据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发 29 起较为突出的安全事件,危害程度评级为「高级」,涉及 DeFi 4 起、钱包安全 3 起,交易所相关 2 起,勒索相关 5 起,诈骗事件 15 起等。DeFi 安全10 月份共发生 4 起 DeFi 相关安全事件,具体如下: 1)10 月 11 日,以太坊项目 WLEO 合约遭到黑客攻击,导致价值 4.2 万美元的资金被盗。黑客通过将向自己铸造 WLEO,并将其换成以太坊,从去中心化交易所 Uniswap 的池中窃取了以太坊。 2)10 月 26 日,有用户发现 DeFi 挖矿项目 Harvest.finance 被使用闪电贷功能实现了巨额套利。Harvest 官方发推解释称,这次套利攻击起源于一笔巨额闪电贷,并通过多次操纵 Curve y Pool 的价格,以套取 fUSDT、fUSDC 的价差进而获利。 3)加密钱包 ZenGo 的研究人员 Alex Manuskin 透露,一个所谓基于以太坊网络的「yield farming 平台」UniCats 涉嫌从几个用户那里窃取了包括 Uniswap 的治理代币 UNI 在内的至少价值 20 万美元的加密资产。智能合约中的一个后门允许 UniCats 保留对用户代币的控制权,即使这些代币已经从用户池中撤出。而此前针对 Bancor 的攻击也使用了类似的漏洞。 4)yearn.finance(YFI)披露一个新的闪电贷安全漏洞,该漏洞由安全研究员 Wen-Ding Li 于 10 月 29 日通过 Yearn 的安全漏洞披露流程报告,团队在 1.5 个小时后将该漏洞移除。根据该披露,闪电贷攻击可能会给 TUSD 保险库资金带来安全危险,目前该问题已被修复,同时 TUSD 保险库已被停止部署资金。 PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。 数字钱包安全10 月份共发生 3 起钱包安全事件: 1)硬件钱包制造商 Ledger 遭受了网络钓鱼攻击。一些用户收到了带有钓鱼软件的电子邮件,导致资金损失。此次黑客攻击可能与该公司在 2020 年 7 月的用户数据泄露事件有关。 2)ZDNet 一项调查显示,黑客通过引诱用户安装假软件更新,从比特币钱包 Electrum 的用户那里窃取了 2200 万美元。而该手法最高出现在 2018 年。而自两年前首次发现这种攻击以来,Electrum 团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。 (责任编辑:admin) |