ELD:PeckShield：11月共發生安全事件35起，DeFi為何淪為一小撮人的狂歡？_TenzShield

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發35起較為突出的DeFi安全事件，危害程度評級為「高級」。涉及DeFi相關13起、錢包安全2起、勒索相關5起，詐騙事件10起、其他攻擊5起。黑客肆虐，DeFi為何淪為一小撮人的狂歡？

牛市來臨之后，DeFi一度被譽為支撐加密貨幣成為今年真正“頭號”投資產品的關鍵。

據DappTotal數據顯示，11月以來，DeFi的總鎖倉量突破新高。整個DeFi生態一副欣欣向榮的景象。然而，另一邊，DeFi正陷入弱代碼流行病的困擾。據PeckShield統計，11月共發生逾13起與DeFi相關的安全事件，造成損失近5000萬美元。

ApeCoin DAO發起新提案AIP-259擬建立一個新的指導委員會:金色財經報道， ApeCoin DAO已發起了一項新提案AIP-259擬建立一個新的指導委員會，以在ApeCoin DAO內部建立明確決策流出，優先考慮并在特定市場開展營銷推廣行動，繼而最大限度發揮ApeCoin DAO的影響力，該指導委員會將負責DAO營銷，并在外部咨詢公司的幫助下或社區成員的幫助下開展研究，如果運行順利則會與2024 年第一季度向ApeCoin DAO提出最終營銷AIP。根據Snapshot信息顯示，該提案將于7月6日結束投票，當前贊成票率高達99.98%。[2023/7/1 22:11:58]

11月1日，YFI披露一個新的閃電貸安全漏洞，團隊在1.5個小時后移除該漏洞；11月2日，主網僅上線幾個小時的AxionNetwork遭到黑客攻擊，黑客利用其質押相關漏洞鑄造790億枚代幣AXN，導致其代幣價格短時下跌100%，并且損失50萬美元；11月6日，PercentFinance因出現漏洞而凍結了100萬美元的代幣，包括44.6萬枚USDC、28枚WBTC和313枚ETH；11月7日，PeckShield監控到黑客利用閃電貸通過一筆交易攻擊一家去中心化數字銀行CheeseBank，憑空套利330萬美元；11月10日，JustSwap白名單DeFi項目SharkTron被竊取價值1000萬美元的波場幣，波場聯合幣安凍結部分資金；11月14日，PeckShield監控到黑客利用Akropolis項目存在的存儲資產校驗缺陷，向合約發起連續多次的重入攻擊，憑空增發大量的pooltokens，擄走203萬枚DAI；11月15日，PeckShied監控到黑客利用ValueDeFi協議中基于AMM算法的價格預言機(Curve)存在的漏洞，操縱Curve上代幣的價格，鑄造pooltokens，最終獲利540萬美元11月17日，PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊，攻擊者利用dYdX的閃電貸進行重入攻擊，因被黑客攻擊未經審核新創建的智能合約漏洞，損失近2000萬美元的DAI；11月26日，Compound遭預言機攻擊，9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的，操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊；11月29日，RGTDistributor的合約出現漏洞，智能合約DeFi智能投顧RariCapital發布官方推特稱已修復合約漏洞，沒有資金丟失；11月30日，流動性挖礦項目SushiSwap遭到流動性提供者攻擊，該攻擊者通過一筆交易中獲取了1至1.5萬美元，隨后該修復通過PeckShield審核。區塊鏈世界信仰“CodeisLaw”，認為代碼即法律，分布式技術可確保數據不可篡改，最大程度地保證系統安全，但現在基于區塊鏈技術開發的DeFi為何頻遭安全問題困擾？PeckShield相關負責人分析道：“DeFi的金融屬性強，與資金綁定緊密，一旦發生安全事件，大概率會直接涉及到切身利益，但此類安全問題并非沒有破解的方法。DeFi還處于發展階段，在主網上線前，一定要確保代碼進行徹底地審計和研究。例如PickleFinance被攻擊的事件，略過了新增代碼的審計，造成黑客有機可乘。同類DeFi被攻擊后，要及時確認自己的合約是否也存在類似的漏洞，或者尋求專業的審計機構，例如PeckShield對同類攻擊進行監控。”數字錢包安全

數字身份生態Aspecta完成350萬美元種子輪融資:金色財經報道，由AI驅動，專注于開發者的數字身份生態Aspecta宣布完成350萬美元種子輪融資，同時公布其旗艦產品 Aspecta ID 的全球公開測試計劃。

Aspecta種子輪融資由A、B兩個階段構成。A階段于2022年4月完成，由真格基金、奇績創壇（原YC China）、UpHonest Capital、耶魯校友基金等機構參與，B階段于2022年11月完成，由HashKey Capital、Foresight Ventures、SNZ Holding、Infinity Ventures Crypto等機構參與，共募資350萬美元。

此外，Aspecta獲得了來自Galxe，Mask Network，DoraHacks，CyberConnect，P12等項目方與生態的戰略投資與捐贈支持。[2023/3/22 13:19:01]

據PeckShield統計，11月份共發生2起典型的錢包安全事件：11月6日，Ledger錢包用戶因釣魚詐騙損失逾110萬枚XRP。詐騙者利用釣魚郵件將用戶引導到一個假冒的Ledger網站上，并誘騙用戶下載了冒充為安全更新的惡意軟件，從而導致Ledger錢包余額悉數被盜。11月9日，ElectrumSV多簽方案出現嚴重漏洞，致使用戶被盜600BSV。其他攻擊

ApeCoin社區發起新提案AIP-175投票，將成立通信專項工作組“ApeComms”:金色財經報道，ApeCoin 社區已發起新提案 AIP-175 投票，該提案將設立一個名為“ApeComms”的社區通信專項工作組，負責為ApeCoin 生態系統中的社區成員提供 AIP 開發援助和相關問題的教育和資源、協助 DAO 管理員工作并拓展 Discord 社區、每周與 AIP 作者進行兩次 Twitter Space 活動。據悉，“ApeComms”創始團隊成員共有 8 名，分別是：Waabam、Lost、Amplify、Vulkan、Halina、SSP、AdventurousApe 和 0xSword，本次投票將于 1 月 12 日結束，當前贊成票比例為 91.84%。[2023/1/6 10:58:47]

除此之外，11月份還發生了多起其他攻擊事件：11月3日，挖礦木馬團伙z0Miner利用Weblogic未授權命令執行漏洞入侵5000臺服務器。該團伙通過批量掃描云服務器發現具有Weblogic漏洞的機器，發送精心構造的數據包進行攻擊。之后執行遠程命令下載shell腳本z0.txt運行，再利用該shell腳本植入門羅幣挖礦木馬、挖礦任務本地持久化，以及通過爆破SSH橫向移動；11月8日，GrinNetwork遭到51％攻擊；11月11日，惡意節點試圖通過Sybil攻擊干擾Monero網絡，以獲取有關Monero區塊鏈上用戶的信息。據悉，Sybil攻擊是對P2P網絡的惡意攻擊，個人或組織試圖通過使用多個身份控制多個賬戶或節點來接管網絡；11月19日，挖礦木馬4SHMiner利用漏洞針對云服務器攻擊，已控制約1.5萬臺服務器挖礦；11月21日，BCHA鏈遭攻擊，網絡產生大量空塊。PeckShield相關負責人表示：“近年來，針對加密貨幣的攻擊日益增多，安全事件頻發。對于企業用戶而言，一方面，針對加密企業服務器上的文件，應該及時給服務器打好安全補丁，同時避免使用弱口令，關閉不必要的端口；另一方面，應該加強對釣魚郵件的攔截，提醒員工不要輕易打開來歷不明的郵件，并且保持安全軟件運行狀態。對于個人用戶而言，需要警惕來歷不明的郵件，保持安全軟件運行狀態，及時修復電腦漏洞，并且養成良好的上網習慣，不使用外掛等病高發點的工具。針對系統性漏洞，需要養成對重要文件備份的習慣，使用U盤、硬盤等存儲工具對重要文件進行備份，未雨綢繆，防范于未然。”欺詐&勒索

PeckShield：檢測到BMIZapper存在漏洞，用戶最好及時撤銷ETH配額和權限:3月30日消息，PeckShield發推表示，檢測到BMIZapper存在一個漏洞，提醒用戶及時撤銷ETH配額和權限。撤銷方法如下：1.轉到revoke.cash；2.連接錢包，檢查余額；3.搜索0x4622aff8e521a444c9301da0efd05f6b482221b8，看看是否有批準；4.如果有請及時撤銷批準。[2022/3/30 14:26:13]

隨著區塊鏈技術的發展，以及愈來愈多人對區塊鏈領域的關注，這推動了區塊鏈的日益普及，但也讓各式騙局應運而生，以區塊鏈概念包裝、傳銷方式進行推廣的資金盤層出不窮，同時黑客、攻擊者也在將注意力轉移到加密貨幣上。據PeckShield統計，11月共發生10起欺詐相關安全事件；11月1日，KP3R和CORE的仿盤項目KPER和KORE疑為騙局，幣價短時暴跌幾近歸零；11月2日，上海市虹口區人?檢察院對8名為利用虛擬貨幣協助詐騙分子轉移逾1500萬元錢款的“中間商”提起公訴;11月3日，宿遷破獲數商中國數字貨幣詐騙案，涉案金額達220萬元；11月6日，涉足區塊鏈的A股上市公司斯萊克遭電信詐騙，損失205萬美元(折合人?幣約為1355萬元);11月10日，南京六合破獲一起與比特幣相關的詐騙案，抓獲涉案人員10名，追回詐騙款10萬余元；11月12日，常州涌現“羅?幣交易所”平臺欺詐騙局，提醒謹防“變種”詐騙;11月14日，山?忻州破獲“SZSE數字貨幣交易所”詐騙案，涉案金額逾1000萬元；11月16日，泉州市?舉報MARK交易所交易詐騙，涉案金額高達25億元;11月20日，江蘇破獲柬埔寨水晶國際區塊鏈騙局，涉案金額逾1000萬元；11月23日，黑?江鶴崗市局成功破獲一起“哥倫布CAT虛擬貨幣”特大網絡傳銷案，涉案資金近3億元；據PeckShield統計，11月共發生5起勒索相關安全事件；11月1日，黑客入侵芬蘭Vastaamo心理治療中心竊取芬蘭公?的心理治療記錄，以此勒索比特幣;11月3日，江蘇省啟東破獲一起比特幣勒索病案，非法獲利100多枚比特幣，折合人?幣500多萬元;11月7日，游戲巨頭CAPCOM遭勒索軟件攻擊，被竊取黑客索要1100萬美元的比特幣贖金;11月12日，黑客攻擊意大利酒商金巴利(Campari)，竊取重要文件、合同和銀行信息，并索要1500萬美元比特幣贖金;11月13日，比特幣勒索軟件Pay2Key攻擊多家以色列公司；由于加密貨幣具有匿名性、鏈上資產轉移路徑復雜、技術追蹤難度大，從而加大了相關部?追蹤、監管加密資產的難度。近年來，國內外都在加大AML反洗錢政策的監管要求，進一步推進對加密資產的監管。Peckshield相關負責人表示：“除了法律，目前在技術層面，可通過專業的鏈上追蹤系統對鏈上資產流轉的情況進行實時監控。有關監管部門可在專業安全團隊的輔助下，共同推動加密資產安全有序發展。”

聲音 | PeckShield：4月份以來USDT市場流通量激增3.14億枚:據PeckShield態勢感知平臺數據監測顯示，4月份以來，USDT市場流通量激增：1、Tether Treasury 官方新增發3.14 億枚USDT (Treasury地址的流出和流入數量之差），另面向以太坊網絡新增發 ERC20 USDT 1.7億枚；2、Tether Treasury 官方資金流出總計131次，較上月活躍度環比增加15倍，總計流出額度3.46億枚USDT；3、截至目前，Tether Treasury官方賬戶余額1.74億枚 USDT，較3月底環比減少64.28%；整體而言，目前USDT市場總流通量為23.45億枚 ，占穩定幣市場總份額76.6%，較月初增加4.4%。PeckShield研究人員表示，USDT在穩定幣市場繼續保持統治地位，它的市場流通量大增，可能是加密幣行情回暖，市場對USDT需求量增大造成的。[2019/4/16]

Tags：SHIELDSHIELDEFISHINE價格DeFi Yield ProtocolTenzShieldAmun DeFi Momentum Index

幣贏