2021年6月,据不完全统计,整个区块链生态发生的典型安全事件超36起,整体安全风险评级为【高】。本月,【DeFi方面】依然是典型安全事件频发的主要阵地,“闪电贷攻击”依然是黑客采取的主要攻击手段。另外,【诈骗跑路/加密骗局方面】安全态势同样严峻,不可掉以轻心。 较5月而言,DeFi生态的攻击事件不再局限于BSC链上项目,随着DeFi生态趋于繁荣,各类DeFi项目也由于其产品设计与实现上的不同,暴露出了不同的安全风险。例如,xWin Finance被黑事件中,攻击者就利用了项目本身在“推广手段和奖励机制”上存在的漏洞而发动攻击;而在SafeDollar被黑事件中,攻击者则是利用了项目合约在“抵押和计算奖励”上存在的逻辑缺陷。 以下为本月安全月报的详细事项。 交易所方面 共发生『2』起典型安全事件 01 韩国当局新规,交易平台工作人员如果在自己的平台上进行交易,其交易平台将面临最高1亿韩元(约合9万美元)的罚款和暂停交易许可。 02 韩国警察因涉嫌违反有关限制非法信用行为的法律和诈骗,逮捕了虚拟货币交易平台“V Global”的代表A某和经营人员等4人。 DeFi方面 共发生『11』起典型安全事件 01 PancakeHunny遭遇黑客攻击,短时间内增发大量的代币并抛向市场。 02 SushiSwap帮助Alchemix发现了一个能从他们的奖励合约中抽走ALCX的漏洞,从而Alchemix请求SushiSwap禁用他们的“双挖奖励”。 03 收益农场EvoDefi遭到攻击,导致其代币GEN价格从2.1美元/枚跌至0.9美元/枚,跌幅达57%。 04 DeFi固定利率生成协议88mph,发布init()函数严重漏洞的修复报告。 05 Alchemix alETH池疑似出现漏洞,用户可以在未偿还alETH债务的情况下提出抵押的ETH。目前团队已停止该池的抵押借贷并展开调查。 06 DeFi协议Impossible Finance疑似遭到闪电贷攻击。 07 Eleven Finance中与Nerve相关的机枪池或遭闪电贷攻击。Nerve Finance团队表示资金安全。 08 6月25日,BSC链上DeFi协议xWin Finance遭到闪电贷攻击。 09 6月28日,SafeDollar疑似遭到黑客攻击,一份未经证实的合约抽走了25万美元的USDC和USDT。 10 THORChain遭受到恶意攻击,该次攻击造成14万美元资金损失,但THORChain表示用户资金不会受到影响,将会用资金库来弥补漏洞资金。 11 收益聚合器Merlin Lab,由于MerlinStrategyAlpacaBNB中存在的逻辑漏洞遭到了黑客的攻击,其漏洞是合约误将收益者转账的WBNB作为挖矿收益,使得合约增发更多的$MERL作为奖励。 Beosin评论 本月,DeFi方面典型安全事件突破“10起”关口,安全态势依然严峻。诸如闪电贷攻击、业务逻辑漏洞、项目奖励机制等原因,均成为了黑客发动攻击行为的“裂口”,因此作为项目方而言,切记要注重项目本身的设计和实现。必要时,可借助第三方安全公司的力量,开展项目自查工作,排除可能存在的安全隐患。 (责任编辑:admin) |