据PeckShield态势感知平台数据显示,过去一个月,整个区块链生态共发35起较为突出的DeFi安全事件,危害程度评级为「高级」。涉及DeFi相关13起、钱包安全2起、勒索相关5起,事件10起、其他攻击5起。黑客肆虐,DeFi为何沦为一小撮人的狂欢?
牛市来临之后,DeFi一度被誉为支撑加密货币成为今年真正“头号”投资产品的关键。
据DappTotal数据显示,11月以来,DeFi的总锁仓量突破新高。整个DeFi生态一副欣欣向荣的景象。然而,另一边,DeFi正陷入弱代码流行病的困扰。据PeckShield统计,11月共发生逾13起与DeFi相关的安全事件,造成损失近5000万美元。
PeckShieldAlert:0xddee开头地址已被清算3785枚vBNB:金色财经报道,据PeckShieldAlert监测,0xddee开头地址已被清算3,785枚vBNB(35,744.64美元)。[2023/8/18 18:08:01]
11月1日,YFI披露一个新的闪电贷安全漏洞,团队在1.5个小时后移除该漏洞;11月2日,主网仅上线几个小时的AxionNetwork遭到黑客攻击,黑客利用其质押相关漏洞铸造790亿枚代币AXN,导致其代币价格短时下跌100%,并且损失50万美元;11月6日,PercentFinance因出现漏洞而冻结了100万美元的代币,包括44.6万枚USDC、28枚WBTC和313枚ETH;11月7日,PeckShield监控到黑客利用闪电贷通过一笔交易攻击一家去中心化数字银行CheeseBank,凭空套利330万美元;11月10日,JustSwap白名单DeFi项目SharkTron被窃取价值1000万美元的波场币,波场联合币安冻结部分资金;11月14日,PeckShield监控到黑客利用Akropolis项目存在的存储资产校验缺陷,向合约发起连续多次的重入攻击,凭空增发大量的pooltokens,掳走203万枚DAI;11月15日,PeckShied监控到黑客利用ValueDeFi协议中基于AMM算法的价格预言机(Curve)存在的漏洞,操纵Curve上代币的价格,铸造pooltokens,最终获利540万美元11月17日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用dYdX的闪电贷进行重入攻击,因被黑客攻击未经审核新创建的智能合约漏洞,损失近2000万美元的DAI;11月26日,Compound遭预言机攻击,9000万美元资产遭清算。此次Compound巨额清算是由于预言机信息源CoinbasePro的DAI价格剧烈波动导致的,操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击;11月29日,RGTDistributor的合约出现漏洞,智能合约DeFi智能投顾RariCapital发布官方推特称已修复合约漏洞,没有资金丢失;11月30日,流动性挖矿项目SushiSwap遭到流动性提供者攻击,该攻击者通过一笔交易中获取了1至1.5万美元,随后该修复通过PeckShield审核。区块链世界信仰“CodeisLaw”,认为代码即法律,分布式技术可确保数据不可篡改,最大程度地保证系统安全,但现在基于区块链技术开发的DeFi为何频遭安全问题困扰?PeckShield相关负责人分析道:“DeFi的金融属性强,与资金绑定紧密,一旦发生安全事件,大概率会直接涉及到切身利益,但此类安全问题并非没有破解的方法。DeFi还处于发展阶段,在主网上线前,一定要确保代码进行彻底地审计和研究。例如PickleFinance被攻击的事件,略过了新增代码的审计,造成黑客有机可乘。同类DeFi被攻击后,要及时确认自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构,例如PeckShield对同类攻击进行监控。”数字钱包安全
Web3社交数据协议Inspect集成Polygon,并将推出2.0版本:5月10日消息,Web3社交数据协议Inspect宣布与Polygon达成战略合作,NFT inspect将集成基于Polygon区块链的NFT,并在其网站添加一个专门的Polygon排名系统,同时还将为Polygon社区创建工具和服务并与Polygon联合研发新的NFT/Web3项目和社区参与/教育计划。此外,Inspect还透露即将推出2.0版本,以实现其多链目标。[2023/5/10 14:53:32]
据PeckShield统计,11月份共发生2起典型的钱包安全事件:11月6日,Ledger钱包用户因钓鱼损失逾110万枚XRP。者利用钓鱼邮件将用户引导到一个假冒的Ledger网站上,并诱用户下载了冒充为安全更新的恶意软件,从而导致Ledger钱包余额悉数被盗。11月9日,ElectrumSV多签方案出现严重漏洞,致使用户被盗600BSV。其他攻击
除此之外,11月份还发生了多起其他攻击事件:11月3日,挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞入侵5000台服务器。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行,再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及通过爆破SSH横向移动;11月8日,GrinNetwork遭到51%攻击;11月11日,恶意节点试图通过Sybil攻击干扰Monero网络,以获取有关Monero区块链上用户的信息。据悉,Sybil攻击是对P2P网络的恶意攻击,个人或组织试图通过使用多个身份控制多个账户或节点来接管网络;11月19日,挖矿木马4SHMiner利用漏洞针对云服务器攻击,已控制约1.5万台服务器挖矿;11月21日,BCHA链遭攻击,网络产生大量空块。PeckShield相关负责人表示:“近年来,针对加密货币的攻击日益增多,安全事件频发。对于企业用户而言,一方面,针对加密企业服务器上的文件,应该及时给服务器打好安全补丁,同时避免使用弱口令,关闭不必要的端口;另一方面,应该加强对钓鱼邮件的拦截,提醒员工不要轻易打开来历不明的邮件,并且保持安全软件运行状态。对于个人用户而言,需要警惕来历不明的邮件,保持安全软件运行状态,及时修复电脑漏洞,并且养成良好的上网习惯,不使用外挂等病高发点的工具。针对系统性漏洞,需要养成对重要文件备份的习惯,使用U盘、硬盘等存储工具对重要文件进行备份,未雨绸缪,防范于未然。”欺诈&勒索
ApeCoin社区关于“向以太坊社区捐赠100万美元”的提案已获投票通过:4月20日消息,Snapshot投票页面显示,ApeCoin社区关于“向以太坊社区捐赠100万美元”的AIP-230提案已获投票通过。该提案拟向ETHGlobal捐赠30万美元,向11场ApeCoin黑客松和至少5项公益活动赞助70万美元,旨在响应V神曾与2022年呼吁Ape资助公共商品的号召。
该提案投票的最终支持率为46.21%,反对率为29.96%,弃权率为23.84%。在ApeCoin投票机制中,弃权不影响表决结果。[2023/4/20 14:15:25]
随着区块链技术的发展,以及愈来愈多人对区块链领域的关注,这推动了区块链的日益普及,但也让各式局应运而生,以区块链概念包装、方式进行推广的资金盘层出不穷,同时黑客、攻击者也在将注意力转移到加密货币上。据PeckShield统计,11月共发生10起欺诈相关安全事件;11月1日,KP3R和CORE的仿盘项目KPER和KORE疑为局,币价短时暴跌几近归零;11月2日,上海市虹口区人?检察院对8名为利用虚拟货币协助分子转移逾1500万元钱款的“中间商”提起公诉;11月3日,宿迁破获数商中国数字货币案,涉案金额达220万元;11月6日,涉足区块链的A股上市公司斯莱克遭电信,损失205万美元(折合人?币约为1355万元);11月10日,南京六合破获一起与比特币相关的案,抓获涉案人员10名,追回款10万余元;11月12日,常州涌现“罗?币交易所”平台欺局,提醒谨防“变种”;11月14日,山?忻州破获“SZSE数字货币交易所”案,涉案金额逾1000万元;11月16日,泉州市?举报MARK交易所交易,涉案金额高达25亿元;11月20日,江苏破获柬埔寨水晶国际区块链局,涉案金额逾1000万元;11月23日,黑?江鹤岗市局成功破获一起“哥伦布CAT虚拟货币”特大网络案,涉案资金近3亿元;据PeckShield统计,11月共发生5起勒索相关安全事件;11月1日,黑客入侵芬兰Vastaamo心理治疗中心窃取芬兰公?的心理治疗记录,以此勒索比特币;11月3日,江苏省启东破获一起比特币勒索病案,非法获利100多枚比特币,折合人?币500多万元;11月7日,游戏巨头CAPCOM遭勒索软件攻击,被窃取黑客索要1100万美元的比特币赎金;11月12日,黑客攻击意大利酒商金巴利(Campari),窃取重要文件、合同和银行信息,并索要1500万美元比特币赎金;11月13日,比特币勒索软件Pay2Key攻击多家以色列公司;由于加密货币具有匿名性、链上资产转移路径复杂、技术追踪难度大,从而加大了相关部?追踪、监管加密资产的难度。近年来,国内外都在加大AML反政策的监管要求,进一步推进对加密资产的监管。Peckshield相关负责人表示:“除了法律,目前在技术层面,可通过专业的链上追踪系统对链上资产流转的情况进行实时监控。有关监管部门可在专业安全团队的辅助下,共同推动加密资产安全有序发展。”
YAMv3协议已通过安全公司PeckShield审计服务:区块链安全公司PeckShield(派盾)宣布正式完成了对YAMv3的安全审计服务。根据PeckShield提供的公开审计报告显示:本次审计共发现问题15个,其中高危1个,中危4个,低危6个,优化建议4个,已发现漏洞均已和YamFinance团队沟通修复完成。YAMv3将于9月18日正式上线迁移,YAMv2将和YAMv3进行1:1映射,新一轮的流动性挖矿也将随即开启。[2020/9/15]
声音 | PeckShield创始人:相对中心化交易所,去中心化交易所是一个更安全的选择:PeckShield创始人兼CEO蒋旭宪博士表示,攻击者都是追求利益回报的。中心化交易所持有币的数量和价值,都远远大于去中心化交易所。攻击者在选取攻击目标的时候,当然会盯着价值更大的一方。另外,去中心化交易所的资产由合约掌管,而且大多数是开源的,也有助于全世界的程序员帮你审核项目有没有漏洞。整个交易流程的公开透明也使其出问题的概率降低。所以相对而言,去中心化交易所是一个更安全的选择。[2019/5/15]
来源/LongHashNFT是币圈最近火爆的新领域。据NonFungible.com数据,2019年间每件NFT商品销售均价大多低于50美元,而到了2020年8至9月,日均价高于100美元,用户.
编者按:本文来自WebX实验室Daily,Odaily星球日报经授权转载。从今年以太坊和DeFi的发展来看,DeFi对一个公链生态的形成起到了至关重要的作用.
白皮书紧接着表示,比特币要解决的核心问题是“双重花销”,也就是一笔钱不能花两次。这个问题对实物货币并不存在——除非制造假币,但在无形的数字货币中就会凸显,因其不再受物理性限制.
闪电贷在经过一轮暴击后,似乎暂停了袭击,近期没有再听到大规模闪电贷袭击问题出现。这种情况有两种可能,一是近期爆火的项目及之前被攻击的项目都在安全方面下了功夫,还有一种是黑客们最近在酝酿别的攻击方.
编者按:本文来自区块律动BlockBeats,Odaily星球日报经授权转载。尽管Telegram今年早些时候放弃了TON,但支撑该项目的技术仍在继续.
活动介绍 在2020年接近尾声的同时,以比特币为首的主流加密货币市场加速上涨,牛市似乎正在到来。DeFi领域等各类项目和衍生品热度不减、ETH2.0正式启动.