过去一个月，整个区块链生态共发生 32 起较为突出的安全事件，危害程度评级为「中级」，涉及 DeFi 5 起、钱包安全 2 起，公链安全 3 起，交易所相关 2 起，勒索相关 4 起，诈骗跑路 16 起等。

DeFi安全

7月份共发生 5 起 DeFi 相关安全事件，具体如下：

1）加密货币项目Vether（VETH）遭到闪贷攻击，其Uniswap资金池耗尽919299 VETH，价值约合90万美元，而且整个攻击成本仅有0.9ETH，约合200美元。

2）知名区块链安全研究员Sam Sun在小组讨论中表示，自己似乎发现一种盗取yearn.finance yusdc资金池资金的方法。yearn.finance官方回应称这个问题已经得到解决，但依然提示用户暂时不要投入资金。7月26日，yearn.finance公布V2 版本的更新将添加USDC合约的资金池，但V2版本还没有完全部署，尚在实验测试阶段，官方也已经提示该合约仍为实验性质且具有高度风险，建议不要立即投入资金。

3）samczsun在yearn.finance新部署的yVault中发现了一个漏洞，初步分析是由于flashloan 中产生滑点导致。

4）网络安全公司OpenZeppelin已发布Compound的开放式预言机（Open Oracle）集成Uniswap V2的审计报告。指出，开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格，这些价格将以Uniswap V2的市场价格作为基础，发布价格的人只能在一定程度上偏离Uniswap V2的价格（具体由部署者决定），这可以很大程度上限制汇报者操纵预言机的权力。

5）DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局：Uniswap上的伪造代币列表。骗子正试图在目标协议实际推出其加密货币之前，在Uniswap上列出“官方”协议代币。DefiPrime至少确定六个被这些诈骗者锁定的协议：Uniswap、Tornado Cash、BZRX（Fulcrum）、Curve、dYdX 和1inch。甚至已经有人因此受骗。

PeckShield 点评：随着 DeFi 项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系，DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。PeckShield 在此建议，DeFi 项目方在上线之前，应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。

数字钱包安全

7月份共发生 2 起钱包安全事件：

1）加密货币钱包服务商ZenGo表示，其在Ledger、BRD和Edge等市场主流的一些钱包中发现了一个漏洞，该漏洞允许攻击者欺骗用户，让用户以为自己收到了比特币，但实际上他们并没有收到。ZenGo将这一漏洞命名为“BigSpender”，攻击手法定义为“双重支出攻击”。 (责任编辑：admin1)