SHI:PeckShield：11月共發生安全事件35起，DeFi為何淪為一小撮人的狂歡？

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發35起較為突出的DeFi安全事件，危害程度評級為「高級」。涉及DeFi相關13起、錢包安全2起、勒索相關5起，詐騙事件10起、其他攻擊5起。黑客肆虐，DeFi為何淪為一小撮人的狂歡？

牛市來臨之后，DeFi一度被譽為支撐加密貨幣成為今年真正“頭號”投資產品的關鍵。

據DappTotal數據顯示，11月以來，DeFi的總鎖倉量突破新高。整個DeFi生態一副欣欣向榮的景象。然而，另一邊，DeFi正陷入弱代碼流行病的困擾。據PeckShield統計，11月共發生逾13起與DeFi相關的安全事件，造成損失近5000萬美元。

PeckShield：Curve Finance攻擊事件已造成5200萬美元損失:金色財經報道，PeckShield監測顯示，到目前為止，受Curve Finance穩定幣池alETH/msETH/pETH黑客攻擊事件影響，Alchemix、JPEGd、Metronome DAO、deBridge和Ellipsis目前已累計損失上升至5200萬美元。

金色財經此前報道，PeckShield監測，受Curve Finance穩定幣池alETH/msETH/pETH黑客攻擊事件影響，Alchemix、JPEGd、Metronome DAO、deBridge和Ellipsis目前已累計損失2676萬美元。[2023/7/31 16:08:09]

11月1日，YFI披露一個新的閃電貸安全漏洞，團隊在1.5個小時后移除該漏洞；11月2日，主網僅上線幾個小時的AxionNetwork遭到黑客攻擊，黑客利用其質押相關漏洞鑄造790億枚代幣AXN，導致其代幣價格短時下跌100%，并且損失50萬美元；11月6日，PercentFinance因出現漏洞而凍結了100萬美元的代幣，包括44.6萬枚USDC、28枚WBTC和313枚ETH；11月7日，PeckShield監控到黑客利用閃電貸通過一筆交易攻擊一家去中心化數字銀行CheeseBank，憑空套利330萬美元；11月10日，JustSwap白名單DeFi項目SharkTron被竊取價值1000萬美元的波場幣，波場聯合幣安凍結部分資金；11月14日，PeckShield監控到黑客利用Akropolis項目存在的存儲資產校驗缺陷，向合約發起連續多次的重入攻擊，憑空增發大量的pooltokens，擄走203萬枚DAI；11月15日，PeckShied監控到黑客利用ValueDeFi協議中基于AMM算法的價格預言機(Curve)存在的漏洞，操縱Curve上代幣的價格，鑄造pooltokens，最終獲利540萬美元11月17日，PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊，攻擊者利用dYdX的閃電貸進行重入攻擊，因被黑客攻擊未經審核新創建的智能合約漏洞，損失近2000萬美元的DAI；11月26日，Compound遭預言機攻擊，9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的，操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊；11月29日，RGTDistributor的合約出現漏洞，智能合約DeFi智能投顧RariCapital發布官方推特稱已修復合約漏洞，沒有資金丟失；11月30日，流動性挖礦項目SushiSwap遭到流動性提供者攻擊，該攻擊者通過一筆交易中獲取了1至1.5萬美元，隨后該修復通過PeckShield審核。區塊鏈世界信仰“CodeisLaw”，認為代碼即法律，分布式技術可確保數據不可篡改，最大程度地保證系統安全，但現在基于區塊鏈技術開發的DeFi為何頻遭安全問題困擾？PeckShield相關負責人分析道：“DeFi的金融屬性強，與資金綁定緊密，一旦發生安全事件，大概率會直接涉及到切身利益，但此類安全問題并非沒有破解的方法。DeFi還處于發展階段，在主網上線前，一定要確保代碼進行徹底地審計和研究。例如PickleFinance被攻擊的事件，略過了新增代碼的審計，造成黑客有機可乘。同類DeFi被攻擊后，要及時確認自己的合約是否也存在類似的漏洞，或者尋求專業的審計機構，例如PeckShield對同類攻擊進行監控。”數字錢包安全

ApeCoin社區關于“向以太坊社區捐贈100萬美元”的提案已獲投票通過:4月20日消息，Snapshot投票頁面顯示，ApeCoin社區關于“向以太坊社區捐贈100萬美元”的AIP-230提案已獲投票通過。該提案擬向ETHGlobal捐贈30萬美元，向11場ApeCoin黑客松和至少5項公益活動贊助70萬美元，旨在響應V神曾與2022年呼吁Ape資助公共商品的號召。

該提案投票的最終支持率為46.21%，反對率為29.96%，棄權率為23.84%。在ApeCoin投票機制中，棄權不影響表決結果。[2023/4/20 14:15:25]

據PeckShield統計，11月份共發生2起典型的錢包安全事件：11月6日，Ledger錢包用戶因釣魚詐騙損失逾110萬枚XRP。詐騙者利用釣魚郵件將用戶引導到一個假冒的Ledger網站上，并誘騙用戶下載了冒充為安全更新的惡意軟件，從而導致Ledger錢包余額悉數被盜。11月9日，ElectrumSV多簽方案出現嚴重漏洞，致使用戶被盜600BSV。其他攻擊

ApeCoin DAO進入第二季度質押，3000萬枚APE將分配到4個質押池:3月14日消息，在ApeCoin DAO啟動其質押系統91天后，已通過協議分發了3500萬枚APE，另外3000萬枚APE將在接下來的三個月內分發。在第二季度，ApeCoin DAO將在四個質押池中分配總計3000萬枚APE，其中900萬枚APE將進入APE Only池，14,131,500枚APE將進入BAYC池，5,718,000枚APE將進入MAYC池，1,150,500枚APE將進入BACK池。

根據Horizen Labs此前的分發計劃，到2023年6月11日期間分配的3000萬枚APE是ApeCoin社區在三年質押計劃第一年投票決定分配的1億枚APE中的一部分，按照AIP-21和AIP-22，ApeCoin DAO將在三年內總共向質押者分配1.75億枚APE，

據Dune Analytics最新數據顯示，當前已質押的APE總量已達到114,721,745枚。[2023/3/14 13:03:56]

除此之外，11月份還發生了多起其他攻擊事件：11月3日，挖礦木馬團伙z0Miner利用Weblogic未授權命令執行漏洞入侵5000臺服務器。該團伙通過批量掃描云服務器發現具有Weblogic漏洞的機器，發送精心構造的數據包進行攻擊。之后執行遠程命令下載shell腳本z0.txt運行，再利用該shell腳本植入門羅幣挖礦木馬、挖礦任務本地持久化，以及通過爆破SSH橫向移動；11月8日，GrinNetwork遭到51％攻擊；11月11日，惡意節點試圖通過Sybil攻擊干擾Monero網絡，以獲取有關Monero區塊鏈上用戶的信息。據悉，Sybil攻擊是對P2P網絡的惡意攻擊，個人或組織試圖通過使用多個身份控制多個賬戶或節點來接管網絡；11月19日，挖礦木馬4SHMiner利用漏洞針對云服務器攻擊，已控制約1.5萬臺服務器挖礦；11月21日，BCHA鏈遭攻擊，網絡產生大量空塊。PeckShield相關負責人表示：“近年來，針對加密貨幣的攻擊日益增多，安全事件頻發。對于企業用戶而言，一方面，針對加密企業服務器上的文件，應該及時給服務器打好安全補丁，同時避免使用弱口令，關閉不必要的端口；另一方面，應該加強對釣魚郵件的攔截，提醒員工不要輕易打開來歷不明的郵件，并且保持安全軟件運行狀態。對于個人用戶而言，需要警惕來歷不明的郵件，保持安全軟件運行狀態，及時修復電腦漏洞，并且養成良好的上網習慣，不使用外掛等病高發點的工具。針對系統性漏洞，需要養成對重要文件備份的習慣，使用U盤、硬盤等存儲工具對重要文件進行備份，未雨綢繆，防范于未然。”欺詐&勒索

Flashbots工程師：所有共識客戶端均實施、測試并確認builder-specs集成:9月6日消息，Flashbots工程師Chris Hager在社交媒體發文表示，Flashbots實現了MEV-Boost的另一個里程碑事件，所有共識客戶端都實施、測試并確認了builder-specs的集成，現在可將MEV-Boost與任何客戶端一起使用。MEV-Boost是由Flashbots構建的提議者-構建者分離（proposer-builderseparation，PBS）的實現，用于以太坊權益證明。MEV-Boost旨在與標準Ethereum Builder API兼容，這意味著它與所有共識和執行客戶端兼容。運行MEV-Boost的驗證者通過向開放的builder出售區塊空間來最大化其質押獎勵。[2022/9/6 13:11:45]

隨著區塊鏈技術的發展，以及愈來愈多人對區塊鏈領域的關注，這推動了區塊鏈的日益普及，但也讓各式騙局應運而生，以區塊鏈概念包裝、傳銷方式進行推廣的資金盤層出不窮，同時黑客、攻擊者也在將注意力轉移到加密貨幣上。據PeckShield統計，11月共發生10起欺詐相關安全事件；11月1日，KP3R和CORE的仿盤項目KPER和KORE疑為騙局，幣價短時暴跌幾近歸零；11月2日，上海市虹口區人?檢察院對8名為利用虛擬貨幣協助詐騙分子轉移逾1500萬元錢款的“中間商”提起公訴;11月3日，宿遷破獲數商中國數字貨幣詐騙案，涉案金額達220萬元；11月6日，涉足區塊鏈的A股上市公司斯萊克遭電信詐騙，損失205萬美元(折合人?幣約為1355萬元);11月10日，南京六合破獲一起與比特幣相關的詐騙案，抓獲涉案人員10名，追回詐騙款10萬余元；11月12日，常州涌現“羅?幣交易所”平臺欺詐騙局，提醒謹防“變種”詐騙;11月14日，山?忻州破獲“SZSE數字貨幣交易所”詐騙案，涉案金額逾1000萬元；11月16日，泉州市?舉報MARK交易所交易詐騙，涉案金額高達25億元;11月20日，江蘇破獲柬埔寨水晶國際區塊鏈騙局，涉案金額逾1000萬元；11月23日，黑?江鶴崗市局成功破獲一起“哥倫布CAT虛擬貨幣”特大網絡傳銷案，涉案資金近3億元；據PeckShield統計，11月共發生5起勒索相關安全事件；11月1日，黑客入侵芬蘭Vastaamo心理治療中心竊取芬蘭公?的心理治療記錄，以此勒索比特幣;11月3日，江蘇省啟東破獲一起比特幣勒索病案，非法獲利100多枚比特幣，折合人?幣500多萬元;11月7日，游戲巨頭CAPCOM遭勒索軟件攻擊，被竊取黑客索要1100萬美元的比特幣贖金;11月12日，黑客攻擊意大利酒商金巴利(Campari)，竊取重要文件、合同和銀行信息，并索要1500萬美元比特幣贖金;11月13日，比特幣勒索軟件Pay2Key攻擊多家以色列公司；由于加密貨幣具有匿名性、鏈上資產轉移路徑復雜、技術追蹤難度大，從而加大了相關部?追蹤、監管加密資產的難度。近年來，國內外都在加大AML反洗錢政策的監管要求，進一步推進對加密資產的監管。Peckshield相關負責人表示：“除了法律，目前在技術層面，可通過專業的鏈上追蹤系統對鏈上資產流轉的情況進行實時監控。有關監管部門可在專業安全團隊的輔助下，共同推動加密資產安全有序發展。”

聲音 | PeckShield創始人：相對中心化交易所，去中心化交易所是一個更安全的選擇:PeckShield創始人兼CEO蔣旭憲博士表示，攻擊者都是追求利益回報的。中心化交易所持有幣的數量和價值，都遠遠大于去中心化交易所。攻擊者在選取攻擊目標的時候，當然會盯著價值更大的一方。另外，去中心化交易所的資產由合約掌管，而且大多數是開源的，也有助于全世界的程序員幫你審核項目有沒有漏洞。整個交易流程的公開透明也使其出問題的概率降低。所以相對而言，去中心化交易所是一個更安全的選擇。[2019/5/15]

Tags：APESHISHIELDELDEthereum ApexSHIBMSafe ShieldKambria Yield Tuning Engine

中幣