安全月报 | 10月共发生安全事件10起，DeFi借贷平台成黑客新选择

据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共发生10起较为突出的安全事件，危害程度评级为「中级」，受损金额数千万元，涉及数字钱包3起、DApp2起、智能合约1起以及资金盘跑路、钓鱼等等。

数字钱包

10月份共发生3起钱包安全事件，其中包含2起钱包私钥被盗。

1）上海某投资机构冷钱包私钥被盗，造成的损失达数千万元；

2）去中心化托管平台Payfair官方发布声明称，由于黑客攻击，平台冷钱包的私钥被破解；

3）网页版加密货币钱包Safuwallet遭到黑客攻击，黑客通过注入恶意代码窃取了大量资金。

PeckShield点评：数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。

CoinGecko等平台对AGI（Agility）合约安全性发出警告:金色财经报道，在以太坊成功的Shapella硬分叉实现了质押提款之后，LSD代币流动性协议Agility的总锁仓价值增长了643%以上，达到4.67亿美元，而其代币AGI一度上涨约185%至0.53美元，使其市值达到750万美元。根据快照，Agility DAO有129个成员。Nansen数据显示，截至发稿，持有AGI的唯一地址数量已从4月5日的1个增加到926个。

但根据Open Zeppelin的说法，AGI合约中的三个功能允许特权账户铸造更多的AGI，增加代币的供应并暂停智能合约中的活动，例如交易。CoinGecko上的AGI代币页面显示，“智能合约所有者可以铸造新代币，请谨慎。” CoinMarketCap在其AGI代币页面上也表达了类似的警示性警告，截止发文AGI代币24小时跌幅41.7%至0.39美元。（CoinDesk）[2023/4/20 14:15:55]

DApp?生态

NFT安全公司Web3 Builders完成700万美元种子轮融资，OpenSea Ventures等参投:10月18日消息，智能合约和 NFT 安全公司 Web3 Builders 宣布完成 700 万美元种子轮融资，Road Capital、OpenSea 的风险投资子公司、Sparkle Ventures、Picus Capital、ACME、TTV、G20、Global Founders Capital、Haven Ventures 和 Greylock 等参投。本轮融资将用于开发产品，增加新的人工智能和机器学习方法，并扩大团队。（coindesk）[2022/10/18 17:31:16]

10月份共发生2起DApp安全事件，都发生在EOS生态内。

EOS游戏BitDice遭受假EOS攻击，损失4千EOS；SKReos游戏遭受交易memo攻击，损失6千EOS。其中SKReos之前已被多次报道遭受交易阻塞和随机数攻击。

V神：钱包安全性是加密领域最大的问题之一:金色财经报道，以太坊创始人V神今日在拉丁美洲比特币会议上表示，钱包的安全性是加密领域最大的问题之一。他认为，实际上钱包仍然很难使用，这使得它们对非技术用户来说有些不安全，大规模采用加密货币时可能会带来麻烦。更糟糕的是，它甚至可能导致人们倾向于中心化解决方案。此外，V神补充说，以太坊2.0正在“取得巨大进步”，正在帮助解决有关隐私和可扩展性方面的问题。[2020/12/11 14:51:53]

具体来说，假EOS攻击是被攻击合约在接收到玩家投入的EOS时，没有验证是官方eosio.token合约签发的，玩家可以自己创建同名为EOS的代币，进而触发被攻击合约的transfer函数，获得真正的EOS回报。而交易memo攻击是指黑客通过精心构造投注交易的memo，导致游戏方服务器解析异常，从而持续中奖或异常大额退款。

BitZ平台在慢雾科技的安全审计中评级为优:据官方消息，区块链安全公司-慢雾科技通过十大维度对BitZ平台进行安全审计，BitZ平台凭借优异的表现在本次安全审计中评级为：优。本次安全审计核心目标是为BitZ平台检测潜在的威胁点，协助 BitZ平台提升安全维度。协力BitZ团队一起为客户的资金安全做出有效的推进，更好的保护广大BitZ用户的安全。

BitZ平台创立于2016年，是联合区块链资深从业者和专业量化团队交易团队创立的一家专注于区块链数字资产交易和交流的平台。BitZ采用全球顶尖的安全技术，持续不断的为用户提供安全、快速、智能的区块链资产流通服务。[2020/8/6]

PeckShield点评：以上两款EOS游戏遭受的攻击都是比较常见的，DApp开发者应在合约上线前做好安全测试，防御已知的攻击方式，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。

声音 | 中兴通讯总裁：引用区块链等新技术让网络更加安全:金色财经报道，11月15日，在中国移动全球合作伙伴大会主论坛上，中兴通讯总裁徐子阳表示，运营商在云化网络的同时，不但把自己的网络构建好，同时也能够把客户安全的网络搭建成功，客户的安全价值就会被放大。具体来讲有四个方面着手：第一，首先打造运营商网络的可管、可控、安全。第二，融合现有的技术，确保认证算法、统一认证框架得到安全体现。第三，创造性引用人工智能、区块链等新技术让网络更加安全。第四，要跟行业合作伙伴一起开放，打造这样的安全体系。[2019/11/16]

智能合约

10月份共发生1起智能合约安全事件，相关漏洞导致其成为第一个进行硬分叉的区块链游戏。

10月14日，CheezeWizards在以太坊主网上线。不到24小时内，玩家/img/20230516001340594516/0.jpg "/>

作为一款格斗游戏，CheezeWizards允许玩家发起一个“单边揭示“的交易，当一位玩家已经揭示了招式，另一位玩家一直不揭示招式直到时间截止(90分钟)时，正常玩家可以调用resolveTimedOutDuel()方法，以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。

玩家正常调用和恶意调用的例子如下。

正常调用：resolveTimedOutDuel(WIZARD-A，WIZARD-B)

恶意调用：resolveTimedOutDuel(WIZARD-A，WIZARD-A)

由于合约开发者默认为传入的两个wizardid不同，所以没有进行相关效验，而该方法是公开的，任何玩家都可以设置wizardid，一个怀有恶意的玩家，通过传入相同的wizardid以此来冻结诚实玩家的能量。

修复此漏洞的方法很简单，只需要在方法体内加上如下判断。

PeckShield点评：智能合约开发者在实现相关方法时，要特别注意公开接口的相关参数，应考虑各种异常情况，做好防御限制。

跑路事件

10月份，经媒体报道多起资金盘项目涉及和，例如被立案调查的趣步，暂停维护的ICC等。

PeckShield旗下的CoinHolmes推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。

其中CoinHolmes监测到Cryptopia部分被盗资产流入了Uniswap去中心化交易所和知名DeFi项目Compound。资产流向示意图如下：

鉴于资金盘跑路事件频发，CoinHolmes为广大用户提供了爆料入口，用户可以通过提交关联链上地址，实时查询数字资产流向情况。

PeckShield点评：除了传统中心化交易所，黑客也在不断寻求新的方式，例如此次黑客转移资金至Compound，主要目的是利用DeFi借贷平台进行混淆资金，同时不排除“理财生息”的可能。除DEX之外，当前有着较好流通性的DeFi借贷平台也成了黑客的新选择。

钓鱼攻击等其他类安全事件

除上述之外，10月份还有一些安全事件同样值得警惕：

1）Telegram搬砖套利局八天内金额高达750枚ETH；

2）MEET.ONE提醒EOS用户警惕DApp钓鱼。

PeckShield点评：因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、搬砖套利等各类事件就是典型。在此提醒，参与数字资产投资的用户应谨慎保管各类私密信息，任何小的疏忽都可能造成不可挽回的损失。

标签：EOSAGIBITWIZeos币有价值吗MAGICK币bitopro官网DeFi Wizard

Gateio热门资讯