成都联安：11月，德菲发生5起安全事件，交流区发生6起安全事件

11月，区块链领域共发生27起典安全事件，其中DeFi事件5起，交易所事件6起。

原文标题：《成都连锁安全库存：11月发生“27”多起典安全事件，整体风险评级为“高”

根据成都联安“区块链安全态势感知平台”（beosin鹰眼）的数据监测，显示：

2020年，区块链领域各类安全事件频发。与10月份安全事件的缓和趋势相比，本月的情况有所恶化。据不完全统计，11月份发生的典安全事件超过27起。

本月，特别是在DeFi领域，黑客们上演了一系列协议“攻击剧目”，仿佛通过中心化排练。其中，借助闪电贷款的再入攻击、预言攻击等手段显示出较强的杀伤力。不得不说，11月的DeFi市场就像一场“大灾难”，多次袭击，屡次“轰炸”，造成巨额资产损失。

在此期间，成都联安曾呼吁闪电出击，但其背后的真相不容忽视。Defi项目方应特别关注预言机的控制问题，以防止数据危机带来无法弥补的后果。

因此，成都联安再次郑重建议，DFI开发者应加强预言机机的针对性测试，特别是在项目上线前，要尽可能模拟各种价格操纵攻击的场景，及时发现问题，找到解决方案，有效提高项目抵御预言机攻击的能力，提前规避此类风险。

交易所方面，共发生“6起”典安全事件

常州警方龙湖塘派出所近日接到报案，称部分用户在“罗马货币兑换”平台上进行虚拟货币投资被骗。该平台推出了两种应用程序供用户聊天和交易。手术成功后，他们可以得到回扣。目前，交易平台已无法登录。

波卡去中心化的金融平台阿克罗波利斯（Akropolis）正受到攻击。黑客利用衍生品平台dydx上的闪贷发动重返攻击，造成200万美元损失。

泉州不少市民透露，他们被数字货币交易所欺骗。涉案交易所名为马克交易所，涉案金额约25亿元，涉嫌参与头寸管理的约10万人。

11月13日，发生了液体交换的入侵。黑客更改了DNS记录，然后控制了大量内部电子邮件帐户。最终，他们部分摧毁了exchange的基础设施并访问了存储的文档。

pickle finance的pdai picklejar被黑客攻击，导致19759355 Dai耗尽。此攻击还涉及许多pickle协议组件。

11月13日，包括krebday在内的多个热门货币托管平台被onebday等多个热门货币平台加密Liquid.com网站。

“5”典安全事件发生在国防部

十一月，香港时间02号06:14，波场的主要网络受到恶意合同的攻击。在这次攻击中，黑客利用授予合同作者的权限展开恶意交易，导致“超级代表”停产牟利。

11月4日，DeFi贷款平台pERCent finance写道，一些货币市场遇到的问题可能导致用户资金**锁定。结果，该团队冻结了专门针对美元、欧洲标准普尔和世界银行的货币市场。

11月14日，value DeFi协议的value DeFi multistables保险库遭到黑客的预言机控制攻击，损失超过700万美元。

在受到闪电贷款的攻击后，原产地协议稳定币ousd跌至0.13美元。此后，Uniswap的流动资金从16日的35万美元降至12万美元。

来自Web3去中心化API服务api3的Kiyo tweets说，DFI固定速率生成协议88mph（MPH）中似乎存在漏洞，攻击者利用该协议伪造价值10万美元的MPH代币。从那时起，这个漏洞就被修复了。

贝奥辛评论：这个月，DeFi项目的安全问题令人担忧。这可能是由于对协议的核心环节缺乏足够的重视。”弥补漏洞还不算晚”。看来黑客的攻击不会停止。面对严峻的安全形势，主动防范十分重要。

成都联安认为，安全问题始终需要放在首位。事实上，在项目上线前做好安全审计是远远不够的。一些案例反映了审计只是安全工作的第一步的问题。

在项目开发过程中，要时刻梳理系统问题，防止出现“致命”漏洞。否则，当黑客早于内部发现时，资产的安全可能会受到威胁。

“5”典安全事件发生在诈骗和加密诈骗中

印度社会名流Harpret Singh Sahni承认，她参与了一个规模庞大的加密货币诈骗案，并向澳大利亚一家加密公司的投资者出售加密软件，并推销pguc代币。该公司网站经常出现故障，导致用户无法提取现金。三喜可能面临大约24年的监禁。

非营利组织欧洲基金回收倡议（efri）对ing控股的荷兰银行payvision提起诉讼，声称该公司推广欺诈性投资计划，并向加密货币公司提供服务，导致投资者损失超过7500万美元。该组织代表数百名受害者要求赔偿。根据efri提供的文件，cryptopoint涉嫌与诈骗有关。

北京时间11月5日有报道称，一名伪装成埃隆·马斯克的黑客在回复特朗普推特时欺骗了虚拟货币用户。黑客使用的账户经过twitter认证，用户名为“Elon Musk”。他回复特朗普有关总统大选的推特，几个小时内赚了25万美元。

11月9日，有报道称，欺诈者使用假域名盗取了不同用户的约110万个XRP，目前价值超过28万美元。

11月17日，澳大利亚证券投资委员会（ASIC）宣布，bitconnect前创始人约翰·路易斯·安东尼·比格顿（John-Louis Anthony bigaton）被控参与一个加密货币项目，被控诈骗投资者数百万美元。

“5”典安全事件发生在勒索软件/挖矿木马中

11月3日，腾讯主机安全（cloud mirror）抓获了一个挖矿木马组织z0miner利用Weblogic的未授权命令执行漏洞（cve-2020-14882/14883）发动的攻击。通过对云服务器的批量扫描，该团伙发现具有Weblogic漏洞的机器植入了Monroe coin mining木马。

11月初，游戏巨头Capcom遭到一个名为Ragnar locker的组织开发的勒索软件的攻击。安全专家pancak3lullz说，Ragnar locker使用加密技术锁定了Capcom网络上的2000台设备，并要求价值1100万美元的比特币赎金，包括文件夹、护照、销售报告、银行对账单、合同和一个大战略信息数据库。

11月1日，意大利**葡萄酒生产商坎帕里集团遭到黑客勒索。公司的重要文件、合同和银行信息被盗。黑客敲诈了价值1500万美元的比特币。

比特币勒索软件Pay2key攻击了几家以色列公司。据悉，每一家受害公司泄露的数据都被上传到网站上的特定文件夹，信息由攻击者定制。

“BCH爱好者李小龙”说，bcha公链受到攻击。这种攻击是一种双管齐下的攻击（可能是同一个人），而bcha网络中会产生大量的空块。

共发生“1”起典的暗黑网络安全事件

美国司法部查获了10亿美元与黑暗网络“丝绸之路”有关的比特币。它在一份声明中说，被没收的加密货币与美国查获的**加密货币“黑暗丝绸之路”有关。当局从一名黑客那里缴获了比特币，他们在一份声明中称此人为个人X。

其他5个典区域发生安全事故

就在11月2日上市后几个小时，Axion网络合同出现铸造漏洞，50万美元被盗。他们甚至建议用户避免立即购买axn代币，远离网络仪表板。一位twitter用户指出，790亿axn是意外投下并出售的。

针对账本钱包所有者的网络钓鱼和欺诈行为正在增加。其中一个骗局从受害者那里得到了超过115万的XRP。该诈骗利用网络钓鱼邮件，将用户引向一个伪造的账本网站，诱使受害人下载冒充安全更新的恶意软件，导致账本钱包余额被盗。

根据reddit的说法，一群“主动管理”的恶意节点试图通过Sybil攻击来干扰和破坏monero网络，以获取monero区块链上用户的信息。

格林在11月9日遭受了51%的攻击。一个未知实体控制着超过57%的网络算力。根据grin的说法，研究小组建议人们等待“额外确认支付的最终性”。

最近，coin security和美国司法部合作，起诉了两名涉嫌在2018年3月对coin security网站发动攻击的人。

针对成都安全链安全新形势

整体来看，11月份区块链安全事件数高于10月份，整体安全事件数处于中等水平。

就本月的DeFi项目而言，与上月相比，安全事件有所增加。在一次又一次的黑客攻击下，DeFi领域的整体安全形势不容乐观。

成都链家安全在此呼吁广大项目方在项目上线前做好一整套安全排查工作，并在项目上线后进行定期检查，以减少代码漏洞等问题，避免不必要的损失。