據PeckShield態勢感知平臺數據顯示,過去一個月,整個區塊鏈生態共發生23起較為突出的安全事件,危害程度評級為「中級」,受損金額數億元,涉及DeFi2起、交易所6起、公鏈1起、勒索相關3起,詐騙跑路8起等。DeFi安全
5月份共發生2起DeFi安全事件,具體如下:1)05月07日,路印協議出現一個嚴重的前端錯誤,密鑰素材被設置在一個32位整數的范圍,可以窮舉找出所有用戶秘鑰對。該漏洞由于用戶的EdDSA密鑰對實際被限制在了一個32位整數空間,導致黑客可以通過窮舉,找出所有用戶的EdDSA密鑰對。受此影響,LoopringExchange關停半天進行維護升級。2)05月18日,tBTC團隊疑似發現重大合約漏洞,于是緊急暫停充值服務并進行再審核。tBTC是一種無需信任的,由可贖回BTC作為擔保的一種ERC-20代幣,該項目主網于05月15日上線。PeckShield點評:隨著DeFi項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑒于其與用戶資產的緊密聯系,DeFi項目的安全問題非常嚴峻。PeckShield在此建議,DeFi項目方在上線之前,應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。交易所安全
ApeCoin DAO啟動第二屆特別委員會選舉,申請提交擬于美東時間5月20日截止:5月8日消息,ApeCoin DAO現已啟動第二屆特別委員會選舉,至少持有1枚ApeCoin的ApeCoin DAO貢獻者都可進行申請,爭取成為下一屆特別委員會成員,申請提交擬于美東時間5月20日21:00截止。據悉,ApeCoin第二屆特別委員會候選人投票將于6月15-21日啟動,特別委員會成員投票將于6月22日-28日進行,新成員的任期將于2023年7月1日開始。[2023/5/8 14:49:59]
5月份共發生6起交易所相關安全事件:1)據Youbi交易所官方消息,Youbi自05月06日開啟平臺幣認購后,連續3天遭遇大流量DDOS攻擊,造成服務器短時間無法訪問。2)05月01日,幣星交易所官方發布公告稱,其網站bitsg及app遭受了不間斷的DOSS持續攻擊,導致某些時段無法正常登陸。3)05月27日,LMEX聯交所在社群發布關于交易所運營調整通知稱:平臺遭黑客入侵被盜損失了15萬枚USDT,致使平臺資不低債,目前已關閉充提。4)近期有媒體爆料稱,富比特交易所鄭州辦公室人去樓空,在遭到投資者質疑之后,富比特官方發出公告稱資不抵債,并且推出了清償方案。5)去年年底Upbit交易所被盜損失3.4萬個ETH,近半年時間,黑客對被盜資產采取多渠道洗錢操作,近日已基本清洗完畢。6)UEX交易所官方發布通知稱:平臺遭遇黑客攻擊,需要5天左右時間修復與核實數據,數據庫修復期間,平臺關閉充提,關閉內部轉賬。PeckShield點評:針對層出不窮的交易所安全事件,交易所應使用更加安全的防范系統,類似DDoS攻擊,交易所可配置多臺備用機器,避免單點故障給系統帶來的風險。除此之外,也不排除存在部分小交易所,以遭攻擊之名行“跑路”之實的惡意行為。公鏈安全
PeckShield:FriesDAO攻擊者將237萬美元被盜資金轉換ETH:11月8日消息,安全公司PeckShield監測發現,FriesDAO Profanity漏洞攻擊者已通過混幣器Tornado Cash將237萬美元被盜資金轉換ETH。
此前消息,FriesDAO遭到攻擊損失約230萬美元,起因是攻擊者獲得該協議操作者錢包的控制權,似乎是由于Profanity錢包生成器漏洞導致,這一漏洞會讓通過該工具生成地址的私鑰被強制使用。[2022/11/8 12:32:34]
5月份共爆出1起較為嚴重的公鏈安全問題:1)石榴礦池技術人員發現Filecoin代碼中的嚴重漏洞,通過該漏洞可以實現Filecoin的無限增發。石榴礦池表示,為了證明漏洞的有效性,6Block旗下的三個礦工賬號t01043、t027999、t0234783通過該漏洞已實現16億Filecoin的增發,占據了Filecoin富豪榜前三名。6Block團隊獨立發現并向Filecoin官方匯報了該漏洞,目前正積極協助官方完成漏洞修復。PeckShield點評:公鏈上的漏洞,一旦發現對整個鏈生態的影響極大,因此公鏈在正式版上線前務必做好安全測試和漏洞排查,并尋求第三方安全公司審計,避免因漏洞威脅影響公鏈生態。勒索相關
PeckShield:hopexchange[.]claims是釣魚網站,切勿連接錢包:金色財經消息,PeckShield發推表示,hopexchange[.]claims是一個釣魚網站,而不是真實的HopProtocol網站,提醒用戶不要隨便連接錢包,注意風險。[2022/4/24 14:45:17]
5月份還發生了3起典型的勒索事件,例如:1)援引俄羅斯媒體RBC報道稱,匿名黑客獲取了超過1.29億俄羅斯車主的數據,并將其暴露在“暗網”上,勒索以獲取加密貨幣。2)據報道,GrubmanShireMeiselas&Sacks受到REvil勒索軟件的攻擊,攻擊者威脅要分9次發布高達756GB的被盜數據。被盜數據包括保密合同、電話號碼、電子郵件地址、個人通信、保密協議等。3)網絡安全公司Group-IB發出警告稱,最近幾個月出現了一種新型勒索軟件ProLock,依靠Qakbot銀行木馬發起攻擊。受害者包括地方政府、金融、醫療和零售機構。Group-IB稱,該勒索軟件攻擊要求總計支付35枚比特幣的贖金,目前價值337,750美元。PeckShield點評:勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限于區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及后,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。詐騙跑路事件
Yat Siu針對ApeCoin DAO提案相關疑問回應社區:3月24日消息,Animoca Brands聯合創始人兼CEO Yat Siu在其社交平臺發文回應社區關于Animoca Brands提出的提案中質押池的相關疑問。
Yat Siu表示,AIP-5中提到的四個質押池,雖然有三個是為BAYC生態NFT持有者提供的,但他們想要獲得質押收益同樣需要質押APE,并與其NFT配對,NFT只是起到鑰匙的作用。如果NFT持有者在質押APE期間賣掉NFT,這意味著他同時失去了獲取質押收益的鑰匙。[2022/3/24 14:15:47]
除上述之外,5月份還發生了多起詐騙跑路事件值得警惕,例如:1)浙江省東陽市檢察院對一起數字貨幣詐騙案提起公訴,詐騙金額達3.8億元,被害人3,000多名。該詐騙集團通過微信、QQ等方式拉攏客戶,謊稱投資數字貨幣可以獲取高額回報為誘餌,誘導客戶到公司開發的數字貨幣交易平臺進行投資。2)有騙子冒充波場創始人孫宇晨,以與TRON達成合作伙伴關系為幌子,企圖從毫無戒心的受害者那里竊取錢財。3)安徽省馬鞍山市抓捕一名潛逃至東鄉區的電信詐騙犯饒某。犯罪嫌疑人饒某在2019年至2020年期間,伙同他人多次在境外“SABCT投資平臺”對受害人以誘導投資虛擬貨幣為由實施詐騙七百余萬元。4)孫某等人運營“超級錢包”APP,誘惑用戶存入代為托管,而后關閉平臺侵吞虛擬貨幣。目前孫某等人已被福建省莆田市涵江檢察院依法逮捕。該案系利用虛擬貨幣平臺進行詐騙的新類型犯罪案,為涵江區出現的首例虛擬貨幣詐騙案件。5)有詐騙者正在利用知名人士的影像在Youtube平臺直播,同時放出比特幣地址進行詐騙。目前發現的有SocialCapital的創始人兼CEOChamathPalihapitiya、微軟總裁BradSmith,以及小米創始人雷軍等。6)近日山東省淄博破獲了一起部督辦的網絡平臺投資詐騙案。詐騙團伙以投資虛擬貨幣獲高息為誘餌,讓全國20多個省份的300多人上當,涉案金額高達3,000多萬元。7)在一些詐騙電子郵件中,騙子假冒奧組委成員,并要求人們向一個“屬于國際奧委會”的比特幣(BTC)加密錢包捐款。8)CoinCorner報告稱,GoogleAds為模仿CoinCorner的網絡釣魚克隆網站CoinCornerr.com投放了廣告。PeckShield點評:因用戶認知意識欠缺,不法分子常設計一些投入低、高回報的龐氏騙局,并利用人們的逐利心理,層層設套。那些屢見不鮮,利用高利息回報的資金盤、理財錢包等各類騙局實施的詐騙就是典型。其他安全事件
YAMv3協議已通過安全公司PeckShield審計服務:區塊鏈安全公司PeckShield(派盾)宣布正式完成了對YAMv3的安全審計服務。根據PeckShield提供的公開審計報告顯示:本次審計共發現問題15個,其中高危1個,中危4個,低危6個,優化建議4個,已發現漏洞均已和YamFinance團隊溝通修復完成。YAMv3將于9月18日正式上線遷移,YAMv2將和YAMv3進行1:1映射,新一輪的流動性挖礦也將隨即開啟。[2020/9/15]
1)騰訊安全威脅情報中心檢測到H2Miner木馬利用SaltStack遠程命令執行漏洞入侵企業主機進行挖礦。2)安全公司紅RedCanary最近發現,黑客組織BlueMockingBird瞄準了數千臺企業電腦,非法開采加密貨幣。據悉,黑客特別針對運行ASP的面向公眾的服務器,在獲得訪問服務器的權限后,黑客下載并安裝門羅幣挖掘應用程序XMRRig。3)英國、德國和瑞士等歐洲各地的多臺超級計算機本周已被加密貨幣挖掘惡意軟件感染,并已關閉以調查入侵事件。據報道,攻擊者似乎通過破壞SSH憑證獲得了訪問超級計算機集群的權限,一旦攻擊者獲得訪問權限,就會利用CVE-2019-15666漏洞繼而部署挖掘門羅幣的應用程序。PeckShield點評:因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
Tags:SHISHIELDELDCOINSatoshiStreetBetsSafe ShieldYield Token for BXTBCampusCoin
這個春天是DeFi的高光時刻,好像一夜之間被人價值發現了一樣,各種DeFi項目的市值都開始猛漲。而在6月5日,DeFi鎖倉市值時隔三個月再度突破10億美金.
1900/1/1 0:00:00今天和大家分享一個話題——未來兩年的投資機遇。之所以和大家分享這樣宏觀的話題是因為昨晚美聯儲連續兩天進行的會議內容被公開,在這份公開的內容中有一則重要的信息將會影響未來至少兩年內全球的經濟和金融.
1900/1/1 0:00:00摘要:本文在回顧穩定幣的發展歷程之上,分析近期穩定幣的發展狀況,最后給出穩定幣的前景展望。廣義上,穩定幣是一類錨定法幣或實物的資產或貨幣,如錨定美元或錨定黃金等.
1900/1/1 0:00:00編者按:本文來自Unitimes,作者:NemilDalal,Coinbase產品經理,編譯:Johnny,星球日報經授權發布。萬維網誕生的早期是報紙的黃金時代.
1900/1/1 0:00:00近日,兩會落下帷幕,在“4.21”剛剛被納入了國家新基建規范的區塊鏈技術,又再一次掀起了一股熱浪.
1900/1/1 0:00:00市場要聞 1、數字貨幣市場沒有什么太大的影響市場走向的消息,今天就不仔細剖析了。昨晚臨時性的鬼關門,大家都很恐慌,給大家簡單地做了一下心理梳理。算是勉強安慰了一下大家.
1900/1/1 0:00:00