DEF:区块链安全 | 3月共发生安全事件19起，DeFi安全问题凸显

编者注：本文作了不改变作者原意的删减。

据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共发生19起较为突出的安全事件，危害程度评级为「中级」，受损金额达百亿元，涉及DeFi2起、交易所2起，智能合约1起，跑路14起等。

DeFi?安全

3月份共发生2起DeFi安全事件，具体如下：

1）03月12日，由于以太坊ETH的价格暴跌，MakerDAO的大量抵押债仓跌破清算门槛，引发了清算程序执行。由于以太坊网络gas费用剧增，导致MakerDAO的清算过程完全缺乏竞争，原本应该参与到清算过程中的清算机器人因为设置了较低的gas值，导致出价受阻，一位清算人在没有竞争者的情况下，以0DAI的出价赢得了拍卖。

桐乡法院等6家单位成立以区块链为核心支撑的“法治联盟链”:6月10日上午，浙江桐乡市举行“法治联盟链”签约仪式。该项目由桐乡市人民法院、桐乡市人民检察院、桐乡市局、桐乡市司法局、桐乡市综合行政执法局和市政务数据办等6家单位共同发起成立, 以区块链技术为核心支撑，通过对行政执法电子数据公证存证、固化保全等手段，强化行政执法全过程可追溯管理，助推形成多方参与、多点见证监督的执法管理新模式，对于推进更高质量法治桐乡和法治政府建设具有重要的意义。此次，桐乡法院等6家单位成立“法治联盟链”，率先将区块链技术运用到执法监督、行政复议、行政诉讼流程管理中，是桐乡市今年加快政府数字化转型、提升执法司法规范化水平的一次积极探索，也为嘉兴推进“区块链+法治”工作提供了先行经验。（嘉兴中级人民法院）[2020/6/11]

MakerDAO清算拍卖设计的目的，是尽可能以最少的抵押物回收最大的DAI，这一机制在正常情况下是可以成功运作的。但是当以太坊系统极其拥堵的时候，或者更极端一点来说，只要竞拍的参与度不足，就很容易被恶意Keeper以极低报价获得拍卖物。针对此次清算出现的问题，MakerDAO社区也已紧急讨论了针对清算机制的改进措施。

声音 | 末日博士：金融科技革命与加密或区块链几乎没有任何关系:末日博士Nouriel Roubini在伦敦举行的CC论坛会议上表示，金融科技革命正在解决金融体系的一些低效率问题。金融科技革命与加密或区块链几乎没有任何关系，而是人工智能、大数据和物联网的结合。他认为加密货币是一个错误的名词，不是会计单位，不是付款方式，也不是价值的存储。比特币公牛和资深的华尔街交易员Tone Vays同意Roubini对传统金融问题的评估，但是他认为比特币是解决方案。Vays还称，除了Craig Wright（澳本聪）以外，我们都是中本聪。（dailyhodl）[2019/10/18]

2）03月26日，Synthetix的抵押贷款清算功能被发现存在漏洞，具体而言：Synthetix近期上线了一个合约，用户可以在3个月试用期内质押ETH获取sETH，而在试用期结束后，将启动关闭所有贷款功能进行清算，即任意拥有sETH的用户都可以通过调用清算接口得到ETH。然而，该接口的处理逻辑代码存在一个漏洞会导致任意用户直接burn掉借款人的sETH资产并获得ETH。不过由于该功能处于试用期间，并未造成实际损失。目前，Synthetix官网的loan服务仍处于关闭状态。

动态 | 首个可信区块链行业应用标准发布:据中国财经新闻网消息，3月8日，工信部信通院可信区块链推进计划溯源项目组会议在中国信息通信研究院召开。会议上，正式发布了《可信区块链-基于区块链的产品溯源应用规范》。标准将会用于指导搭建基于区块链的溯源行业应用系统，规范区块链溯源应用系统功能。标准也将作为中国通信标准化协会CCSA行业标准输入源。[2019/3/11]

PeckShield点评：

随着DeFi项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系，DeFi项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。PeckShield在此建议，DeFi项目方在上线之前，应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。

A股区块链概念股开盘小幅下跌:今日A股区块链概念股板块开盘下跌0.09%，主力资金净流入4497万，个股方面，上涨22只，下跌29只，涨幅排名前三的是恒银金融（10.02%）、中元股份（5.08%）、新国都（2.45%）。新国都早在2014年就成立了区块链技术研究小组，2016年专门成立了集团区块链业务中心，并于同年10月份加入了全球最大的区块链行业联盟HYPERLEDGER,一直专注于探索区块链技术在数字货币，清结算领域的应用可能。[2018/4/10]

交易所安全

3月份共发生2起交易所安全事件：

1）03月02日，美国司法部以阴谋和无证经营汇款为由，对名为田寅寅和李家东两位中国人发起了公诉，并冻结了他们的全部资产。区块链安全公司PeckShield第一时间介入追踪研究分析，基于美国司法部仅公布的20?个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。

中国体育沉疴的解药：用区块链构造中国体育价值体系:2018年1月6日，第三届中国体育产业价值创新论坛暨全国体育经济与价值管理学术会议在北京体育大学召开。动吧体育董事长兼CEO白强应邀出席此次盛典，并在活动上爆炸性的提出“用区块链构造中国体育价值体系！”[2018/1/7]

分析发现攻击者试图利用PeelChain的技术手段将手里的资产不断拆分成小笔资产，并将这些小笔资产存入交易所，如下图所示：

在完成初步操作后，攻击者并没有直接转入自己的钱包，而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现，经过几十或上百次的操作，最终成功将数千个BTC进行了混淆、清洗。

2）OMNI网络发现新型USDT假充值手法：黑客采取发行其他类型的代币伪造成USDT对交易所或钱包进行USDT假充值，当交易所或钱包在检测USDT充值时如果没有校验交易中的propertyid，就会导致假充值情况的发生。

PeckShield点评：

黑客盗取资产后实施，不管过程多周密复杂，一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求，交易所应加强AML反和资金合规化方向的审查工作。同时，针对假充值等安全问题，交易所应当在确认代币名称和交易状态后再进行转账。

智能合约

3月份共发生1起智能合约安全事件，存在于以太坊网络。具体而言：03月24日，有项目方反映在发布ERC20代币后，发现一些来源不明的代币在链上转账。深入分析后发现，是项目方使用的“一键发币”第三方平台存在后门——发币合约创建时存在暗地增发Token并窃取的恶劣行为。

PeckShield点评：

项目方在使用第三方服务完成智能合约的开发时，务必在合约上线前做好安全测试。

跑路事件

除上述之外，3月份还发生了多起跑路事件值得警惕，例如：1）区块链资金盘“硅谷区块鸡”疑似跑路，涉案金额或达百亿人民币；

2）英国夫妇因使用虚假的Chrome浏览器扩展丢失14,800枚XRP；

3）不法分子在各种聊天群发布虚拟货币消息，以疫情防控为由，利用人们投资理财的迫切心理，打着虚拟货币的幌子实施、非法集资活动；

4）YouTube上有人冒充Ripple的首席执行官推销5,000万XRP代币的假赠品，以哄用户将钱投入类似的空投局中。

PeckShield点评：

因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、等各类事件就是典型。在此提醒，用户应谨慎保管各类私密信息，任何小的疏忽都可能造成不可挽回的损失。

标签：区块链DEFISHIDEF魔兽币是有使用区块链技术吗DOGDEFISHIBB价格Defigram

PEPE币热门资讯