防伪
的6月份共发生4起安全事故。具体情况如下:
)**的DFI平台平衡器流动性池遭到黑客攻击,损失50万美元。参与分析后,peckshield安全人员很快发现问题的实质是在某些特定场景下,平衡器上的通缩代币与其智能合约不兼容,攻击者可以利用价格偏差创建STA/stop流池并从中获利。(详见peckshield:Defa平台平衡器被黑客攻击的技术拆除全过程)
本次黑客攻击分为四个步骤,具体如下:
1)攻击者通过flash loan从dydx平台借用104331 wHT5;
2)攻击者反复执行swapexcommountin()调用,直到平衡器拥有的大部分sta代币被消耗,然后开始下一次攻击。**,平衡器只有0亿sta。
3)攻击者利用sta代币与平衡器智能合约不兼容,即记账与余额不匹配,耗尽资金池中的其他资产。**,数字资产的利润总额为523616.52。
4)攻击者从dydx偿还闪存贷款并拿走从攻击中获得的数字资产。
2)debank工程师frenzy_uhao今天在twitter上说,黑客再次利用dydx的闪贷攻击平衡器流动性挖矿池中的comp trading pairs,拿走了池中没有收到的comp奖励,共获利10.8HT5。去中心化协议Bancor正式披露了安全漏洞的细节。应该设置为私有函数的Safetransferfrom被定义为公共函数,因此任何人都可以传输代币。幸运的是,没有造成重大的安全损失。漏洞被发现后,该小组进行了白帽攻击,将资金转移到安全地址。6月21日,安全研究员samczsun披露了atomicloans部署的当前合同和贷款**存在两个漏洞。在某些情况下,这两个漏洞可能导致借款人在不偿还贷款的情况下解锁HT4的部分或全部抵押品。
peckshield点评:随着DeFi项目功能越来越多样化,安全隐患逐渐暴露。由于DeFi项目与用户资产关系密切,其安全问题十分严重。由于每个项目都是由不同的团队开发的,他们对产品的设计和实现的理解是有限的,因此集成产品在与第三方平台交互的过程中很可能遇到安全问题,进而遭受敌人的侵害。Peckshield在此建议,在上线前,DeFi项目方应尽量找一个对DeFi各方面产品设计进行深入研究的团队,进行全面的安全审计,以避免潜在的安全风险。
数字钱包安全
6月共发生1起钱包安全事件:
1 1)来自网络安全公司openzeppelin的研究人员报告说,在火币网钱包的银色中发现了一个高风险漏洞。该漏洞允许攻击者接管用户的钱包,尤其是那些没有激活“守卫”功能的人。与此同时,Argent团队迅速修复了漏洞,并联系了受影响的用户。
peckshield评论:数字钱包作为管理私钥的工具,是最接近加密资产的地方。虽然冷钱包是离线钱包,与网络断开连接,但也存在物理攻击和**的风险。对于网络钱包等热门钱包,用户应警惕网络钓鱼和恶意代码注入。
公链安全
6月共发生1起公链安全事件:
1 1)blockstream商业侧链液网被曝存在安全漏洞。由于哈希时间不一致,网络中的重要账户会受到技术漏洞的影响,从而导致数百美元的HT4被盗。目前,blockstream网络管理员通过恢复多重签名合同,暂时查封了存储在liquid network上的870个HT2。
peckshield点评:一旦发现公链条上的漏洞,将对整个链条生态产生巨大影响。因此,公链必须在官方版本上线前做好安全测试和漏洞调查,并寻求第三方安全公司的审计,避免因漏洞威胁而影响公链生态。
勒索相关6月份共发生4起与勒索有关的安全事件:
1 1)安全公司第42单元的研究人员发现,一种新的恶意软件Lucifer正在传播,它是一种旧的加密货币勒索软件的变体。新变种可用于恶意加密货币挖矿,但也可用于DDoS攻击。
2)st工程航空公司的美国子公司遭到勒索软件攻击,该公司及其合作伙伴窃取了1.5tb的敏感数据。早些时候,有报道称黑客迷宫入侵了五家美国律师事务所,并要求HT4支付超过93.3万美元的赎金。此前3月有消息称,加密勒索集团maze声称使用黑客软件攻击保险巨头Chubb。最近在英国肯特服务公司被黑客敲诈。黑客要求为HT2支付80万英镑的赎金,否则公司的数据将在黑暗的互联网上泄露。KCs表示,它没有支付赎金,也没有盗取涉及纳税人的个人资料。
4)鉴于火币网服务费转移的两种异常高价行为,peckshield安全公司的研究人员认为,这可能是由于黑客对韩国山寨交易平台goodcycle的勒索攻击。黑客通过网络钓鱼攻击获得交易平台的部分权利,因此他们通过挥霍gasprice来勒索交易平台。(详情请参阅火币网交易费转账背面:黑客发起的gasprice勒索攻击?火币网天价收费转让真相
peckshield点评:敲诈安全事件一直是影响整个互联网生态的重大隐患,不限于区块链生态。此外,随着加密货币在区块链领域的普及,犯罪分子经常利用火币和其他加密货币更好的匿名性进行勒索和欺诈。
欺诈与运行事件
除上述情况外,6月份还发生了多起欺诈运行事件,如:
1 1)根据peckshield数字资产可视化跟踪平台coinholmes的数据,自6月22日下午以来,plustoken的营运资金发生了变化,转让26316339 HT1、2503 HT4和789533 火币全球最。韩国首尔警方今天对参与火币全球最犯罪的两个匿名数字货币交易平台展开调查。犯罪分子利用多级庞氏骗局骗取受害人的数字货币。433名投资者向警方投诉,1000名投资者没有联系警方。HT5的案例价值4150万美元。被中国媒体广泛报道的伊朗贸易平台bitisis已经出走。多位消息人士指出,背后的真正控制者是中国的欺诈者。他们已经掌握了几家海外交易平台,这些平台声称能够携带砖头和套利来吸收散户投资者的资金,然后再将资金卷起。目前,当地警方已立案。交易平台将用户资产转移到3个地址,其中相关地址已被紧急冻结。
4)bibox的官方公告显示,有不法分子**bibox应用程序,冒充bibox客服诱使用户交易。请保持警惕。环比环球站接到举报称,一家钓鱼诈骗网站冒充火币发布公告,在社区传播“ERD空投活动”惠比全球站郑重声明,惠比没有发布任何有关ERD空投活动的信息。请贸易商提高警惕,并清楚了解汇兑官方网站的地址。
6)Matcha交易平台发布公告称,近期有犯罪分子冒充多个交易平台的客服人员,创建诈骗网站诱导用户交易,或要求将数字资产转移至诈骗网站。MXC Matcha没有官方微信,微信上也没有“MXC Matcha”官方账号。如果以MXC Matcha的名义联系用户,要求将数字资产转移到其他平台,可以通过MXC Matcha官网的客服渠道进行身份验证。近日,山东烟台警方同时关闭了深圳、惠州和合肥的互联网。他们成功打击了一个以“虚拟货币投资”为幌子,利用虚假投资平台进行诈骗的犯罪团伙。涉案金额1400余万元。山东省菏泽市巨野县公安局近日破获一起特大电信网络诈骗案,打掉一批涉嫌以网上贷款、投资“HT2”名义实施电信网络诈骗的团伙。抓获犯罪嫌疑人83人,扣押、冻结涉案资金2700余万元。目前,查封冻结资金3000万元,主要犯罪嫌疑人已被巨野警方移送检察机关审查起诉。近日,南宁一家涉嫌协助电信诈骗犯罪分子洗钱的OTC企业被警方抓获。由此可见,我国美元电汇、加密货币和电信诈骗的结合越来越紧密,可能给普通用户带来更多的卡冻结风险,OTC业务也应加强甄别。根据这份报告,特斯拉6031的前创始人和他的前任创始人space6031正在对公司进行报告。据统计,共有214个HT4发往此类诈骗地址,价值200多万元。(
1)DFI货币市场协议的官方推特说,在公开募股期间,其电报集团恶意劫持,攻击者取代了DMM基金会,以窃取资金。对于那些在代币销售中受骗的人,相应的DMG金额得到赔偿,那些想要确保所有资本损失都得到相应赔偿的人。
peckshield点评:由于用户安全意识和操作规范性不足,各种安全性
原始链接:HTtps://mp.weixin.qq.com
文章标题:Peckshield:6月份共发生20起安全事件,defi的安全问题非常严重
文章链接:https://www.btchangqing.cn/47143.html
更新时间:2021年06月12日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。