12

PeckShield:3月共发生安全事件19起,受损金额百亿元,DeFi安全问题凸显

 4 years ago
source link: https://news.huoxing24.com/20200401174427704236.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 19 起较为突出的安全事件,危害程度评级为「中级」,受损金额达百亿元,涉及 DeFi 2 起、交易所 2 起,智能合约 1 起, 诈骗跑路 14 起等。

DeFi 安全

3月份共发生 2 起 DeFi 安全事件,具体如下:

1)03月12日,由于以太坊 ETH 的价格暴跌,MakerDAO 的大量抵押债仓跌破清算门槛,引发了清算程序执行。由于以太坊网络 gas 费用剧增,导致 MakerDAO 的清算过程完全缺乏竞争,原本应该参与到清算过程中的清算机器人(Keeperbot)因为设置了较低的 gas 值,导致出价受阻,一位清算人(Keeper)在没有竞争者的情况下,以 0 DAI 的出价赢得了拍卖。

MakerDAO 清算拍卖设计的目的,是尽可能以最少的抵押物回收最大的 DAI,这一机制在正常情况下是可以成功运作的。但是当以太坊系统极其拥堵的时候,或者更极端一点来说,只要竞拍的参与度不足,就很容易被恶意 Keeper 以极低报价获得拍卖物。针对此次清算出现的问题,MakerDAO 社区也已紧急讨论了针对清算机制的改进措施。

2)03月26日,Synthetix 的抵押贷款清算功能被发现存在漏洞,具体而言:Synthetix 近期上线了一个合约,用户可以在 3 个月试用期内质押 ETH 获取 sETH,而在试用期结束后,将启动关闭所有贷款功能进行清算,即任意拥有 sETH 的用户都可以通过调用清算接口得到 ETH。然而,该接口的处理逻辑代码存在一个漏洞会导致任意用户直接burn 掉借款人的 sETH 资产并获得 ETH。不过由于该功能处于试用期间,并未造成实际损失。目前, Synthetix 官网的 loan 服务仍处于关闭状态。

PeckShield 点评:随着 DeFi 项目功能越来越多样,其中隐藏的安全问题也逐渐暴露出来,鉴于其与用户资产的紧密联系,DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发,对各自产品的设计与实现理解有限,集成的产品很可能在与第三方平台交互的过程中出现安全问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计,以避免潜在存在的安全隐患。

交易所安全

3 月份共发生 2 起交易所安全事件:

1)03月02日,美国司法部以阴谋洗钱和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。区块链安全公司 PeckShield 第一时间介入追踪研究分析,基于美国司法部仅公布的 20 个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。

分析发现攻击者试图利用 Peel Chain 的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所,如下图所示:

BBBriqq.jpg!web

在完成初步洗钱操作后,攻击者并没有直接转入自己的钱包,而是再次使用 Peel Chain 手法把原始的非法所得 BTC 分批次转入 OTC 交易所进行变现。攻击者每次只从主账号分离出几十个 BTC 存入 OTC 帐号变现,经过几十或上百次的操作,最终成功将数千个 BTC 进行了混淆、清洗。(详情参阅 硬核:解密美国司法部起诉中国OTC承兑商洗钱案件 )

YfmUjaR.jpg!web

2)OMNI 网络发现新型 USDT 假充值手法:黑客采取发行其他类型的代币伪造成 USDT 对交易所或钱包进行 USDT 假充值,当交易所或钱包在检测 USDT 充值时如果没有校验交易中的 propertyid,就会导致假充值情况的发生。

PeckShield 点评:黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。同时,针对假充值等安全问题,交易所应当在确认代币名称和交易状态后再进行转账。

智能合约

3 月份共发生 1 起智能合约安全事件,存在于以太坊网络。具体而言:03月24日,有项目方反映在发布 ERC20 代币后,发现一些来源不明的代币在链上转账。深入分析后发现,是项目方使用的“一键发币”第三方平台存在后门——发币合约创建时存在暗地增发 Token 并窃取的恶劣行为。

PeckShield 点评:项目方在使用第三方服务完成智能合约的开发时,务必在合约上线前做好安全测试,必要时可寻求第三方安全公司完成审计评估,帮助其完成合约上线前攻击测试及基础安全防御部署。

诈骗跑路事件

除上述之外,3月份还发生了多起诈骗跑路事件值得警惕,例如:

1)区块链资金盘“硅谷区块鸡”疑似跑路,涉案金额或达百亿人民币;

2)英国夫妇因使用虚假的 Chrome 浏览器扩展丢失 14,800 枚 XRP;

3)不法分子在各种聊天群发布虚拟货币消息,以疫情防控为由,利用人们投资理财的迫切心理,打着虚拟货币的幌子实施诈骗、非法集资活动;

4)YouTube 上有人冒充 Ripple 的首席执行官推销 5,000 万 XRP 代币的假赠品,以哄骗用户将钱投入类似的空投骗局中。

PeckShield 点评:因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷,钓鱼攻击、诈骗等各类事件就是典型。在此提醒,用户应谨慎保管各类私密信息,任何小的疏忽都可能造成不可挽回的损失。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK