数据后将自己钱包中的余额由11美元变更为670万美元

鉴于当前区块链安全领域的新形势,成都链安在此总结 

总的来说,3发生的安全事件情况,4所发生的的安全事件所减少个别方面来说,却是呈现上升的趋势在以太坊Defi方面,形势依然严峻,4月仍然有3起安全事件发生。其中Lendf.me被盗事件中,虽然黑客返还所有盗取资金,但是如此巨大的资金被盗事件发生,还是应给各方敲响一个警钟:即使是一个不起眼的小错误,就有可能成为掏空项目方资金池的导火索。

另外,我们在此提醒,对于市场所有Defi项目方而言,当暴露出安全风险的时候,项目方应及时进行自查,排查出潜伏的安全漏洞与安全风险是非常值得,也是非常必要的举措当然,借助专业的区块链安全公司的力量,以寻求更为全面细致的排查更能防患于未然。 

除此以外需要注意的是4收到的相关加密骗局情报有所上升,无论是熟悉TelegramT『搬砖套利』以及衍生的一系列投资骗局以及EOS公链上的假冒Voice骗局,都利用了人们贪图小便宜的心理。作为用户,只要不抱有贪图小利的心态可以避免被骗。

面对愈演愈烈的各类利用虚拟资产进行非法犯罪的行为,以及各类安全事件的频繁发生,致力于区块链安全生态建设的全球领先头部公司——成都链安即将应势推出反洗钱和调查取证系统Beosin-AMLVASP版,以满足FATF及各国管辖区提出的各类监管要求帮助VASP降低经营风险,防范因为风险造成的损失让区块链生态更安全

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。
转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。 未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。
提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。
免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示,本站所发布文章仅代表个人观点,与火星财经官方立场无关。鉴于中国尚未出台数字资产相关政策及法规,请中国大陆用户谨慎进行数字货币投资。
语音技术由科大讯飞提供

评论0