EFI:成都鏈安：3月發生典型安全事件超23起，虛擬貨幣詐騙跑路與加密騙局事件波瀾再起

據成都鏈安安全輿情監控數據顯示：2021年3月，據不完全統計，整個區塊鏈生態發生的典型安全事件超23起，整體安全風險評級為。需要引起注意的是，3月與典型安全事件頻發，較2月呈現出明顯增長態勢。縱觀3月發生的典型安全事件，暴露出來的安全風險依然不容忽視，多個DeFi項目遭到黑客攻擊，所造成的巨額經濟損失嚴重影響著區塊鏈生態的安全和穩定。另外，隨著虛擬貨幣的普及程度和財富效益逐步攀升，本月的相關事件波瀾再起，亟需重點關注。

以下為本月安全月報的詳細事項。交易所方面，共發生『1』起典型安全事件

01去中心化資產管理平臺CookProtocol在推特上發布警示稱，目前出現了一些假冒CookProtocol的團體、渠道和流動性池。官方表示，CookProtocol還沒有上線Uniswap，請用戶當心詐騙。DeFi方面，共發生『8』起典型安全事件

成都鏈安：Wuliangye NFT項目疑似Rug Pull，共獲利70.5個ETH:8月11日，成都鏈安鷹眼監測顯示，Wuliangye NFT項目疑似Rug Pull，官網和社群已關閉。成都鏈安安全團隊通過鏈必追-虛擬貨幣智能研判平臺追蹤發現，有595個地址購買了705個WLY NFT，項目方共獲利70.5個ETH，接著將ETH交換為111316.22個USDT，最終轉入0x28C6c06298d514Db089934071355E5743bf21d60地址（標記為Binance 14）。[2022/8/11 12:18:18]

01社群信息顯示，DeFi項目MeerkatFinance金庫合約遭遇黑客攻擊，黑客利用漏洞盜取了金庫中的全部資金價值約3100萬美元的BNB代幣。目前該項目網站已經無法打開。02去中心化金融應用程序PaidNetwork的合約代幣鑄造功能因漏洞被利用，已錯誤鑄造了6000萬枚PAID代幣。03DeFi門戶網站DeFiBox.com項目監測發現，宣稱上線Heco的Heco.cx使用了虛假的媒體快訊，且項目宣傳中多處夸大失實，其審計報告疑似造假。04去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊，轉移走價值近98萬美元的WrappedCRES和近114萬美元的USDT。05ETH和BSC上的跨鏈穩定幣TrueSeigniorageDollar表示，惡意攻擊者利用TSDDAO在其賬戶中鑄造118億枚TSD代幣，并全部在Pancakeswap出售。06北京時間3月15日晚，大量BSC項目前端遭到攻擊，推特上開始提醒用戶請勿進行合約操作。CreamFinance表示DNS已經被第三方破壞，請不要在網頁上輸入任何詞句；Pancake也表示，遭到了與Cream類似的DNS劫持，請不要使用該網站。07Filecoin出現“雙花交易”，多家交易所關閉FIL充值通道。此次攻擊方法更加隱蔽，是由于Filecoin節點特性所引起。08DeFi聚合理財服務SIL.Finance發文稱，在發現智能合約因存在高危漏洞而無法提現后，經過多方36小時的努力，已經追回1215萬美元，并且挽救一個多簽錢包地址。Beosin評論：全球范圍內，百放齊放的各類DeFi項目正在蓬勃發展，而這些DeFi項目同時又鎖著超過百億的虛擬貨幣資產，無疑將成為黑客開展各類攻擊的重災區。成都鏈安認為，DeFi領域目前尚處于發展階段，各大項目方一定要確保上線前做好代碼審計工作，防微杜漸。

成都鏈安：hackerDao項目遭受價格操控攻擊，獲利資金已轉至Tornado.cash:金色財經消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，hackerDao項目遭受價格操控攻擊。成都鏈安安全團隊第一時間進行分析，發現攻擊者先從先閃電貸借出2500WBNB，拿出部分WBNB兌換出大量hackerDao，然后將這筆hackerDao發送WBNB/hackerDao；并調用該交易對合約的skim函數將多余代幣領取至BUSD/hackerDao。由于hackerDao代幣在轉賬時，如果轉賬接收地址是BUSD/hackerDao時，會同步減少發送者的代幣余額以收取手續費，因此,WBNB/hackerDao交易對中的hackeDao數量被異常減少，從而影響該交易對的代幣價格，使得攻擊者最終利用WBNB/hackerDao兌換出WBNB時，獲取額外的收益。目前攻擊者實施了兩次攻擊，總計獲利約200BNB，已經轉至Tornado.cash 。[2022/5/24 3:38:37]

成都鏈安：8ight Finance項目疑似私鑰泄露，資金總損失接近100萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，8ight Finance項目方疑似私鑰泄露導致被攻擊，資金已從tornado轉移出去，資金總損失：868587 DAI，123621 1USDT，10843 EIGHT，80 ONE.[2021/12/8 12:58:37]

詐騙跑路/加密騙局方面，共發生『7』起典型安全事件

01以太坊側鏈擴容方案Polygon在推特上發布警告稱，谷歌Play商店提供了一款假冒的“MaticWallet”應用程序。此惡意應用程序與MaticNetwork或Polygon無關。023月2日，有人向一個名為“ElonMusk”的詐騙錢包地址發送了5枚BTC，價值約24.3萬美元。03美國司法部宣布瑞典公民RogerNils-JonasKarlsson對證券欺詐，電匯欺詐和洗錢指控表示認罪。他因電匯欺詐和證券欺詐指控而面臨最高20年的監禁，而對洗錢指控則面臨20年的最高刑期。04印度班加羅爾一名38歲的私立大學講師RameshJ向報告稱，自己在加密交易平臺CoinSwitchKuber遭遇加密詐騙，損失了價值100萬盧比的比特幣。05英國英格蘭蘭開夏郡表示，五名犯罪嫌疑人利用由澳大利亞CaseyBlockServices運營的名為Coinspot的公司的漏洞進行虛擬貨幣詐騙，詐騙金額2000萬英鎊。06美國紐約聯邦法官MaryKayVyskocil已同意美國CFTC關于加密詐騙計劃Control-Finance創始人BenjaminReynolds存在欺詐行為的裁決，并命令他支付4.29億美元的罰款和1.43億美元的賠償金，總計5.72億美元。073月31日，一款設計得像正版應用的比特幣詐騙應用被蘋果的應用商店審核團隊接受，最終讓iPhone用戶PhillipeChristodoulou損失了17.1個比特幣，被盜時價值高達60多萬美元。Beosin評論：區塊鏈技術及虛擬貨幣日益普及，推動了越來越多的人對新興領域的關注，也讓詐騙者和投機者萌生出新型犯罪方式，各類基于區塊鏈技術和虛擬貨幣的騙局應運而生。成都鏈安在此提醒，時刻提供警惕，不要盲目輕信和跟風。

QitChain已通過成都鏈安安全審計:據官方消息，分布式搜索引擎項目QitChain已通過區塊鏈安全機構成都鏈安的安全審計。

分布式搜索引擎QitChain是一個基于IPFS的區塊鏈搜索工具，旨在成為Web3.0有效數據信息聚合器，在保障用戶安全隱私的同時帶來更高效、更精準的信息查找。

成都鏈安是領先的區塊鏈安全公司，自成立以來，一直致力于區塊鏈安全的生態建設。[2021/10/25 20:55:41]

勒索軟件/挖礦木馬方面，共發生『2』起典型安全事件

01NiceHash警告該平臺的礦工立刻停止使用Phoenix挖礦插件。NiceHash風險控制團隊發現，Phoenix挖礦軟件已經無法正常地從其原來的下載地址進行下載，來自新下載地址的Controlshasum與開發者在其頻道發布的值不一致。02知名電腦廠商宏碁遭遇勒索軟件團伙REvil的攻擊，要求支付高達5000萬美元的XMR，以解密公司的電腦，并且不在暗網上泄露數據。暗網方面，共發生『1』起典型安全事件

動態 | 成都鏈安：10月發生較典型安全事件共5起:據成都鏈安態勢感知平臺——Beosin?Eagle-Eye統計數據顯示，在過去一個月（10月）中，共發生5起較為典型的安全事件。其中包括：1.EOS鏈上本月內總共發生兩起攻擊事件：一是假EOS攻擊；二是游戲服務器解析參數問題。2.亞馬遜云服務平臺AWS被爆遭到了DDoS攻擊，并因此被迫中斷了服務。3.網頁加密貨幣錢包Safuwallet被黑客通過注入惡意代碼竊取了大量資金，并且殃及幣安。4.Cryptopia被盜資產開始轉移：一部分ETH流入知名DeFi借貸平臺Compound；另有數個ETH流入一個叫做DeFi 2.0的DApp項目。鑒于當前區塊鏈安全新形勢，Beosin成都鏈安在此提醒各鏈平臺需要增強安全意識，重視各類型安全風險，必要時可尋求安全公司合作，通過第三方技術支持，排查安全漏洞，加固安全防線；各錢包項目應進一步做好安全方面的審查，有意識地增強項目系統架構的安全性，并建立完善的應急處理機制。如發生資產損失，可借助安全公司的幫助，進行資產溯源追蹤；用戶在進行投資行為時需謹慎，遠離資金盤，切勿刀口舔血。[2019/10/31]

01美國司法部宣布，經營DeepDotWeb的TalPrihar對串謀實施洗錢活動認罪。根據司法部的指控，Prihar使用新聞網站DeepDotWeb投放廣告，將讀者定向到各種暗網市場。他們說，Prihar根據點擊進入市場的客戶，在此類廣告的回扣中賺了大約8155枚比特幣。其他方面，共發生『4』起典型安全事件013月1日，支持比特幣的社交網絡平臺Gab的70GB數據遭黑客入侵，被黑客入侵的數據包含公共帖子、個人資料和密碼、以及私人賬戶的帖子和消息。02白帽黑客TahaKarim檢測到比特幣錢包Electrum的macOS版本被入侵。攻擊者向Electrum/util.py和Electrum/storage.py存儲庫中注入了惡意代碼，Electrum的Windows版本也存在同樣的問題。03NFT指數基金NFTX發起新提案XIP#2，提議向獨立安全研究員Samczsun支付50000美元的漏洞賞金，因為Samczsun在NFTX的vault創建合約中發現了一個嚴重的漏洞。043月10日，跨鏈項目Cosmos官方發推文表示，所有CosmosHub驗證節點請注意，在Gaiav4.0.x中發現一個嚴重的安全漏洞，但用戶資金沒有風險。

鑒于當前區塊鏈生態的安全態勢，『成都鏈安』在此總結：從總體上來看，3月所發生的典型安全事件總數雖然與2月持平，整體安全風險評級都由成都鏈安安全團隊定級為，但區塊鏈生態中較為關鍵的兩個方面，與，整體安全風險依然嚴峻。不難看出，DeFi的典型安全事件居高不下，DeFi項目仍舊是黑客眼中的重點攻擊靶子。在此，我們建議廣大項目方一方面要在合約或項目上線之前開展全面和專業的安全審計工作，另一方面也需要聯動行業各方力量，搭建一套完善的安全防護和資產追蹤機制。針對詐騙跑路/加密騙局方面，我們建議廣大投資者在甄選投資理財產品時，一定要盡可能做好盡調工作，不要盲目跟風，也不要聽信所謂的“內幕消息”，或者宣稱穩賺不賠的“理財專家”。

Tags：EFI區塊鏈DEFDEFIChargeDeFi區塊鏈域名xDEF2價格definer幣幣幣情

XMR