DEF:成都链安：3月发生典型安全事件超23起，虚拟货币跑路与加密局事件波澜再起

据成都链安安全舆情监控数据显示：2021年3月，据不完全统计，整个区块链生态发生的典型安全事件超23起，整体安全风险评级为。需要引起注意的是，3月与典型安全事件频发，较2月呈现出明显增长态势。

纵观3月发生的典型安全事件，暴露出来的安全风险依然不容忽视，多个DeFi项目遭到黑客攻击，所造成的巨额经济损失严重影响着区块链生态的安全和稳定。另外，随着虚拟货币的普及程度和财富效益逐步攀升，本月的相关事件波澜再起，亟需重点关注。

以下为本月安全月报的详细事项。

交易所方面，共发生『1』起典型安全事件

01

去中心化资产管理平台CookProtocol在推特上发布警示称，目前出现了一些假冒CookProtocol的团体、渠道和流动性池。官方表示，CookProtocol还没有上线Uniswap，请用户当心。?

DeFi方面，共发生『8』起典型安全事件

01

成都链安：hackerDao项目遭受价格操控攻击，获利资金已转至Tornado.cash:金色财经消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，hackerDao项目遭受价格操控攻击。成都链安安全团队第一时间进行分析，发现攻击者先从先闪电贷借出2500WBNB，拿出部分WBNB兑换出大量hackerDao，然后将这笔hackerDao发送WBNB/hackerDao；并调用该交易对合约的skim函数将多余代币领取至BUSD/hackerDao。由于hackerDao代币在转账时，如果转账接收地址是BUSD/hackerDao时，会同步减少发送者的代币余额以收取手续费，因此,WBNB/hackerDao交易对中的hackeDao数量被异常减少，从而影响该交易对的代币价格，使得攻击者最终利用WBNB/hackerDao兑换出WBNB时，获取额外的收益。目前攻击者实施了两次攻击，总计获利约200BNB，已经转至Tornado.cash 。[2022/5/24 3:38:37]

社群信息显示，DeFi项目MeerkatFinance金库合约遭遇黑客攻击，黑客利用漏洞盗取了金库中的全部资金价值约3100万美元的BNB代币。目前该项目网站已经无法打开。?

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

02

动态 | 成都链安: 今日被盗巨鲸用户可能遭到了持续性攻击:金色财经消息，今日被曝被盗至少1500BTC和约6万BCH的大户可能早就被黑客选为攻击目标，被盗地址1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone自2018年1月23日起共收到5423枚BTC，其中绝大数来自长期持有BTC占据大户榜前50的地址1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh。2019年2月8日，用户生成了一笔金额为1662.4的巨额utxo并在19年多次使用该笔资金拆出小额进行交易，我们猜测黑客可能通过该地址与1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh的资金联系等确认了用户的身份，黑客可能在19年就确定了目标并进行了持久化的社会工程学攻击。攻击者在攻击得手后立刻开始了混币和资金转移，值得注意的是攻击者用于拆分资金的两个地址之一在19年颇为活跃，经成都链安AMl系统分析发现其中部分资金来自币安等交易所，这些交易所可能有相关提币记录，成都链安正在跟踪这一线索。[2020/2/22]

去中心化金融应用程序PaidNetwork的合约代币铸造功能因漏洞被利用，已错误铸造了6000万枚PAID代币。

动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商（VASP）监测交易风险、执行反合规程序，帮助监管部门监督VASP合规流程执行情况，帮助执法部门快速收集虚拟资产犯罪案件证据，为受害者提供技术协助，成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务，受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后，可在网站提交相关信息，平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统，采集链上交易数据，分析加密货币犯罪和安全事件，结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]

03

DeFi门户网站DeFiBox.com项目监测发现，宣称上线Heco的Heco.cx使用了虚假的媒体快讯，且项目宣传中多处夸大失实，其审计报告疑似造假。

04

去中心化交易所DODO上的wCRES/USDT资金池似乎被黑客攻击，转移走价值近98万美元的WrappedCRES和近114万美元的USDT。

分析 | 成都链安：钱包Safuwallet服务器是否存储了用户的私钥是关键:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事，成都链安在接受金色财经采访时指出：“safuwallet是第三方extension插件钱包，用户资产被盗，主要原因还是私钥被盗，发生了这样的问题，对于钱包服务器而言只要不存储用户的私钥，只做相关交易数据的处理的话，两者之间就没有关系，如果服务器存储了用户的私钥，那黑客就有可能通过攻击服务器获取到用户的私钥。推特消息称是safuwallet被注入了恶意代码，黑客可能先将恶意代码注入到safuwallet中，然后引诱受害者安装钱包，再获取到受害者的私钥后，进行相关代币的转移。事实上，对于非官方钱包，安全性确实不太好保障。对于此类钱包，私钥被盗的时间时有发生。对于这个事件，后续的影响主要是用户的损失、钱包和交易所的声誉。”[2019/10/12]

05

ETH和BSC上的跨链稳定币TrueSeigniorageDollar表示，恶意攻击者利用TSDDAO在其账户中铸造118亿枚TSD代币，并全部在Pancakeswap出售。?

06

北京时间3月15日晚，大量BSC项目前端遭到攻击，推特上开始提醒用户请勿进行合约操作。CreamFinance表示DNS已经被第三方破坏，请不要在网页上输入任何词句；Pancake也表示，遭到了与Cream类似的DNS劫持，请不要使用该网站。

07

Filecoin出现“双花交易”，多家交易所关闭FIL充值通道。此次攻击方法更加隐蔽，是由于Filecoin节点特性所引起。

08

DeFi聚合理财服务SIL.Finance发文称，在发现智能合约因存在高危漏洞而无法提现后，经过多方36小时的努力，已经追回1215万美元，并且挽救一个多签钱包地址。?

Beosin评论：?

全球范围内，百放齐放的各类DeFi项目正在蓬勃发展，而这些DeFi项目同时又锁着超过百亿的虚拟货币资产，无疑将成为黑客开展各类攻击的重灾区。成都链安认为，DeFi领域目前尚处于发展阶段，各大项目方一定要确保上线前做好代码审计工作，防微杜渐。

MaticNetwork）在推特上发布警告称，谷歌Play商店提供了一款假冒的“MaticWallet”应用程序。此恶意应用程序与MaticNetwork或Polygon无关。

02

3月2日，有人向一个名为“ElonMusk”的钱包地址发送了5枚BTC，价值约24.3万美元。

03

美国司法部宣布瑞典公民RogerNils-JonasKarlsson对证券欺诈，电汇欺诈和指控表示认罪。他因电汇欺诈和证券欺诈指控而面临最高20年的监禁，而对指控则面临20年的最高刑期。

04

印度班加罗尔一名38岁的私立大学讲师RameshJ向报告称，自己在加密交易平台CoinSwitchKuber遭遇加密，损失了价值100万卢比的比特币。

05

英国英格兰兰开夏郡表示，五名犯罪嫌疑人利用由澳大利亚CaseyBlockServices运营的名为Coinspot的公司的漏洞进行虚拟货币，金额2000万英镑。?

06

美国纽约联邦法官MaryKayVyskocil已同意美国CFTC关于加密计划Control-Finance创始人BenjaminReynolds存在欺诈行为的裁决，并命令他支付4.29亿美元的罚款和1.43亿美元的赔偿金，总计5.72亿美元。

07

3月31日，一款设计得像正版应用的比特币应用被苹果的应用商店审核团队接受，最终让iPhone用户PhillipeChristodoulou损失了17.1个比特币，被盗时价值高达60多万美元。?

Beosin评论：

区块链技术及虚拟货币日益普及，推动了越来越多的人对新兴领域的关注，也让者和投机者萌生出新型犯罪方式，各类基于区块链技术和虚拟货币的局应运而生。成都链安在此提醒，时刻提供警惕，不要盲目轻信和跟风。

勒索软件/挖矿木马方面，共发生『2』起典型安全事件

01

NiceHash警告该平台的矿工立刻停止使用Phoenix挖矿插件。NiceHash风险控制团队发现，Phoenix挖矿软件已经无法正常地从其原来的下载地址进行下载，来自新下载地址的Controlshasum与开发者在其频道发布的值不一致。

02

知名电脑厂商宏碁遭遇勒索软件团伙REvil的攻击，要求支付高达5000万美元的XMR，以解密公司的电脑，并且不在暗网上泄露数据。

暗网方面，共发生『1』起典型安全事件

01

美国司法部宣布，经营DeepDotWeb的TalPrihar对串谋实施活动认罪。根据司法部的指控，Prihar使用新闻网站DeepDotWeb投放广告，将读者定向到各种暗网市场。他们说，Prihar根据点击进入市场的客户，在此类广告的回扣中赚了大约8155枚比特币。?

其他方面，共发生『4』起典型安全事件

01

3月1日，支持比特币的社交网络平台Gab的70GB数据遭黑客入侵，被黑客入侵的数据包含公共帖子、个人资料和密码、以及私人账户的帖子和消息。

02

白帽黑客TahaKarim检测到比特币钱包Electrum的macOS版本被入侵。攻击者向Electrum/util.py和Electrum/storage.py存储库中注入了恶意代码，Electrum的Windows版本也存在同样的问题。

03

NFT指数基金NFTX发起新提案XIP#2，提议向独立安全研究员Samczsun支付50000美元的漏洞赏金，因为Samczsun在NFTX的vault创建合约中发现了一个严重的漏洞。?

04

3月10日，跨链项目Cosmos官方发推文表示，所有CosmosHub验证节点请注意，在Gaiav4.0.x中发现一个严重的安全漏洞，但用户资金没有风险。

鉴于当前区块链生态的安全态势，『成都链安』在此总结：

从总体上来看，3月所发生的典型安全事件总数虽然与2月持平，整体安全风险评级都由成都链安安全团队定级为，但区块链生态中较为关键的两个方面，与，整体安全风险依然严峻。?

不难看出，DeFi的典型安全事件居高不下，DeFi项目仍旧是黑客眼中的重点攻击靶子。在此，我们建议广大项目方一方面要在合约或项目上线之前开展全面和专业的安全审计工作，另一方面也需要联动行业各方力量，搭建一套完善的安全防护和资产追踪机制。

针对跑路/加密局方面，我们建议广大投资者在甄选投资理财产品时，一定要尽可能做好尽调工作，不要盲目跟风，也不要听信所谓的“内幕消息”，或者宣称稳赚不赔的“理财专家”。

标签：DAODEFIDEFHACmdao币违法吗Clever DeFiScarcity DeFiAlphaCar Token

Pol币热门资讯