11月共发生35起安全事件。为什么迪菲会变成一小群人的狂欢节？

根据peckshield情景感知平台的数据，在过去的一个月里，整个区块链生态中又发生了35起较为突出的安全事件，其危害程度被评为“**”。涉及DeFi的案件13起，钱包安全案件2起，敲诈案件5起，诈骗案件10起，其他攻击案件5起。

黑客猖獗，为什么DeFi会变成一小群人的狂欢节？

牛市过后，DeFi（去中心化金融）一度被誉为支持加密货币，并成为今年真正“头号”投资产品的关键。

根据dapptotal的数据，自去年11月以来，DeFi的总锁定量达到了一个新的高点。

整个DeFi生态系统正在蓬勃发展。然而，另一方面，DeFi却陷入了一种弱代码流行病中。据peckshield称，11月发生了13起与DeFi有关的安全事件，造成近5000万美元的损失。

11月1日，yfi披露了一个新的闪电贷款安全漏洞，团队在1.5小时后移除了该漏洞；

11月2日，在主网只上线几个小时的Axion网络遭到黑客攻击。黑客利用其与质押相关的漏洞伪造了790亿代币axn，导致代币价格短期内下跌*，损失50万美元；

11月6日，pERCentfinance因漏洞冻结了100万美元代币，包括44.6万美元代币、28个wbtc和313个以太坊；

11月7日，peckshield监测到，黑客利用闪贷攻击去中心化的数字银行cheese bank，通过一项交易，凭空套利330万美元；

11月10日，justswap的白名单DeFi项目sharktron被盗价值1000万美元的wave field currency（TRX），wave field United 币安冻结了部分资金；

11月14日，peckshield监测到，黑客利用Akropolis项目中的存储资产验证缺陷，对该合约多次发起重回攻击，凭空发行了大量PoolToken，带走了203万Dai；

11月15日，peckshield监测到，黑客利用value DeFi协议中基于AMM算法的price 预言机（curve）操纵曲线上代币的价格，伪造PoolToken，最终获利540万美元

11月17日，peckshield监测到DeFi协议的源协议稳定币遭到攻击。攻击者利用dydx闪电贷款进行再入攻击，造成ETH和Dai损失770万美元；

11月18日，peckshield监测到DeFi的88英里/小时固定利率贷款协议中存在代码漏洞，该协议仅启动了48小时。攻击者利用该漏洞伪造了一个10万美元/小时的代币

11月22日，peckshield对Defa项目pickle Finance（pickle Finance）进行了监控，V神fa在其微博上对其进行了表扬。由于黑客攻击未经审查的新创建的智能合约漏洞，该公司损失了近2000万美元的Dai；

11月26日，这座建筑遭到预言机的袭击，9000万美元的资产被清算。Compound的巨额清算是由预言机信息源CoinBase pro的Dai价格剧烈波动引起的。利用预言机所依赖的信息源在短时间内操纵价格，误导价格链上的价格，是一种典的预言机攻击；

11月29日，RGT经销商的合同漏洞出现。智能合约DeFi art投资顾问rari capital发布官方推特称，合约漏洞已修复，没有资金损失；

11月30日，流动性挖矿项目sushiswap遭到了一家流动性提供商的攻击，后者在一笔交易中获得了1万至1.5万美元的收益，随后peckshield对修复进行了审查。

区块链世界相信“代码就是法律”。在****上保证了系统的安全性和不被篡改的程度。但是，为什么基于区块链技术的DFI的开发经常会遇到安全问题呢？

佩克希尔德相关负责人分析：“DFI的财务属性很强，与资金紧密相连。安全事件一旦发生，其概率将直接涉及到切身利益，但此类安全问题并非没有解决之道。Defi仍处于开发阶段，在主网线之前，确保对代码进行了彻底的审核和研究。例如，对pickle finance的攻击绕过了对新代码的审计，这给了黑客机会。同类的DeFi受到攻击后，需要及时确认他们的合同是否存在类似漏洞，或者找peckshield等专业审计机构，对类似攻击进行监控。”

数字钱包安全

根据peckshield的统计，11月发生了两起典的钱包安全事件：11月6日，ledger wallet用户因网络钓鱼欺诈损失了110多万XRP。欺诈者利用网络钓鱼电子邮件将用户引向一个伪造的账本网站，并欺骗用户下载伪装为安全更新的恶意软件，导致所有账本钱包余额被盗。

11月9日，electronsv的多重签名方案出现严重缺陷，导致用户盗取600辆BSV。

其他攻击

此外，11月还发生了一些其他袭击事件：

11月3日，挖矿特洛伊木马组织zminer利用Weblogic的未经授权的命令执行漏洞（cve-2020-14882/14883）入侵5000台服务器。通过分批扫描云服务器，该团伙发现存在Weblogic漏洞的机器，并发送精心构建的数据包进行攻击。之后，执行远程命令下载shell脚本z0.txt运行，然后使用shell脚本植入loocoin挖矿木马，本地持久化挖矿任务，并通过爆破SSH水平移动；

11月8日，grin网络遭到51%的攻击；

11月11日，恶意节点试图通过Sybil攻击干扰monero网络，获取monero区块链用户信息。据报道，Sybil攻击是一种针对P2P网络的恶意攻击。个人或组织试图通过控制多个帐户或具有多个身份的节点来接管网络；

11月19日，挖矿木马4shminer利用漏洞攻击云服务器，控制约1.5万台服务器用于挖矿；

11月21日，bcha链遭到攻击，网络中产生大量空块。

peckshield的一位负责人说：“近年来，针对加密货币的攻击不断增加，安全事件频繁发生。”。对于企业用户来说，一方面加密企业服务器上的文件，要及时对服务器进行安全补丁，避免使用弱密码，关闭不必要的端口；另一方面要加强对钓鱼邮件的拦截，提醒员工不要轻易打开不明邮件，并保持安全软件的运行。对于个人用户，要对未知邮件保持警惕，保持安全软件的运行状态，及时修复电脑漏洞，养成上网的良好习惯，不要使用插件等病毒高发的工具。针对系统漏洞，要养成备份重要文件的习惯，使用U盘、硬盘等存储工具备份重要文件，做到防患于未然。”

欺诈和勒索

随着区块链技术的发展，区块链领域越来越受到人们的关注，这在促进区块链日益普及的同时，也使得各种诈骗手段应运而生。区块链概念包装和传销推动的资金托盘层出不穷。与此同时，黑客和攻击者也将注意力转向加密货币。

据peckshield称，11月发生了10起与欺诈有关的安全事件；

11月1日，kp3r和core的kper和Kore涉嫌诈骗，货币价格暴跌至接近零；

11月2日，上海市虹口区人民检察院对8名利用虚拟货币帮助诈骗分子转移1500余万元的“中间人”提起公诉；

11月3日，宿迁警方破获一起涉及多家商户的中国数字货币诈骗案，涉案金额220万元；

11月6日，涉及区块链的A股上市公司被电信诈骗，损失205万美元（折合人民币1355万元）；

11月10日，南京六合警方破获一起涉及比特币的诈骗案，抓获涉案人员10人，追缴诈骗款10万余元；

11月12日，常州出现“罗源汇”平台诈骗案，警方提醒防范“变种”诈骗；

11月14日，山东忻州警方破获“深交所数字货币兑换”诈骗案，涉案金额1000余万元；

11月16日，泉州市举报马克交易所交易欺诈案，涉案金额25亿元；

11月20日，江苏警方破获柬埔寨水晶国际区块链诈骗案，涉案金额1000余万元；

11月23日，黑河鹤岗公安分局成功破获一起特大网络传销“哥伦布猫虚拟货币”案，涉案金额近3亿元；

据peckshield称，11月发生了5起与勒索有关的安全事件；

11月1日，黑客入侵芬兰vastaamo心理治疗中心，窃取芬兰公众心理治疗记录，敲诈比特币；

11月3日，江苏启东警方破获一起比特币敲诈病毒案，非法获利比特币 100余台，折合每人500余万元；

11月7日，游戏巨头Capcom遭到勒索软件攻击，黑客索要1100万美元比特币赎金；

11月12日，黑客袭击了意大利葡萄酒Maker坎帕里（Campari），窃取了重要文件、合同和银行信息，并要求比特币支付1500万美元赎金；

11月13日，比特币勒索软件pay2key攻击了几家以色列公司；

由于加密货币的匿名性、链中资产转移路径复杂、技术跟踪难度大，相关部门对加密资产的跟踪和监管难度较大。近年来，国内外反洗钱政策的监管要求不断提高，加密资产监管工作进一步推进。