DEFI:成都鏈安：“黑色5月” 本月發生典型安全事件超32起

2021年5月盤點

據成都鏈安[鏈必安-區塊鏈安全態勢感知平臺（Beosin-Eagle Eye）]安全輿情監控數據顯示：2021年5月，據不完全統計，整個區塊鏈生態發生的典型安全事件超32起，整體安全風險評級為[高]。本月，盡管其余方面的典型安全事件有所緩和，但[DeFi方面]成為典型安全事件頻發的“重災區”，需高度警惕；幣安智能鏈（BSC）首當其沖，成為黑客發動閃電貸攻擊的“主戰場”。

多起BSC鏈上項目在5月集中“暴雷”，業界稱為“黑色5月”，而這也是DeFi歷史上當前所遭受的攻擊頻次最高、損失最大的一個月。據初步統計，所造成的經濟損失約達3億美元。典型安全事件的頻頻發生，也直接引發了多種虛擬資產幣價閃崩。這個5月，對于投資者、項目方，乃至整個DeFi生態來說，都是空前“灰暗”的一個月。

以下為本月安全月報的詳細事項。

交易所方面

共發生『1』起典型安全事件

01

Hotbit交易所遭到攻擊者攻擊，導致一些基本服務癱瘓，Hotbit團隊將關閉所有服務7天以上，以進行檢查和恢復。

成都鏈安：GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息，據成都鏈安安全輿情監控數據顯示，GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣，攻擊者惡意調用了depositFromOtherContract函數記賬，并憑空提取了GYM token，目前2000BNB已進了Tornado Cash，3000BNB存放在攻擊賬戶中，價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]

DeFi方面

共發生『14』起典型安全事件

5月2日，DeFi項目Spartan遭遇閃電貸攻擊，導致3,000萬美元損失。

02

5月7日，ValueDeFi被黑客攻擊，IRONFinance的部分池和產品受到攻擊，導致STEELLP代幣可能耗盡。

03

DeFi收益聚合器RariCapital遭到黑客攻擊，導致價值超過1471萬美元的ETH損失。

成都鏈安：2022年第1季度區塊鏈安全生態造成的損失達到12億美元:4月20日消息，成都鏈安統計數據顯示，加密行業2022年第1季度安全事件造成的損失達到12億美元。[2022/4/20 14:36:00]

04

DeFi協議xToken遭遇閃電貸攻擊，導致2450萬美元的損失。

05

5月16日，bEarn Fi遭到攻擊，導致近1100萬美元的損失。

06

5月19日，BSC最大借貸平臺VENUS發生大額清算。目前給Venus平臺造成了1億多美元的壞賬。

07

5月20日，DeFi收益聚合器PancakeBunny遭到閃電貸攻擊，損失約4500萬美元的WBNB和BUNNY。

08

鏈上期權協議FinNexus疑似被攻擊。導致黑客通過某個地址在以太坊上鑄造了3.23億枚FNX，價值600萬美元，在BSC上鑄造了6000萬枚FNX，價值160萬美元。

成都鏈安：Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示，Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<- 主要漏洞，造成本次攻擊的根本原因。2.函數未做防重入攻擊；<- 次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。針對這兩個問題，成都鏈安在此建議項目方應做好下面兩方面：1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

09

Bogged Finance官方表示，黑客對BOG代幣合約進行了閃電貸攻擊，目前已禁用交易費。

巧克力COCO智能合約已通過Beosin(成都鏈安）安全審計:據官方消息，Beosin（成都鏈安）近日已完成巧克力coco智能合約項目的安全審計服務。據介紹，巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議，訂單簿DEX，智能挖礦等等功能的創新和聚合，進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募，社區高度自治。合約地址：THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號：202010042149[2020/10/5]

10

AutoSharkFinance遭閃電貸攻擊，幣價出現閃崩，跌幅一度超過99%。

11

Merlin疑似遭到攻擊。據悉，項目方貌似已暫時暫停了MERL代幣的鑄造。

12

BurgerSwap疑似遭遇閃電貸攻擊，被盜約330萬美元的Burger。

13

5月28日，JulSwap遭到閃電貸攻擊，$JULB短時跌幅逾 95%。

動態 | 成都鏈安推出Beosin-AML虛擬資產調查取證和反洗錢合規系統:為幫助虛擬資產服務商（VASP）監測交易風險、執行反洗錢合規程序，幫助監管部門監督VASP合規流程執行情況，幫助執法部門快速收集虛擬資產犯罪案件證據，為受害者提供技術協助，成都鏈安科技推出可視化的虛擬資產合規監測和調查取證分析系統Beosin-AML。系統上線技術援助服務，受害者被盜幣或不慎參與了跑路盤、資金盤等非法項目后，可在網站提交相關信息，平臺開展調查、分析和追蹤等取證服務。成都鏈安Beosin-AML虛擬資產調查取證和反洗錢合規系統，采集鏈上交易數據，分析加密貨幣犯罪和安全事件，結合機器學習模型綜合分析鏈上交易的合規和安全風險。幫助區塊鏈行業建立合法、合規的應用生態。[2019/12/10]

14

5月30日，BSC鏈上結合多策略收益優化的AMM協議Belt Finance遭到閃電貸攻擊。

Beosin評論

BSC鏈上項目5月頻頻“暴雷”，損失慘重，這足以向BSC、DeFi，乃至整個區塊鏈生態敲響警鐘。通過復盤各起典型安全事件的共性，不難發現，“閃電貸攻擊”是黑客采取的最主要的攻擊手法；且攻擊金額普遍較大，至少6個項目的損失金額都已超過1000萬美元。

在此，成都鏈安（Beosin）·安全團隊鄭重呼吁，后續DeFi項目方需著重防范與“閃電貸”相關的攻擊。安全審計、安全防護、安全加固此類工作，之于DeFi項目方而言，切記是不可忽視的；有必要時，可聯動第三方安全公司的力量，建立一套完善和專業的風控措施。

詐騙跑路/加密騙局方面

共發生『7』起典型安全事件

GEC環保幣多次被地方政府驅趕和調查，本次幣價大跌后，再次被曝光其涉嫌傳銷。

詐騙團隊在SNL（周六夜現場）的活動詐騙10萬美元的虛擬資產。

有冒充Coingecko團隊成員的人欺騙加密項目方，聲稱付費即可在Coingecko平臺上列出代幣。

一加（OnePlus）聯合創始人Carl Pei的推特賬戶遭到黑客攻擊，并被用于宣傳加密騙局。

西班牙國民警衛隊（Civil Guard）的官方YouTube賬戶受到疑似魚叉式網絡釣魚攻擊，已被XRP詐騙者接管。該賬戶的名稱已更改為“Ripple - XRP Foundation”，并刪除了所有內容。

美國貨幣監理署（OCC）就近期有關加密欺詐電子郵件發出警告稱，沒有發送此類消息，也沒有為個人利益持有任何資金。

基于BSC構建去中心化金融協議DeFi100被曝出是一個騙局，運營者已經騙取了投資者的錢后跑路。

本月，雖然[DeFi方面]安全形勢嚴峻，但依然不能輕視來自[詐騙跑路/加密騙局方面]的安全威脅。成都鏈安（Beosin）·七星實驗室注意到，近期市面上已出現了多起打著“DeFi”旗號，實為傳銷騙局的各種資金盤項目。作為投資者，切記擦亮雙眼，謹防打著“DeFi”旗號的資金盤傳銷騙局！

勒索軟件/挖礦木馬方面

共發生『3』起典型安全事件

網絡安全軟件公司趨勢科技（Trend Micro）發現了一種新的惡意軟件，名為“熊貓”（Panda）。研究人員稱，加密錢包已與銀行帳戶一樣，都成為了在線盜竊的目標。

Colonial Pipeline上周五向黑客支付了近500萬美元的贖金，而之前的報道稱該公司并無意愿向黑客支付勒索費，以幫助美國輸油管道恢復運營。

新西蘭懷卡托衛生部確認之前網絡攻擊中使用的勒索軟件為“Zeppelin”，衛生部部長對此不予否認。

其他方面

Mask Network的ITO合約遭到機器人攻擊，官方已將地址列入黑名單。

5月6日，Hpool官方稱官網前端遭受DDOS攻擊，暫時不能正常訪問，但不影響挖礦服務。

FeiProtocol開發團隊FeiLabs發現并披露了一個合約漏洞，并立即暫停了該合約。目前該漏洞未被利用，不會影響任何用戶。

吉爾吉斯斯坦國家安全委員會（GKNB）在首都比什凱克和丘伊州打擊非法挖礦行動，突擊搜查并繳獲了2000臺非法虛擬資產采礦設備。

英國突襲伯明翰附近的一個倉庫，發現其是一個相當大的比特幣礦。該比特幣礦機是由非法從主電源中分離出來的電力驅動，設備已被扣押。

一名加利福尼亞男子承認經營無牌匯款業務、洗錢和未能維持有效的反洗錢計劃，被美國沒收了價值約125萬美元的比特幣（18.4枚）和以太坊（222.5枚）。

以太坊核心開發人員發現了EIP-1559中的一個重大漏洞，目前開發人員已經向EIP-1559添加了四項檢查，并修復了該漏洞。

鑒于當前區塊鏈生態的安全態勢，『成都鏈安』在此總結：

從總體上來看，5月典型安全事件較4月顯著上升。事件總數突破“30”關口，整體安全風險由[低]陡升為[高]。尤其是在[DeFi方面]，一連串的黑客攻擊、頻頻發生的安全事件、超3億美元的資金損失，無疑對整個DeFi生態的安全秩序造成了災難性打擊。

嚴峻形勢之下，成都鏈安（Beosin）·安全團隊注意到，在Pancakebunny遭到閃電貸攻擊之后，其BSC鏈上諸如Merlin、AutoSharkFinance等仿盤也相繼“淪陷”，這足以說明FORK項目未對原項目有深入的理解，在更新代碼的過程中亦引入了新的安全風險。

DeFi作為一種創新的金融模式，如何在“創新”與“安全”方面找尋一個平衡點，做到兼顧與并行，需要廣大DeFi項目開發者深刻反思。在此，我們建議廣大項目方切記做好相關安全防護建設，對存在異常操作進行實時監控，即刻發現，即刻解決！作為用戶，也應當增強自身安全意識，防范安全風險，避免造成經濟損失。

Tags：DEFIDEFEFISINWDEFI價格PeakDeFiCEFI幣sinoc幣最新消息

火必下載