宇宙链 宇宙链
Ctrl+D收藏宇宙链

PeckShield:3月共发生安全事件19起,DeFi安全问题凸显

作者:

时间:1900/1/1 0:00:00

据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发生19起较为突出的安全事件,危害程度评级为「中级」,受损金额达百亿元,涉及DeFi2起、交易所2起,智能合约1起,跑路14起等。DeFi安全

3月份共发生2起DeFi安全事件,具体如下:1)03月12日,由于以太坊ETH的价格暴跌,MakerDAO的大量抵押债仓跌破清算门槛,引发了清算程序执行。由于以太坊网络gas费用剧增,导致MakerDAO的清算过程完全缺乏竞争,原本应该参与到清算过程中的清算机器人因为设置了较低的gas值,导致出价受阻,一位清算人在没有竞争者的情况下,以0DAI的出价赢得了拍卖。MakerDAO清算拍卖设计的目的,是尽可能以最少的抵押物回收最大的DAI,这一机制在正常情况下是可以成功运作的。但是当以太坊系统极其拥堵的时候,或者更极端一点来说,只要竞拍的参与度不足,就很容易被恶意Keeper以极低报价获得拍卖物。针对此次清算出现的问题,MakerDAO社区也已紧急讨论了针对清算机制的改进措施。2)03月26日,Synthetix的抵押贷款清算功能被发现存在漏洞,具体而言:Synthetix近期上线了一个合约,用户可以在3个月试用期内质押ETH获取sETH,而在试用期结束后,将启动关闭所有贷款功能进行清算,即任意拥有sETH的用户都可以通过调用清算接口得到ETH。然而,该接口的处理逻辑代码存在一个漏洞会导致任意用户直接burn掉借款人的sETH资产并获得ETH。不过由于该功能处于试用期间,并未造成实际损失。目前,Synthetix官网的loan服务仍处于关闭状态。PeckShield点评:随着DeFi项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield在此建议,DeFi项目方在上线之前,应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。交易所安全

Waabam和CaptainTrippy.eth当选ApeCoin DAO特别委员会成员:6月29日消息,Animoca Brands联合创始人Yat Siu发推表示,Waabam和CaptainTrippy.eth已当选ApeCoin DAO特别委员会成员,并表示自己不再是ApeCoin DAO特别顾问委员会成员。[2023/6/29 22:07:26]

3月份共发生2起交易所安全事件:1)03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。区块链安全公司PeckShield第一时间介入追踪研究分析,基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。分析发现攻击者试图利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所,如下图所示:

PeckShield:一以太坊验证者被MEV机器人贿赂超337枚以太坊以进行抢先交易:金色财经报道,PeckShield在推特上表示,0xee5f开头的以太坊验证者地址被MEV机器人贿赂337.91枚以太坊(约44.3万美元)以进行抢先交易。[2022/10/23 16:36:08]

在完成初步操作后,攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。(详情参阅硬核:解密美国司法部起诉中国OTC承兑商案件)

Peck Shield:黑客在Wolf Game上以0美元的价格购买了3 个价值约1 ETH的NFT:金色财经报道,Peck Shield Alert发推称,我们检测到黑客在区块链游戏Wolf Game上以 0 美元的价格购买3个价值约1 ETH的NFT。[2022/3/4 13:37:22]

2)OMNI网络发现新型USDT假充值手法:黑客采取发行其他类型的代币伪造成USDT对交易所或钱包进行USDT假充值,当交易所或钱包在检测USDT充值时如果没有校验交易中的propertyid,就会导致假充值情况的发生。PeckShield点评:黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。同时,针对假充值等安全问题,交易所应当在确认代币名称和交易状态后再进行转账。智能合约

声音 | PeckShield:EOSBet遭“伪造转账通知” 损失近14万EOS:据媒体报道,EOSBet平台今天下午遭受了攻击,区块链安全公司PeckShield第一时间监测并捕捉到了该攻击行为的发生。PeckShield安全人员进一步分析发现,黑客利用EOSBet合约在检验收款方时存在的漏洞,伪造转账通知,总计从eosbetdice11获利138,319.7995EOS。据PeckShield态势感知平台监测发现,今天下午13:27到13:38之间,账号ilovedice123总共发起了10余笔大额转账指向交易所平台,其中72,150 EOS流入了Bitfinex,65,100 EOS流入了Poloniex。根据EOS当前行情价格37元估算,EOSBet平台此次损失额超500万元。[2018/10/15]

3月份共发生1起智能合约安全事件,存在于以太坊网络。具体而言:03月24日,有项目方反映在发布ERC20代币后,发现一些来源不明的代币在链上转账。深入分析后发现,是项目方使用的“一键发币”第三方平台存在后门——发币合约创建时存在暗地增发Token并窃取的恶劣行为。PeckShield点评:项目方在使用第三方服务完成智能合约的开发时,务必在合约上线前做好安全测试,必要时可寻求第三方安全公司完成审计评估,帮助其完成合约上线前攻击测试及基础安全防御部署。跑路事件

除上述之外,3月份还发生了多起跑路事件值得警惕,例如:1)区块链资金盘“硅谷区块鸡”疑似跑路,涉案金额或达百亿人民币;2)英国夫妇因使用虚假的Chrome浏览器扩展丢失14,800枚XRP;3)不法分子在各种聊天群发布虚拟货币消息,以疫情防控为由,利用人们投资理财的迫切心理,打着虚拟货币的幌子实施、非法集资活动;4)YouTube上有人冒充Ripple的首席执行官推销5,000万XRP代币的假赠品,以哄用户将钱投入类似的空投局中。PeckShield点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。

标签:SHISHIELDELDETHShib Generating0xShieldSHIBZELDAETHS

比特币行情热门资讯
这就是比特币价格飙升至7300美元、清算9000万美元的原因

编者按:本文来自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日报经授权转载.

1900/1/1 0:00:00
一文说透币圈资产配置,保住胜利果实

年前在币市回忆录系列文章里,漏掉了“币圈个人资产配置”这部分内容,年后到现在,经历过减半行情的终结、BTC崩盘,和外部经济的危机之后,再来谈这个话题,再恰当不过了。关于资产配置,币圈的投资者大部分虽有概念,但并无具体实践.

1900/1/1 0:00:00
BTC短时放量下跌,留意永续合约资金费率对行情的影响

今天早间市场选择方向,15分钟级别BTC放量下跌,不仅跌破了近期6400-7000美金区间震荡走势,离6000美金底部支撑只有一线之遥.

1900/1/1 0:00:00
韩国造币公司获区块链锚定技术专利用于地区商品券“Chak”

韩国财政部下属的国营企业‘韩国造币公司’取得了区块链锚定技术相关专利。锚定技术是指将似有区块链的交易记录复制保存在其他区块链中的技术。造币公司计划通过这一技术确保区块链地区爱心商品券“Chak”交易的安全性,防止出现漏洞.

1900/1/1 0:00:00
这群程序员试图利用退役的挖矿机来帮助治疗新冠状病

编者按:本文来自区块链大本营,作者:BrendanSullivan,译者:火火酱,Odaily星球日报经授权转载。当市场在COVID-19的恐惧下崩溃时,一小群程序员正在试图使用加密挖矿GPU来找到治疗冠状病的方法.

1900/1/1 0:00:00
门头沟案引发BTC抛售恐慌,是市场反应过度了吗?

Mt.Gox债权人年度大会前夕,一份最新披露文件还原了门头沟案件可能使用的偿还草案。根据小林伸明发布的Mt.Gox清算偿还草案文件,Mt.Gox交易所将向债权人支付法币、BTC、BCH来清偿债权,门头沟案债权人可以自行选择接受法币还是.

1900/1/1 0:00:00