EFI:成都链安：“黑色5月” 本月发生典型安全事件超32起

2021年5月盘点

据成都链安[链必安-区块链安全态势感知平台（Beosin-Eagle Eye）]安全舆情监控数据显示：2021年5月，据不完全统计，整个区块链生态发生的典型安全事件超32起，整体安全风险评级为[高]。本月，尽管其余方面的典型安全事件有所缓和，但[DeFi方面]成为典型安全事件频发的“重灾区”，需高度警惕；币安智能链（BSC）首当其冲，成为黑客发动闪电贷攻击的“主战场”。

多起BSC链上项目在5月集中“暴雷”，业界称为“黑色5月”，而这也是DeFi历史上当前所遭受的攻击频次最高、损失最大的一个月。据初步统计，所造成的经济损失约达3亿美元。典型安全事件的频频发生，也直接引发了多种虚拟资产币价闪崩。这个5月，对于投资者、项目方，乃至整个DeFi生态来说，都是空前“灰暗”的一个月。

以下为本月安全月报的详细事项。

交易所方面

共发生『1』起典型安全事件

01

Hotbit交易所遭到攻击者攻击，导致一些基本服务瘫痪，Hotbit团队将关闭所有服务7天以上，以进行检查和恢复。

成都链安：WienerDogeToken遭遇闪电贷攻击事件分析:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，WienerDogeToken遭受闪电贷攻击。成都链安安全团队对此事件进行了简要分析，分析结果如下：攻击者通过闪电贷借贷了2900个BNB，从WDOGE和BNB的交易对交换了5,974,259,851,654个WDOGE代币，然后将4,979,446,261,701个代币重新转入了交易对。这时攻击者再调用skim函数，将交易对中多余的WDOGE代币重新提取出来，由于代币的通缩性质，在交易对向攻击地址转账的过程中同时burn掉了199,177,850,468个代币。这时交易对的k值已经被破坏，攻击者利用剩下WDOGE代币将交易对内的2,978个BNB成功swap出来，并且将获利的78个BNB转到了获利地址。

这次攻击事件中，攻击者利用了代币的通缩性质，让交易对在skim的过程中burn掉了一部分交易对代币，破坏了k值的计算。成都链安安全团队建议项目上线前最好进行安全审计，通缩代币在与交易对的交互时尽量将交易对加入手续费例外。[2022/4/26 5:11:33]

DeFi方面

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

共发生『14』起典型安全事件

5月2日，DeFi项目Spartan遭遇闪电贷攻击，导致3,000万美元损失。

动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商（VASP）监测交易风险、执行反合规程序，帮助监管部门监督VASP合规流程执行情况，帮助执法部门快速收集虚拟资产犯罪案件证据，为受害者提供技术协助，成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务，受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后，可在网站提交相关信息，平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统，采集链上交易数据，分析加密货币犯罪和安全事件，结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]

02

5月7日，ValueDeFi被黑客攻击，IRONFinance的部分池和产品受到攻击，导致STEELLP代币可能耗尽。

03

DeFi收益聚合器RariCapital遭到黑客攻击，导致价值超过1471万美元的ETH损失。

动态 | 成都链安面向联盟链推出“一站式”安全平台:据官方消息，成都链安面向联盟链安全需求推出“一站式”安全解决方案，为联盟链生态提供从安全设计、开发、安全检测到运行时安全监控和管理等全方位的安全服务与支持。

?

“一站式”安全平台主要包括：支持FISCO-BCOS、Fabric、以太坊、EOS等多个平台的“一键式”智能合约自动形式化验证工具Beosin-VaaS；Beosin-IDE智能合约开发工具；Beosin-Eagle Eye安全态势感知系统；Beosin-Firewall防火墙；Beosin-OSINT 威胁情报系统；安全审计与检测；安全顾问等服务。

?

成都链安作为最早专门从事区块链安全的公司之一，核心团队在安全领域深耕18年，申请区块链安全相关软件发明专利和著作权15项。平台推出以来，已为微众银行区块链、布比、云象、益链等多个联盟链平台提供了全套的“一站式”安全解决方案和安全防护。[2019/11/28]

04

DeFi协议xToken遭遇闪电贷攻击，导致2450万美元的损失。

05

声音 | 成都链安：使用链上合约轮询开奖机制可能具有安全风险:今日早晨7点半，成都链安态势感知系统鹰眼对某游戏合约交易发出预警，我们的安全人员对该预警进行分析发现，攻击者正在使用一种新的途径获得随机数种子，并通过合约不断发起延时交易，尝试预先计算或者得到游戏合约的开奖参数，安全团队已通知项目方进行确认，建议具有类似基于线上合约定时开奖模式的项目方及时自查，避免遭到损失。望项目方看到本预警消息能够及时联系我们。[2019/6/12]

5月16日，bEarn Fi遭到攻击，导致近1100万美元的损失。

06

5月19日，BSC最大借贷平台VENUS发生大额清算。目前给Venus平台造成了1亿多美元的坏账。

07

5月20日，DeFi收益聚合器PancakeBunny遭到闪电贷攻击，损失约4500万美元的WBNB和BUNNY。

08

链上期权协议FinNexus疑似被攻击。导致黑客通过某个地址在以太坊上铸造了3.23亿枚FNX，价值600万美元，在BSC上铸造了6000万枚FNX，价值160万美元。

09

Bogged Finance官方表示，黑客对BOG代币合约进行了闪电贷攻击，目前已禁用交易费。

10

AutoSharkFinance遭闪电贷攻击，币价出现闪崩，跌幅一度超过99%。

11

Merlin疑似遭到攻击。据悉，项目方貌似已暂时暂停了MERL代币的铸造。

12

BurgerSwap疑似遭遇闪电贷攻击，被盗约330万美元的Burger。

13

5月28日，JulSwap遭到闪电贷攻击，$JULB短时跌幅逾 95%。

14

5月30日，BSC链上结合多策略收益优化的AMM协议Belt Finance遭到闪电贷攻击。

Beosin评论

BSC链上项目5月频频“暴雷”，损失惨重，这足以向BSC、DeFi，乃至整个区块链生态敲响警钟。通过复盘各起典型安全事件的共性，不难发现，“闪电贷攻击”是黑客采取的最主要的攻击手法；且攻击金额普遍较大，至少6个项目的损失金额都已超过1000万美元。

在此，成都链安（Beosin）·安全团队郑重呼吁，后续DeFi项目方需着重防范与“闪电贷”相关的攻击。安全审计、安全防护、安全加固此类工作，之于DeFi项目方而言，切记是不可忽视的；有必要时，可联动第三方安全公司的力量，建立一套完善和专业的风控措施。

跑路/加密局方面

共发生『7』起典型安全事件

GEC环保币多次被地方政府驱赶和调查，本次币价大跌后，再次被曝光其涉嫌。

团队在SNL（周六夜现场）的活动10万美元的虚拟资产。

有冒充Coingecko团队成员的人加密项目方，声称付费即可在Coingecko平台上列出代币。

一加（OnePlus）联合创始人Carl Pei的推特账户遭到黑客攻击，并被用于宣传加密局。

西班牙国民警卫队（Civil Guard）的官方YouTube账户受到疑似鱼叉式网络钓鱼攻击，已被XRP者接管。该账户的名称已更改为“Ripple - XRP Foundation”，并删除了所有内容。

美国货币监理署（OCC）就近期有关加密欺诈电子邮件发出警告称，没有发送此类消息，也没有为个人利益持有任何资金。

基于BSC构建去中心化金融协议DeFi100被曝出是一个局，运营者已经取了投资者的钱后跑路。

本月，虽然[DeFi方面]安全形势严峻，但依然不能轻视来自[跑路/加密局方面]的安全威胁。成都链安（Beosin）·七星实验室注意到，近期市面上已出现了多起打着“DeFi”旗号，实为局的各种资金盘项目。作为投资者，切记擦亮双眼，谨防打着“DeFi”旗号的资金盘局！

勒索软件/挖矿木马方面

共发生『3』起典型安全事件

网络安全软件公司趋势科技（Trend Micro）发现了一种新的恶意软件，名为“熊猫”（Panda）。研究人员称，加密钱包已与银行帐户一样，都成为了在线盗窃的目标。

Colonial Pipeline上周五向黑客支付了近500万美元的赎金，而之前的报道称该公司并无意愿向黑客支付勒索费，以帮助美国输油管道恢复运营。

新西兰怀卡托卫生部确认之前网络攻击中使用的勒索软件为“Zeppelin”，卫生部部长对此不予否认。

其他方面

Mask Network的ITO合约遭到机器人攻击，官方已将地址列入黑名单。

5月6日，Hpool官方称官网前端遭受DDOS攻击，暂时不能正常访问，但不影响挖矿服务。

FeiProtocol开发团队FeiLabs发现并披露了一个合约漏洞，并立即暂停了该合约。目前该漏洞未被利用，不会影响任何用户。

吉尔吉斯斯坦国家安全委员会（GKNB）在首都比什凯克和丘伊州打击非法挖矿行动，突击搜查并缴获了2000台非法虚拟资产采矿设备。

英国突袭伯明翰附近的一个仓库，发现其是一个相当大的比特币矿。该比特币矿机是由非法从主电源中分离出来的电力驱动，设备已被扣押。

一名加利福尼亚男子承认经营无牌汇款业务、和未能维持有效的反计划，被美国没收了价值约125万美元的比特币（18.4枚）和以太坊（222.5枚）。

以太坊核心开发人员发现了EIP-1559中的一个重大漏洞，目前开发人员已经向EIP-1559添加了四项检查，并修复了该漏洞。

鉴于当前区块链生态的安全态势，『成都链安』在此总结：

从总体上来看，5月典型安全事件较4月显著上升。事件总数突破“30”关口，整体安全风险由[低]陡升为[高]。尤其是在[DeFi方面]，一连串的黑客攻击、频频发生的安全事件、超3亿美元的资金损失，无疑对整个DeFi生态的安全秩序造成了灾难性打击。

严峻形势之下，成都链安（Beosin）·安全团队注意到，在Pancakebunny遭到闪电贷攻击之后，其BSC链上诸如Merlin、AutoSharkFinance等仿盘也相继“沦陷”，这足以说明FORK项目未对原项目有深入的理解，在更新代码的过程中亦引入了新的安全风险。

DeFi作为一种创新的金融模式，如何在“创新”与“安全”方面找寻一个平衡点，做到兼顾与并行，需要广大DeFi项目开发者深刻反思。在此，我们建议广大项目方切记做好相关安全防护建设，对存在异常操作进行实时监控，即刻发现，即刻解决！作为用户，也应当增强自身安全意识，防范安全风险，避免造成经济损失。

标签：DEFDEFIEFIEOSDefina FinanceAurusDeFiDeFi.chEOS Crash

fil币价格今日行情热门资讯