成都链安:3月发生较典型安全事件超17起,以太坊DeFi前景与风险并存,诈骗活动有所增加
3月发生较典型安全事件超17起。
据成都链安「区块链安全态势感知系统」(Beosin-Eagle Eye)数据监测显示,在过去的3月中,各类安全事件时有发生。成都链安安全人员统计3月发生较典型安全事件超17起,涉及以太坊Defi安全,交易所安全,诈骗跑路问题以及其他安全事件。从另一个角度来说,则包含了虚拟货币资产安全问题和用户数据安全问题。
Defi方面,共发生3起较典型安全事件:
近几月来,随着Defi金融持续升温,随之显现而出的安全问题也日益突出。距离我们不远的bZx闪电贷二度开花攻击事件,已经在提醒我们Defi的逐渐繁荣景象之下,是否隐藏着巨大的安全风险?
1)2 月 28 日,一名用户在 Curve V4 流动性不充足的前提下进行了超大额的兑换,虽然团队发现了该事件,并立即进行了补救,但这名用户最终还是损失了 14 万美元资产。
具体的事件过程为:
用户A希望将Curve V3资金池中的资金转移至V4资金池,进行了多次稳定币兑换。由于VE资金池中稳定币USDC的资金数量严重不足,导致用户兑换了数量不足的USDC,最终致使46万美元的资产损失。
由于用户A的操作使得V4资金池中4种稳定币数量不平衡,瞬间拉高了V4的手续费收益率;用户B观察到升高的手续费收益率之后,尝试进行套利,用3.3万美元兑换了9万BUSD,所有套利操作获利3527美元。
Curve团队发现问题之后,立即对Curve V4资金池中的资金进行补足。由于各方进行了金额较大且极度不平衡的交易,所以每个人在操作过程中产生了高达14万美元的手续费;最终导致用户A损失14万美元。
导致这起安全事件的原因是Curve资金池流动性不足,并且由于Curve是基于很多项目搭建起来的,所以风险是自下而上累计的。
2)3月12日币圈暴跌,ETH一度跌幅达到58%,以ETH作为抵押资产的MakerDao去中心化Defi项目的清算机制几近崩溃。被清算的ETH资产进行拍卖,价高者得。然而在MakerDao进行的3994场拍卖中,有1462场拍卖以0dai成交,导致MakerDao平台共计损失62893个ETH,价值780万美元。
事件前因后果为:
MakerDao的最低抵押率为150%,用户抵押150ETH,可借出100dai。在MakerDAO的原有清算机制设计中,当ETH价格暴跌的时候,用户抵押的ETH会被清算,以保证MakerDao持续安全运转;然而当ETH跌至166美元时,MakerDao预言机出现故障,导致系统认为ETH价格仍停留在166美元,致使许多资产未被清算。
MakerDao预言机崩溃的原因则是在于预言机是通过实时抓取ETH的交易所报价。然而由于当晚ETH暴跌,导致以太坊链上交易数量急剧增加,让本来就拥堵的以太坊网络雪上加霜,最终导致预言机崩溃。
所有被清算的ETH进入到拍卖阶段,在MakerDao原有的设计机制中没有考虑到两个问题:一是不能根据网络拥堵情况动态而调节旷工费;二是没有考虑到参与拍卖的人员数量在极度不足的情况难以设立拍卖底价。
正由于上述两个原因,导致正常参与拍卖的用户因拥堵的网络,出价迟迟不能上链;别有用心的用户则提高旷工费,并以0dai的出价参与竞拍,最终成功拍下。
3)Defi项目Synthetix公开一个合约漏洞,不过该合约尚未启用因此未产生损失。
该漏洞存在于Synthetix合约的清算接口。在正常情况下用户质押ETH而获得SETH,在抵押期过后进行资产清算,调用清算接口返还SETH获得ETH;然而该漏洞可导致任意用户都可以直接Burn掉其他用户抵押的SETH进而获得ETH。
不过由于该功能尚处于试用期,并未造成用户实际资产损失。
Beosin评论:
Defi项目正在快速发展壮大,据统计截止2020年,锁定在以太坊Defi应用中的资产已达到了10亿美元。Defi项目的火爆主要来源它的高收益。Defi又被称为「去中心化金融」,开放式金融的基础,则是高达8%-10%的收益率必然会伴随着巨大的风险。
这是一个快速迭代的领域,因此各方Defi团队开发自己的合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格的安全审计,这就导致了各种合约漏洞与相关安全问题层出不穷。
成都链安在此建议,任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。
交易所方面,共发生2起较典型安全事件:
1)3月初,美国司法部宣布制裁涉嫌协助朝鲜黑客组织Lazarus Group洗币的黑客田寅寅和李家东,并冻结了其所有资产。
黑客田寅寅和李家东曾在数家交易所使用假身份证和篡改后的照片,以绕过KYC流程。据统计,两名中国公民被控从虚拟货币交易所黑客手中洗钱超过1亿美元。
2)有情报显示OMNI链上出现了新型USDT假充值攻击,问题出现在交易所或钱包在检测USDT充值时没有校验交易中的propertyid。黑客通过在链上发行新的其他代币,然后对propertyid进行伪造,从而实现攻击。
Beosin评论:
假充值问题已经是老生常谈的问题了。从最开始假充值问题频发的EOS,再到后来的以太坊及各种代币,以及OMNI链上的USDT,都曾遭遇过假充值问题。
造成假充值的原因主要在于两个问题,代币的真实性验证和交易的成功与否验证。因此成都链安建议,交易所和钱包等项目方在验证交易的时候应验证交易是否成功、代币是否正确,以避免假充值攻击。
诈骗跑路/加密骗局方面,共发生4起较典型安全事件:
1)随着新冠病毒(COVID-19)在全球的爆发,部分不法分子利用人们对新冠病毒的担忧,进行与新冠病毒有关的加密骗局。
有骗局假冒世界卫生组织(WHO)和疾病控制与预防中心(CDC)向居民发送邮件和短信,声称能够提供居民所在地区COVID-19阳性居民的名单,并索要比特币(BTC);还有骗局是诱导用户下载宣称用于安卓设备的假新冠病毒跟踪应用程序CovidLock。其实为恶意软件,用于锁定用户手机,进而进行勒索。
2)BTC虚假二维码骗局。有网站声称免费将用户的BTC地址映射成二维码,便于用户收钱转账;生成的二维码实则为黑客地址。目前该黑客地址已有超过0.6BTC的转入。
3)雪碧交易所上线空气币PETH,开盘即归零。所有受害者皆为前期私募受害者,额度在80USDT到1000USDT不等,约为228人。初步估计涉及金额约40万人民币,有大学生不幸涉及其中。
4)区块链资金盘「硅谷区块鸡」疑似跑崩盘路。「硅谷区块鸡」是典型的虚拟宠物类资金盘,类似于区块猫,区块狗,低价买入宠物,一段时间后高价卖出。此类加密骗局实则为击鼓传花类资金盘,直到无人接盘,即是项目崩盘的时刻。
其他方面,共发生4起较典型安全事件:
1) 加密投资基金Trident遭黑客攻击,26.6万用户数据遭泄露。
2) 微博用户5.23亿用户数据泄露,并在暗网进行售卖。
3) 韩国N号房事件。用户使用Telegram和虚拟货币进行交流和付款,由于韩国警方决定彻查参与直播间观看的所有用户,Upbit、Bithumb、Korbit、Coinone、火币和Kucoin等交易所都表示愿意配合警方调查用户信息。
4) 以太坊「一键发币」平台向开发的代币合约植入后门,在给项目方发币的同时偷偷转币至自己的账号,待项目方代币开始交易时再卖掉获利。
鉴于当前区块链安全领域的新形势,成都链安在此总结:
总的来说,3月关于区块链的安全事件仍然时有发生。安全事件发生的数量处于一个中等水平,事件导致的损失也处于一个中等的水平。然而这并不代表区块链严峻的安全形势趋于缓和,反而表现出所发生的安全事件涉及层面更广。
其中包括持续升温,但问题也日渐显现的Defi项目;仍趋于活跃的暗网市场;洗钱问题;加密骗局;合约漏洞等等,都是当前形势下难以忽视的安全问题。尤其暗网资金、加密骗局以及洗钱问题等,都是现阶段各个交易所趋于合规化首要面临的关键性问题,例如上文提及的田寅寅和李家东洗钱案中,两人仅通过假身份和假照片的方式就轻易绕过了交易所的KYC验证,从而帮助朝鲜黑客组织Lazarus Group洗钱超一亿美元。
如何对链上交易风险进行持续监测和评估,以支撑VASP(虚拟资产服务商)、监管部门、执法部门等开展风险管理、合规监管和调查取证等业务,是成都链安后续开展区块链生态
安全监管和推动合规建设的重要攻坚工作。
在不久的将来,成都链安将针对这些亟需解决的痛点,推出「虚拟资产反洗钱合规及调查取证系统」——Beosin-AML。作为成都链安「一站式区块链安全服务平台」核心安全产品之一,Beosin-AML将全力助力区块链生态应用建立完备的防护体系。
来源:成都链安科技
比推快讯
更多 >>- 富达现货比特币ETF首次录得资金流出
- 华盛证券成为首批虚拟资产现货ETF承销商
- Lava Network发布LAVA代币经济学,6.6%代币将用于API提供者奖励
- Apple工程师辞职构建以太坊Blobspace的衍生品产品
- BNB Chain宣布在BSC区块链中纳入原生流动性质押功能
- Base协议负责人:Base网络上USDC数量仅次于以太坊
- FBI 警告美国人不要使用未经注册的加密货币传输服务
- SEC 向 Consensys 发出关于 MetaMask 的 Wells 通知,称其作为无牌经纪商运营
- Pantera Capital计划为其新的加密基金筹集10亿美元
- Consensys 对 SEC 提起诉讼,以捍卫以太坊生态系统
- Axelar宣布将通过Filecoin虚拟机提供链上去中心化存储
- 金融科技巨头Stripe时隔六年后再次接受加密支付,目前支持 USDC 稳定币
- Paxos Treasury新增铸造1亿枚PYUSD
- 链上文化创意平台Spotlight完成200万美元Pre-Seed轮融资,Folius Ventures领投
- Starknet面向永续合约和期权协议开启DeFi Spring第三阶段
- 美众议院金融服务委员会高级议员:稳定币法案可能很快会出台
- Arkham:贝莱德在其 2 个 ETF 钱包中收到了超过 2万美元的符文代币空投
- 去中心化物理基础设施网络Natix完成460万美元战略融资,拟空投 10 亿枚 NATIX 代币
- Coinbase国际交易所将上线AEVO、ENA、ETHFI永续合约
- BTC突破64000美元,日内跌幅收窄至1.07%
- 9只现货比特币ETF今日净减持1,104枚BTC,净流出约7010万美元
- W代币现可通过Wormhole NTT在Solana、以太坊及L2网络上无缝转移
- Immutable 推出价值 5000 万美元的加密游戏奖励计划
- Wordcoin计划与PayPal和OpenAI进行合作
- 富兰克林顿普顿为其链上美国政府货币基金推出点对点转账服务
- USDC Treasury销毁超5622万枚USDC
- 以太坊 L2 区块链开发商 Movement Labs 完成 3800 万美元 A 轮融资
- A16z crypto 首席技术官:Meme币“赌场”破坏了加密货币的长期愿景
- 自 4 月 8 日以来疑似孙宇晨地址已购买 176,117 枚 ETH,约合 5.597 亿美元
- DCG聘请Aimie Killeen担任其新的首席法务官
- Benchmark:如果采用新的会计规则,MicroStrategy 盈利或增加 30 亿美元并成为标普 500 强公司
- 美SEC推迟就现货比特币 ETF 期权上市和交易做出决定,并征求公众意见
- 灰度于12分钟前向Coinbase Prime地址转入800枚BTC
- a16z Crypto提出代币发行的五条规则,包括勿以筹款为目的在美国公开出售代币
- 区块链B2B支付公司Paystand收购Teampay
- 美股区块链板块普跌
- CARV完成1000万美元A轮融资
- 交易员将美联储首次降息时间推迟至12月
- CME美联储观察:美联储5月维持利率不变的概率升至99.7%
- 美国退休顾问金融公司GRP已在7只比特币ETF中持有投资敞口
- 美国Q1 GDP低于预期 核心PCE物价指数大幅反弹
- 美元指数DXY短线下挫超20点,30年期国债收益率升至4.81%
- 国际象棋策略游戏Anichess完成180万美元融资
- 在美国财长耶伦背后展示“Buy Bitcoin”的笔记本以超100万美元价格售出
- 贝莱德IBIT现持有约27.44万枚BTC
- Moso完成200万美元种子轮融资
比推专栏
更多 >>观点
项目
比推热门文章
- 富达现货比特币ETF首次录得资金流出
- 华盛证券成为首批虚拟资产现货ETF承销商
- Lava Network发布LAVA代币经济学,6.6%代币将用于API提供者奖励
- Apple工程师辞职构建以太坊Blobspace的衍生品产品
- 三分钟速览 Coinbase 新上线的 Web3 游戏基础设施层 Karrat
- 深度解读:USDT+TON+Telegram将变异出什么新物种?
- Bankless:Runes不是矿工收入问题的解决方案
- VC 经验之谈: 准备代币 TGE 时需要考虑的 10 件事
- Solend 创始人复盘 ezETH 脱锚:如何应对 LST 风险?
- 早期钱包不断苏醒,180 万枚「丢失」的比特币有多少真的消失了?