成都链安：8月发生较典型安全事件汇总

据成都链安『安全态势感知系统』数据监测显示：在过去的8月中，整个区块链生态所面临的安全形势十分严峻，不完全统计，总共发生了超39起较典型的安全事件，属2020年度内目前单月数量最高。本月安全事件的整体风险评级为『高』，需区块链生态各项目方引起重视，防微杜渐。与7月相比，8月各版块所发生的安全事件均呈上涨趋势。经成都链安安全人员统计，8月发生较典型安全事件细项如下：

交易所方面，共发生『4』起较典型的安全事件

01去中心化金融基础设施Sperax表示，部分交易所近日发出公告引导用户进入其平台抢购SPA代币。Sperax目前未与任何交易所有任何官方合作，且Sperax在美国东海岸时间8月14日表示在官网公募前不会分发SPA代币。02加密货币交易所KuCoin警告称，有欺诈网站使用其品牌试图窃取加密货币。该网站提供虚假奖励，诱使用户存入数字资产。03日本加密货币交易所TAOTAO官方表示，东京时间8月22日12点46分-12点56分，该交易所因系统故障导致交易对报价无法更新，该问题现已修复。故障影响仍在调查中。04有网络犯罪分子一直在假冒BTCERA交易平台，意在以恶意软件感染潜在用户。这家网络安全公司发现，作恶者一直在发送据称是来自BTCERA的电子邮件，以诱使用户投资付费。Defi方面，共发生『5』起较典型的安全事件

成都链安：ApolloX 项目方因签名系统缺陷被攻击，损失约160万美元:金色财经消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，ApolloX 项目遭受攻击，根据成都链安技术团队分析，发现ApolloX签名系统存在缺陷，攻击者利用签名系统缺陷生成了255个签名，总共从合约中提取了53,946,802$APX，价值约160万美元，目前被盗金额通过跨链已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前，ApolloX代币APX在今日19:00左右从0.054美元快速跌至0.019美元，闪跌约60%。[2022/6/9 4:11:35]

01Opyn官方发文，就平台漏洞导致ETH被盗事件作出更新，将全额赔偿受漏洞影响的ETH看跌期权卖家。对于ETH看跌期权买家，按高于市场价20%的价格赎回看跌期权。02DeFi流动性耕种匿名项目BASED官方宣布，将重新部署质押池。官方发布推特称，有黑客试图将『Pool1』永久冻结，但尝试失败。03在YamFinance仓促开发的合约中，一个rebase函数漏洞导致了治理合约被『永久破坏』，价值75万美元的Curve代币被锁定而无法使用。04波场官方支持的DZI爆出漏洞，工程师在正式上线直接调用合约获取DZI，损失惨重。05推特有网友爆料称，DeFi流动性挖矿项目Degen.Money利用双重授权漏洞来获取用户资金。YFI创始人AndreCronje也在推特表示，该项目确实存在风险，需手动取消授权。Beosin评论：Defi项目仍是当下阶段的热门趋势，有许多项目上线后，就被曝出严重的安全漏洞。成都链安建议各大项目方在项目上线之前，一定要做好安全审计工作，根除安全隐患，从而减少不必要的损失。

成都链安：Visor Finance遭受攻击事件分析:据成都链安监测显示，Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析，本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞：

1.call调用未对目标合约进行限制，攻击者可以调用任意合约，并接管了抵押挖矿合约的执行流程；<- 主要漏洞，造成本次攻击的根本原因。2.函数未做防重入攻击；<- 次要漏洞，导致了抵押凭证数量计算错误，不是本次攻击的主要利用点，不过也可凭此漏洞单独发起攻击。针对这两个问题，成都链安在此建议项目方应做好下面两方面：1.进行外部合约调用时，建议增加白名单，禁止任意的合约调用，特别是能够控制合约执行流程的关键合约调用；2.函数做好防重入，推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]

跑路/加密局方面，共发生『8』起较典型的安全事件

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

01加拿大安大略省彼得伯勒县警察支队正在调查两起欺诈事件，涉案总金额达78000美元。嫌疑人假冒警察诱受害人将资金存入其要求的比特币账户中，否则将被逮捕。02据JonProsser8月5日发布的一条推文，其拥有26.2万名订阅用户的YouTube频道遭到黑客攻击，频道名称被改为『NASA』，并开始直播关于SpaceXCEO埃隆·马斯克赠送比特币的虚假消息。约两个小时内，非法获利4000美元。03今年以来，与推特同样类型的加密局在Instagram上猖獗。有超过130万的Instagram帖子使用#Coinbase标签，但其中绝大多数都是虚假信息；也存在假冒名人账号发布虚假加密信息的行为。048月7日，Uniswap已出现SRM假币，已有用户被。Serum发布推特提醒用户提高警惕，在除FTX和BitMax平台以外的其他交易平台出现的SRM，均为假冒。05ScamAlert网站正在追踪一些涉嫌加密局的地址，已确认和可疑的数字货币地址数量已超过5万。06英国国家网络安全中心删除了超过30万个与名人有关的虚假代言投资机会的url，其中超过一半的网站属于性加密货币投资计划。07苏州园区侦破苏州首起针对虚拟货币的黑客犯罪案件，抓获了多名专门利用黑客手段盗取账户密码来窃取虚拟货币，并通过暗网联系职业销赃团伙变现的犯罪嫌疑人。08CFTC要求对加密局Control-Finance负责人处以4.29亿美元民事罚款。

成都链安CEO杨霞：DeFi项目方应重视合约安全问题:据官方消息，在由OKEx主办的“后疫情时代：DeFi的机遇与挑战”社群活动上，成都链安创始人兼CEO杨霞谈到最近dForce攻击事件，她表示，DeFi项目正在快速发展壮大，据我们统计截止2020年，锁定在以太坊DeFi应用中资产已达到10亿美元。DeFi项目火爆主要来源它的高收益。DeFi又被称为“去中心化金融”，开放式金融基础，则是高达8%-10%收益率必然会伴随巨大风险。各方DeFi团队开发自己合约产品也是自由发挥；但并没有一个统一的、标准的安全方案去遵守，或者说是必须通过严格安全审计，这就导致各种合约漏洞与相关安全问题层出不穷，此次事件项目方就应该进行重入防护：比如使用OpenZeppelin的ReentrancyGuard，另一方面先修改本合约状态变量，再进行外部调用。任何Defi项目方在开发合约时应重视合约安全问题，以应对各种突发情况和各种非正常使用合约情况，从而避免造成损失；同时建议做好相关安全审计工作，借助专业的区块链安全公司的力量，避免潜在的安全隐患。[2020/4/30]

声音 | 成都链安：用户安全意识不足、交易所安全体系不够完善等因素造成交易所安全事件频发:成都链安统计数据显示，近期交易所安全问题时有发生。通过总结近期各种交易所安全事件和用户丢币事件，成都链安分析认为，交易所安全事件的问题来源主要有三点：1、用户安全意识不足，导致误入钓鱼网站等进而私密信息被盗。2、交易所安全体系不够完善，平台自身存在安全漏洞。3.交易所外接数据服务或其他服务后，未针对不可控因素建立应急机制。[2019/8/26]

勒索软件/挖矿木马方面，共发生『8』起较典型的安全事件

01美国第五大旅游公司CWT同意向劫持其计算机系统的黑客支付价值450万美元的比特币。02据外媒报道，FBI发布了针对美国和外国政府组织的Netwalker勒索软件攻击的新安全警报。随后，联邦政府建议受害者不要支付赎金，并向当地的联邦调查局外地办事处报告了此次事件。03微步情报局监测到一起尝试攻击Docker主机并植入挖矿木马的攻击活动，该挖矿木马存放在一台位于德国的服务器中。04跨国公司佳能的电子邮件、存储服务和其美国网站遭到了Maze团伙的勒索软件攻击。Maze要求佳能支付加密货币赎金，否则将泄露其照片和数据。05Garmin遭勒索攻击的风波未平，此后佳能又遭受了勒索软件攻击。攻击除了让佳能的一些网站宕机以外，据说还导致佳能服务器中高达10TB的数据被盗。06勒索软件犯罪团伙REvil声称已成功袭击了美国葡萄酒和烈酒巨头Brown-FormanCorp。该公司拒绝支付REvil要求的门罗币赎金。作为回应，黑客在其暗网官方博客以大约150万美元的价格出售被盗数据。07以色列网络安全公司Mitiga建议运行某些程序的亚马逊网络服务的所有客户，检查自己是否受到了门罗币挖矿软件的恶意感染。Migita称任何运行基于CommunityAMIs的EC2实例的用户都容易受到该加密挖矿软件的攻击。08一犯罪团伙对全球一些最大的金融服务提供商发起了DDoS攻击，并索要比特币赎金。

暗网方面，共发生『2』起较典型的安全事件

01114万俄罗斯人的护照数据正在暗网的地下商店出售。据悉，此前在宪法改革公投中，这些俄罗斯公民通过区块链平台投票，但他们的数据在互联网上遭到了泄露。02著名暗网市场EmpireMarket已关闭运营，退出时该网站共取了130万用户的约2638枚比特币，价值近3000万美元。其他方面，共发生『12』起较典型的安全事件

01加密货币钱包Ledger撰文回应安全研究人员Monokh披露的安全漏洞。Ledger表示，已发布比特币应用程序v1.4.6版本，该版本旨在改善Monokh所披露的安全漏洞。另外，Ledger也针对莱特币、狗狗币等应用程序进行了更新。02ETC最近遭受的51%攻击据信导致了大约560万美元的加密货币被『双花』。03社交新闻网站Reddit遭遇大规模黑客攻击，攻击者破坏了Reddit包括美国国家橄榄球联盟、电视节目、海盗湾、迪士尼乐园、复仇者联盟等数十个频道，这些频道加起来拥有数千万的用户，以显示支持唐纳德·特朗普连任。04腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。国内多家知名企业的云服务器均受到该僵尸网络攻击，已有上千台服务器沦陷受害。05法官判处澳大利亚黑客KathrynNguyen刑期2年零3个月，原因是她在2018年1月XRP接近其历史最高点3.29美元的时候，盗窃了10万枚以上XRP代币。06今年黑客对隐私浏览器Tor产生了重大影响，他们正在利用这种影响劫持比特币。通过Tor出口中继，黑客将加密交易中的比特币资金转到自己手中。07保加利亚Kyustendil小镇上两名男子因盗窃电力开采比特币而被拘留，被盗电力价值150万美元。08美国政府正在起诉美国国家安全局泄密者EdwardSnowden。根据最近的一份法庭文件，斯诺登在虚拟会议上的演讲费高达120万美元，其中至少有3.5万美元来自比特币和加密公司。098月21日，Uber前首席安全官JosephSullivan试图掩盖2016年的黑客攻击。两名黑客入侵了数百万用户和驱动程序的数据，并要求他支付六位数的报酬。在2016年12月，Sullivan向黑客支付了10万美元的比特币。108月24日，黑客从CryptoTrader.Tax中窃取了1000多个用户的数据。CryptoTrader.Tax是一款用来计算和归档加密货币交易税的在线服务。11朝鲜黑客组织Lazarus再次将目光瞄准加密货币，最新的攻击事件是通过LinkedIn的一个招聘广告发送钓鱼文档，该文档与一家区块链技术公司有关。12一项研究显示，以太坊区块链上价值超过10亿美元的代币缺少2017年发布的一项软件标准，使得它们可以被劫持并从交易交易所中抽走。

鉴于当前区块链安全领域的新形势，『成都链安』在此总结：

从总体上看，8月区块链整个生态所发生的安全事件颇多，较之7月呈明显上涨的趋势。值得一提的是，8月所发生的安全事件是2020年度目前单月内数量最多的，整体风险评级为『高』。其中，发生在Defi方面的安全事件尤其值得我们注意。因Defi热度持续走高，后续该板块下所暗藏的安全风险可能是极大的，不能放松警惕。同时，本月Defi方面相关项目也出现了几起较为严重的安全漏洞，因此成都链安也要提醒广大项目方在项目筹备阶段一定要做好相关的安全工作。对即将上线的合约，切记要寻找专业的安全公司来进行代码审计，以避免上线后造成不可挽回的损失。另外，还需要注意的是，在跑路/加密局方面，本月所发生的相关局事件也是时有发生；与此同时，也能看到有关部门正在对此版块加强关注，被破获的局事件也有所增加。在此，成都链安需要提醒广大用户，切勿轻信『天上掉馅饼』的事情；谨慎分辨网络上的有关消息，切莫掉进圈套。

标签：DEFDEFIEFI比特币DeFi Omegadefibox币有价值吗一直跌ChargeDeFi比特币钱包哪个最安全可靠

波场热门资讯