據PeckShield態勢感知平臺數據顯示,過去一個月,整個區塊鏈生態共發29起較為突出的安全事件,危害程度評級為「高級」,涉及DeFi4起、錢包安全3起,交易所相關2起,勒索相關5起,詐騙事件15起等。
DeFi?安全
10月份共發生4起DeFi相關安全事件,具體如下:
1)10月11日,以太坊項目WLEO合約遭到黑客攻擊,導致價值4.2萬美元的資金被盜。黑客通過將向自己鑄造WLEO,并將其換成以太坊,從去中心化交易所Uniswap的池中竊取了以太坊。
2)10月26日,有用戶發現DeFi挖礦項目Harvest.finance被使用閃電貸功能實現了巨額套利。Harvest官方發推解釋稱,這次套利攻擊起源于一筆巨額閃電貸,并通過多次操縱CurveyPool的價格,以套取fUSDT、fUSDC的價差進而獲利。
3)加密錢包ZenGo的研究人員AlexManuskin透露,一個所謂基于以太坊網絡的“yieldfarming平臺”UniCats涉嫌從幾個用戶那里竊取了包括Uniswap的治理代幣UNI在內的至少價值20萬美元的加密資產。智能合約中的一個后門允許UniCats保留對用戶代幣的控制權,即使這些代幣已經從用戶池中撤出。而此前針對Bancor的攻擊也使用了類似的漏洞。
4)yearn.finance披露一個新的閃電貸安全漏洞,該漏洞由安全研究員Wen-DingLi于10月29日通過Yearn的安全漏洞披露流程報告,團隊在1.5個小時后將該漏洞移除。根據該披露,閃電貸攻擊可能會給TUSD保險庫資金帶來安全危險,目前該問題已被修復,同時TUSD保險庫已被停止部署資金。
蒂芙尼將于10月26日向NFTiff持有者展示CryptoPunks定制吊墜:10月25日消息,蒂芙尼副總裁Alexandre Arnault在社交媒體表示,NFTiff持有者,請在10月26日查看您的收件箱,查看定制1/1@TiffanyAndCo吊墜。隨后,Alexandre Arnault又發布了一個先睹為快的推文,其中展示了基于CryptoPunk#3468的18K玫瑰金吊墜,上面有86個鉆石。
此前報道,8月1日,美國珠寶品牌蒂芙尼(Tiffany&Co.)宣布推出NFTiffs NFT系列。該系列限量250枚,售價30ETH,僅限CryptoPunk持有者購買。[2022/10/26 16:38:49]
PeckShield點評:隨著DeFi項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑒于其與用戶資產的緊密聯系,DeFi項目的安全問題非常嚴峻。由于各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平臺交互的過程中出現安全問題,進而腹背受敵。PeckShield在此建議,DeFi項目方在上線之前,應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。
數字錢包安全
10月份共發生3起錢包安全事件:
1)硬件錢包制造商Ledger遭受了網絡釣魚攻擊。一些用戶收到了帶有釣魚軟件的電子郵件,導致資金損失。此次黑客攻擊可能與該公司在2020年7月的用戶數據泄露事件有關。
數據:Layer2網絡的總TVL跌至44.5億美元,創2021年10月28日以來新低:6月13日消息,據L2Beat數據顯示,Layer2網絡的總TVL跌至44.5億美元,創2021年10月28日以來新低,其中Arbitrum(22億美元)、dYdX(9.64億美元)和Optimism(7.46億美元)分別為TVL最高的前三名Layer2網絡。[2022/6/13 4:21:53]
2)ZDNet一項調查顯示,黑客通過引誘用戶安裝假軟件更新,從比特幣錢包Electrum的用戶那里竊取了2200萬美元。而該手法最高出現在2018年。而自兩年前首次發現這種攻擊以來,Electrum團隊已經采取了一些措施來防止這種攻擊。但這種攻擊仍然適用于使用舊版本應用程序的用戶。
3)近日,網絡犯罪情報公司HudsonRock首席技術官AlonGal發推表示,10月27日,自稱“以太坊最成熟、規模最大的菠菜游戲”EtherCrash冷錢包被盜,損失約250萬美元,疑似為內部人員所為。
PeckShield點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網絡連接的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,用戶也要謹防網絡釣魚,惡意代碼注入等攻擊方式。
交易所相關
10月份共發生2起交易所相關安全事件:
1)10月16日,OKEx發布“暫停提幣公告”稱,近日該公司部分私鑰負責人正在配合機關調查,目前正處于失聯狀態導致無法完成授權。有兩位接近OKEx的消息人士表示,公告中“配合機關調查”的正是OKEx的創始人徐明星。其中一位人士還表示,徐明星至少一周前已經被帶走,多日未在工作大群中現身。?
金色晚報 | 10月31日晚間重要動態一覽:12:00-21:00關鍵詞:數字貨幣、北京、銀保監、V神、比特幣白皮書
1. 習近平:積極參與數字貨幣等國際規則制定,塑造新的競爭優勢
2. 北京市副市長殷勇:將推動金融監管沙盒參與主體更豐富,穩步增加監管沙盒彈性;
3. 銀保監會副主席梁濤:目前開展區塊鏈應用的保險機構約有30家;
4. 王永利:PayPal用戶要將加密貨幣兌換成法定貨幣后才能完成購物支付;
5. SushiChef:Sushiswap已發布最新UI 下月將進行全面審計;
6. 數據:比特幣盈利地址數量超3130.52萬續刷新高;
7. V神:不喜歡鏈基層治理,因其可被利用并導致權力集中;
8. 歷史上的今天丨2008年的今天 比特幣白皮書正式發布;
9. BTC突破14000美元關口 創2018年1月以來新高。[2020/10/31 11:20:06]
2)imToken錢包用戶報告DeFiSaverExchange交易所漏洞相關的賬號流出了310,000DAI,早在今年6月20日DeFiSaver推特報道發現Exchange中的漏洞。為了保護用戶資金,我們進行了一次白黑客攻擊,將受影響的資金轉移到只有原始所有者才能提取的智能合約中。
PeckShield點評:黑客盜取資產后實施洗錢,不管過程多周密復雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求,交易所應加強AML反洗錢和資金合規化方向的審查工作。
Asproex(阿波羅)首屆區塊鏈品酒節于10月7日上線:據官方消息,10月7日,Asproex(阿波羅)正式上線首屆區塊鏈品酒節活動。活動期間,所有平臺生態內用戶通過AsproPay無感兌換功能,使用生態通證MOON開啟拼團支付,將能專享一折優惠購買所有品類美酒。
Asproex(阿波羅)作為一家離岸銀行控股持牌交易平臺,涵蓋CTO(Corporate Token Offering)企業通證上市、合約跟單、ETT指數通證、數字礦業、Digital Bank板塊并持有5國合法牌照,致力于為全球中小微企業提數字化上市一站式服務。[2020/10/7]
勒索相關
10月份共發生5起勒索相關安全事件:
1)意大利跨國能源巨頭EnelGroup近日遭遇勒索軟件攻擊,其計算機網絡感染了名為NetWalker的Windows勒索軟件。據悉,NetWalker黑客公布了大約5TB被盜數據的截圖,并威脅將在一周內公布第一批數據,從而迫使EnelGroup支付1234枚比特幣。
2)10月28日消息,芬蘭數萬名接受心理治療的患者的機密就醫記錄遭到黑客攻擊,其中一些被泄露到網上。芬蘭透露,有黑客侵入了私人公司Vastaamo的記錄,該公司在芬蘭各地運營著25家治療中心。據報道,已有數千人向投訴此事。許多患者報告說,他們收到了要求支付200歐元比特幣的電子郵件,以防止他們與治療師討論的內容被公之于眾。
?3)10月14日消息,近日,全國首個比特幣勒索病開發者巨某,被江蘇南通成功捕獲。江蘇省南通市當地通報稱,犯罪嫌疑人巨某,作為多個比特幣勒索病的制作者,已成功作案百余起,非法獲取的比特幣折合人民幣500余萬元。
火幣全球站將于10月2日18:00暫停PAI充提業務:據官方公告,由于主網升級,火幣全球站將于2020年10月2日18:00 (GMT+8) 暫停 PAI 的充幣和提幣業務。待升級完成后將第一時間恢復,具體時間將以公告另行通知。[2020/10/1]
4)近日,勒索軟件攻擊襲擊了醫療軟件公司eResearchTechnology,該公司為全球制藥公司提供進行臨床試驗的工具,因而對包括施貴寶、阿斯利康、輝瑞和強生等公司進行的多個新冠研究項目造成潛在影響。
5)七國集團領導人星期二對勒索軟件攻擊的全球激增發出警告,稱這種黑客技術對世界主要經濟體的關鍵基礎設施構成威脅。勒索軟件會潛入并加密計算機網絡,然后要求受害者支付贖金解鎖他們的文件。七國集團的聲明警告說:“犯罪分子經常要求用虛擬資產支付贖金,這一事實尤其令人擔憂。”歐盟領導人表示,“虛擬資產”是黑客洗錢的途徑。該聲明呼吁更多國家實施金融行動特別工作組的虛擬資產保護措施。
PeckShield點評:勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限于區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及后,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。
其他詐騙事件
除上述之外,10?月份還發生了多起詐騙跑路事件值得警惕,例如:
1)Kusunose的用戶在谷歌論壇上發帖稱,其因在谷歌廣告中發現的加密騙局損失了1.5萬美元。據稱,該名為Coindaq.io的可疑網站試圖利用中國正在研究的數字人民幣,聲稱用戶可以在該平臺存入資金參與數字人民幣的銷售。受害者表示,希望谷歌可以調查此事,并建立一個針對涉嫌詐騙的網頁。
2)廣州官方發布文稱,10月3日,市民潘小姐到云埔派出所報案,稱其9月份結識了一名“網友”,后被對方以投資數字貨幣為名誘導下載某虛假APP,先后投入共232萬元人民幣,目前已無法提現。黃埔緊急提醒,理性看待數字貨幣,如有疑問或發現被騙第一時間報警。
3)近日,長沙芙蓉區居民林某報警稱,投資數字貨幣被騙320多萬元。據悉,林某通過一微信群內的“老師”發送的網址鏈接下載了一個名為“AOC”的App,并注冊了賬戶。林某先后分25次向對方提供的13個不同的銀行賬號轉賬共計327.39萬余元,幾天后App上顯示其購買的數字貨幣暴跌80%。林某報警時,該App已無法登錄,“老師”微信號也已因被封而失聯。目前案件正在偵辦中。
4)近日有用戶訪問Curve交易所網站時遭受釣魚攻擊,損失20枚比特幣。據悉,詐騙團伙利用谷歌廣告系統購買谷歌搜索廣告,偽裝成Curve交易所進行詐騙廣告投放。由于google新廣告計劃,廣告通常會顯示在搜索第一名,因此造成不少用戶上當受騙。降維安全實驗室建議用戶保持警惕,認真甄別消息來源,仔細辨別域名,避免造成資產損失。
5)10月12日,以太坊客戶端Geth開發者Marius發推稱,在以太坊的開發社區中出現了郵件釣魚,具體而言是一個名為get-eth.com的網站,其顯示可以下載最新的以太坊Geth客戶端。而geth客戶端的下載網址為geth.ethereum.org,或在github直接下載。
6)加密貨幣數據公司CoinGecko通過推特宣布遭遇DDOS攻擊,并暫時加強安全措施,目前CoinGecko正在密切監視情況發展。官方正在努力修復,希望能夠迅速恢復運行。
7)徐州市局日前成功偵破一起“CDBC數字貨幣”特大民族資產解凍類詐騙案件,抓獲犯罪嫌疑人16名,扣押電腦、手機、銀行卡60余件,凍結涉案資金150余萬元,打出了省內偵辦此類案件一次性逮捕人數最多的戰績。據悉,此團伙宣稱“CDBC數字貨幣”是央行發行的第一批數字貨幣,100元1單,每人限制7單,將來會翻100倍、1000倍;目前,16名嫌疑人已全部移送檢察機關起訴。
8)日前,河北黃驊成功打掉一個跨省電信詐騙犯罪團伙,抓獲犯罪嫌疑人3名,涉案金額120余萬元。據悉,該犯罪團伙使用一款投資APP采取利用虛擬貨幣買賣電子寵物的方式實施詐騙
9)P2P比特幣市場Paxful在兩個月內成功抵御了一系列嚴重的威脅,包括22萬項網絡機器人攻擊和各種社會工程策略。Paxful表示,攻擊者試圖使用自動機器人以暴力方式闖入該項目用戶的帳戶。Paxful稱,據報道,全球約四分之一的網絡流量都是由機器人產生的,它們實際上是一些模擬真實設備動作的程序。
10)根據美國檢察官周一發布的起訴書,俄羅斯國家網絡黑客使用比特幣來掩蓋其與關鍵黑客活動“基礎設施”的聯系,例如服務器和域名。訴訟中提到了俄羅斯國家黑客團隊的六名成員,他們涉嫌通過俄羅斯軍事單位7445對公司、軍隊、政府和2018年冬季奧運會的數千名受害者進行了攻擊。檢察官還聲稱,他們應對2017年災難性的“NotPetya”惡意軟件攻擊負責,該攻擊造成了數十億美元的損失。
11)日前浦東成功搗毀了一個虛擬貨幣投資詐騙窩點,抓獲22名犯罪嫌疑人,案件涉案金額790萬元。據悉,涉案的“HASTE”虛擬貨幣交易平臺由犯罪嫌疑人吳某所創立的某科技有限公司的技術人員開發、維護,并將使用權限賣給了境外人員。該平臺可以直接對平臺內用戶的虛擬幣額度隨意更改,并通過操盤“機器人”模擬調控虛擬幣匯率走勢。
12)近期市場上出現某些與AAX無關或未經AAX授權的第三方試圖通過電子郵件,微信和電報等形式假冒AAX客戶服務,并在線傳播冒充AAX的虛假關聯試圖進行詐騙活動。
13)西班牙國家警察局的消息人士稱,Arbistar2.0首席執行官SantiagoFuentes最終于10月22日被西班牙南部特內里費地區抓獲并拘留。Fuentes被指控在一場比特幣龐氏騙局中欺騙了近3.2萬名投資者,價值近8.5億歐元(約10億美元)。
14)根據美國檢察官周一發布的起訴書,俄羅斯國家網絡黑客使用比特幣來掩蓋其與服務器和域名等關鍵黑客活動“基礎設施”的聯系。訴訟中提到了俄羅斯國家黑客團隊的六名成員,他們涉嫌通過俄羅斯軍事單位7445對公司、軍隊、運動、政府和2018年冬季奧運會的數千名受害者進行了攻擊。
15)Yearn.Finance出現doppelganger騙局以誘騙訪問者共享其加密貨幣錢包的私鑰。騙局網站幾乎可以復制原始yearn.finance網站的幾乎所有方面,包括其設計,網站副本甚至域名。
PeckShield點評:因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。
Tags:比特幣DEFIDEFEFI比特幣走勢圖十年My Defi LegendsDefend Animals FoundationGDEFI
Gate.io今日已經根據用戶FIL6持倉情況完成FIL分發,總計約1.3萬枚,用戶可在賬戶賬單明細中查看詳情.
1900/1/1 0:00:00強平金額5倍返還,瓦特合約助你滿血復活! 尊敬的WBF用戶: 近日,BTC再次展示幣王風采,在主流行情譜跌的情況下,BTC逆勢上漲,屢次刷新年內新高行情波動.
1900/1/1 0:00:00尊敬的用戶: BitcoinCash網絡協議預計時間于2020年11月15日20:00(GMT8)進行硬分叉協議升級。若產生分叉,WBF將支持本次BCH升級和分叉.
1900/1/1 0:00:00尊敬的用戶: WBF將在開放區上線FIC/USDT交易對,具體時間安排如下:充值時間:2020-11-110:00交易時間:2020-11-220:00提幣時間:2020-11-110:00 項.
1900/1/1 0:00:00茶,甜藏于苦中。人生如是,是苦是甜,自己知道,卻也未必知道。你知道的,只是當下的感受,卻未必看得見下一刻的轉變。人生若茶,生活似水,水能讓茶由苦變甜,生活磨礪能使人超越苦難。不經苦,何來甜.
1900/1/1 0:00:00在比特幣NVT創下歷史新高的幾天內,比特幣已開始與米鍋股市標普500指數脫鉤。BTC和股市之間出現脫鉤行為的第一個跡象。新用戶的涌入帶來的買盤提供了價格支撐,防止投機者向下交易這種相關性.
1900/1/1 0:00:00