DEF:成都鏈安：6月發生較典型安全事件匯總

據成都鏈安『安全態勢感知系統』數據監測顯示：在過去的6月中，區塊鏈安全形勢依然嚴峻，整個區塊鏈生態共發生超19起較典型的安全事件。其中，勒索軟件/挖礦木馬方面，所發生的安全事件較上月而言呈上漲趨勢，需引起重視。交易所方面共發生『2』起較典型的安全事件

01日本加密交易所Bitbank域名注冊服務遭非法訪問，但并未對用戶的信息和資產造成影響。02Balancer上兩個流動性池遭閃電貸攻擊，遭遇損失的是STA和STONK兩個代幣池，目前這兩個代幣池的流動性已枯竭，損失達50萬美元。詐騙跑路/加密騙局方面共發生『2』起較典型安全事件

016月11日，有用戶爆料稱，非小號排名TOP129的百慕大交易所涉嫌大量侵吞用戶資金，疑似已攜款跑路。經查證，因大量用戶投訴，非小號官方已將百慕大交易所下架，且該交易所APP/PC端均無法登錄。02安大略證券交易委員會在對加拿大QuadrigaCX交易所2019年破產的事后分析報告中，將其稱為『龐氏騙局』。QuadrigaCX一度是加拿大最大的交易所，直到其創始人去世，暴露出2.15億美元的財務漏洞；但Cotten在該平臺上偽造的交易量高達1.15億美元。勒索軟件/挖礦木馬方面共發生『7』起較典型安全事件

成都鏈安：whaleswap.finance項目遭受攻擊，至少損失5,946 個BUSD和5964個USDT:6月21日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，whaleswap.finance項目遭受攻擊，成都鏈安技術團隊分析發現原因可能是因為whaleswap.finance Pair合約的K值校驗存在問題。每當用戶在進行交換時，K值校驗中傳入的參數量級存在問題，造成K值校驗失效。攻擊者先通過閃電貸借一筆BSC-USD，之后歸還閃電貸時K值校驗參數量級為10000^4。而K值校驗時采取的參數校驗量級為10000^2，導致K校驗失效。[2022/6/21 4:41:57]

01英國肯特郡公司KCS遭勒索攻擊，黑客要求80萬英鎊贖金，否則將在暗網上泄露該公司的數據。KCS方面表示，該公司并沒有支付贖金，也沒有涉及納稅人的個人數據被盜。02Reddit用戶Gandeloft于6月2日稱，在HodlHodl平臺上進行的P2P比特幣交易出現了問題。詐騙者利用SIM欺騙攻擊竊取比特幣，雖然用戶并沒有在Revolut上看到這筆錢，但騙子成功向受害者施壓，讓他從第三方托管中釋放了BTC。03勒索軟件NetWalker攻擊三所美國大學，并竊取了這些學校的敏感數據，包括學生姓名、社會安全號碼和財務信息。NetWalker威脅這些學校支付比特幣贖金，若不支付贖金，將在一周內泄露這些數據。04英國網絡安全公司Sophos最新報告指出，Kingminer僵尸網絡背后的黑客于6月8日至12日期間攻擊微軟的SQLserver數據庫，并安裝了加密礦機程序XMRig，以挖掘門羅幣。05澳大利亞飲料巨頭Lion在不到一周內遭遇了兩次勒索軟件的襲擊，據稱Lion被勒索軟件襲擊破壞了其IT基礎設施。勒索軟件組織REvil最初要求以門羅幣支付80萬美元的贖金；如果Lion未能在6月19日之前匯出這筆款項，該組織將把贖金翻倍至160萬美元。06黑客利用惡意Docker鏡像隱藏加密貨幣挖礦代碼，以開采門羅幣。07安全公司Unit42的研究人員發現一種新的惡意軟件『Lucifer』，該軟件是某種舊的加密貨幣勒索軟件的變種。新的變體可用于惡意加密貨幣挖礦以及進行DDoS攻擊。Beosin評論：勒索軟件與挖礦木馬方面，一直以來都屬于容易被企業和用戶忽視的一個痛點。作為企業和用戶，應當在日常工作及生活中提升安全意識，對于未知鏈接和來源不明的郵件或軟件，需持謹慎態度，以減少此類事件的發生。暗網方面共發生『4』起較典型安全事件

成都鏈安：ApolloX 項目方因簽名系統缺陷被攻擊，損失約160萬美元:金色財經消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，ApolloX 項目遭受攻擊，根據成都鏈安技術團隊分析，發現ApolloX簽名系統存在缺陷，攻擊者利用簽名系統缺陷生成了255個簽名，總共從合約中提取了53,946,802$APX，價值約160萬美元，目前被盜金額通過跨鏈已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前，ApolloX代幣APX在今日19:00左右從0.054美元快速跌至0.019美元，閃跌約60%。[2022/6/9 4:11:35]

01安徽一男子利用比特幣于暗網出售公民身份信息，被判處侵犯公民個人信息罪，獲刑三年，并處罰金三萬元。其在暗網上出售公民手持身份證照片等個人信息，累計數量達20萬余條。02黑客組織REvil已在暗網上發起了其從FraserWheeler&Courtney和VierraMagenMarcus兩家美國律師事務盜取的敏感數據的拍賣信息。拍賣的信息包括客戶信息、公司內部文件、電子信函、專利協議、商業計劃和項目，以及尚未申請專利的新技術。03英國萊斯特刑事法院6月8日下令從一名英國人手中沒收180多萬英鎊，此人在自家閣樓上經營著一個價值數十億英鎊的加密帝國，并在暗網上利用BTC進行非法交易。046月26日，俄羅斯黑客AlekseiBurkov被美國法院判處9年監禁。AlekseiBurkov被指控經營一家名為『Cardplanet』的暗網，該網站售有多國公民的信用卡信息。其他方面共發生『4』起較典型安全事件

成都鏈安CEO楊霞：DeFi項目方應重視合約安全問題:據官方消息，在由OKEx主辦的“后疫情時代：DeFi的機遇與挑戰”社群活動上，成都鏈安創始人兼CEO楊霞談到最近dForce攻擊事件，她表示，DeFi項目正在快速發展壯大，據我們統計截止2020年，鎖定在以太坊DeFi應用中資產已達到10億美元。DeFi項目火爆主要來源它的高收益。DeFi又被稱為“去中心化金融”，開放式金融基礎，則是高達8%-10%收益率必然會伴隨巨大風險。各方DeFi團隊開發自己合約產品也是自由發揮；但并沒有一個統一的、標準的安全方案去遵守，或者說是必須通過嚴格安全審計，這就導致各種合約漏洞與相關安全問題層出不窮，此次事件項目方就應該進行重入防護：比如使用OpenZeppelin的ReentrancyGuard，另一方面先修改本合約狀態變量，再進行外部調用。任何Defi項目方在開發合約時應重視合約安全問題，以應對各種突發情況和各種非正常使用合約情況，從而避免造成損失；同時建議做好相關安全審計工作，借助專業的區塊鏈安全公司的力量，避免潛在的安全隱患。[2020/4/30]

016月2日，BTC幣價高漲時，黑客轉移了Bitfinex2016年失竊的80萬美元BTC。02黑客克隆加密消息網站Privnote，通過釣魚誘導用戶點擊虛假網站。假網站并沒有加密消息，但是可以讀取和修改用戶發送的所有消息來達到竊取比特幣的目的。03去中心化交易所協議Bancor被曝出現嚴重漏洞，此后Bancor官方和多位白帽黑客利用該漏洞，將用戶的資金轉移到了新的地址，截止到6月18日涉及到的資金已超過50萬美元。04朝鮮黑客組織Lazarus或將對多國發起釣魚網站攻擊，其組織曾盜竊5.17億美元的加密貨幣。Cyfirma預測，這次襲擊或將于6月19日進行，為期兩天，不僅會影響到各國公民，還會影響到中小企業甚至大型企業。鑒于當前區塊鏈安全領域的新形勢，『成都鏈安』在此總結：總的來看，6月區塊鏈安全事件較5月有所增加，整體安全事件發生數量處于『中等』水平，危害程度評級為『中級』。由此可見，區塊鏈安全形勢依然嚴峻，需要重點關注。其中，勒索軟件/挖礦木馬方面與暗網方面，安全事件發生數量明顯增加，不容忽視。因此，成都鏈安建議用戶在選擇交易所時，一定要擦亮眼睛，不要盲目輕信所謂的『大公司』，對資金進行操作時需要保持謹慎，以保護自己的資金安全。鑒于本月勒索軟件/挖礦木馬方面所發生的安全事件的明顯增加，成都鏈安在此特別提醒企業和用戶在日常工作中勢必需加強安全防護，不要掉以輕心；增強員工的安全意識，不要輕信或下載來源不明的鏈接或文件，在進行敏感操作時應仔細核實。如果已經被勒索，一定要尋求專業的安全公司的幫助。

動態 | 成都鏈安面向聯盟鏈推出“一站式”安全平臺:據官方消息，成都鏈安面向聯盟鏈安全需求推出“一站式”安全解決方案，為聯盟鏈生態提供從安全設計、開發、安全檢測到運行時安全監控和管理等全方位的安全服務與支持。

?

“一站式”安全平臺主要包括：支持FISCO-BCOS、Fabric、以太坊、EOS等多個平臺的“一鍵式”智能合約自動形式化驗證工具Beosin-VaaS；Beosin-IDE智能合約開發工具；Beosin-Eagle Eye安全態勢感知系統；Beosin-Firewall防火墻；Beosin-OSINT 威脅情報系統；安全審計與檢測；安全顧問等服務。

?

成都鏈安作為最早專門從事區塊鏈安全的公司之一，核心團隊在安全領域深耕18年，申請區塊鏈安全相關軟件發明專利和著作權15項。平臺推出以來，已為微眾銀行區塊鏈、布比、云象、益鏈等多個聯盟鏈平臺提供了全套的“一站式”安全解決方案和安全防護。[2019/11/28]

Tags：區塊鏈DEFIEFIDEF區塊鏈工程專業學什么ChargeDeFi ChargeDEFILANCER幣fdudefi

歐易交易所app下載