COI:安全月报 | 10月共发生安全事件10起，DeFi借贷平台成黑客新选择

据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共发生10起较为突出的安全事件，危害程度评级为「中级」，受损金额数千万元，涉及数字钱包3起、DApp2起、智能合约1起以及资金盘跑路、钓鱼等等。

数字钱包

10月份共发生3起钱包安全事件，其中包含2起钱包私钥被盗。

1）上海某投资机构冷钱包私钥被盗，造成的损失达数千万元；

2）去中心化托管平台Payfair官方发布声明称，由于黑客攻击，平台冷钱包的私钥被破解；

3）网页版加密货币钱包Safuwallet遭到黑客攻击，黑客通过注入恶意代码窃取了大量资金。

PeckShield点评：数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。

孙宇晨：USDD为全网最为安全的去中心化稳定币，当前抵押率超220%:据官方最新消息，波场TRON创始人孙宇晨正在一直播就USDD升级为去中心化超抵押稳定币进行直播分享。

直播中，孙宇晨表示：USDD的抵押率在其官网实时可查，并能够保证抵押率高于130%，高于行业标准DAI要求的120%，居世界第一。作为USDD超额抵押的前提，波场联合储备（TRON DAO Reserve）此前已大幅增持BTC、TRX、USDT等高流动性资产作为储备金，能够完全覆盖USDD的发行总额。多重因素使得USDD成为了全网最为安全的去中心化稳定币。目前，USDD储备金已有14040枚 BTC ，19亿枚TRX与2.4亿枚USDT，加上销毁合约内的82.9亿枚TRX，共计总金额超15亿美金为6.67亿美金USDD提供抵押担保，USDD最新抵押率已超过220%。[2022/6/6 4:06:00]

DApp?生态

美国国土安全部与Coinbase签署136万美元的合同，用于区块链软件开发:9月19日消息，据联邦采购数据系统称，美国国土安全部的移民和海关执法部门已向加密货币交易所巨头Coinbase提供了一份价值136万美元的合同，用于“商业应用程序”和“应用程序开发软件” 。这笔新交易是Coinbase迄今为止签署的最大联邦合同。该交易于周四签署，价值约为Coinbase与国土安全部签署的上一份合同的40倍。据此前报道，该加密货币交易所还向美国特勤局和税务局提供了软件。（Decrypt）[2021/9/19 23:36:35]

10月份共发生2起DApp安全事件，都发生在EOS生态内。

EOS游戏BitDice遭受假EOS攻击，损失4千EOS；SKReos游戏遭受交易memo攻击，损失6千EOS。其中SKReos之前已被多次报道遭受交易阻塞和随机数攻击。

Themis核心开发者 Tony：Themis目前已实现全协议上链模式，更加公开、透明、安全:8月14日，由霍比特HBTC全球商务副总裁Elsa Qiu主持的“霍比特E姐有约”第7期，进行了主题为“DeFi黑马Themis开发者讲述预言机真谛”的线上AMA，并邀请到Themis核心开发者Tony，为社区用户带来了预言机及Themis的深度分享。

谈及Themis优势，Tony称：Themis是目前唯一采用全协议上链模式，即质押、报价、奖励、挑战、仲裁的信息记录全部上链。对比同类项目，更加公开透明，更加安全。Themis在提供多资产价格的同时，实现了可验证随机数、可验证算力的预言机功能。

“霍比特E姐有约”为霍比特交易所线上AMA直播栏目，旨在为社区用户提供一个直观、清晰、便捷的平台了解项目，同时为项目方提供一个直接触达社区用户、与社区近距离交流的渠道。[2020/8/14]

具体来说，假EOS攻击是被攻击合约在接收到玩家投入的EOS时，没有验证是官方eosio.token合约签发的，玩家可以自己创建同名为EOS的代币，进而触发被攻击合约的transfer函数，获得真正的EOS回报。而交易memo攻击是指黑客通过精心构造投注交易的memo，导致游戏方服务器解析异常，从而持续中奖或异常大额退款。

分析 | 54％的加密货币交易所存在安全问题:据bitcoin.com报道，ICO Rating的一份新报告显示，54％的加密货币交易所至少在一个区域存在安全性较差问题，使交易所及其用户容易受到攻击。据悉，ICO Rating分析了100个每日交易量超过100万美元的交易所，揭示了许多交易所的安全措施普遍宽松，包括一些据称顶级的交易所。其中，Coinbase和Kraken的安全评分最高，分别为89和80分，Okcoin最低仅为15分（满分为100分）。[2018/10/3]

PeckShield点评：以上两款EOS游戏遭受的攻击都是比较常见的，DApp开发者应在合约上线前做好安全测试，防御已知的攻击方式，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。

科罗拉多州希望采用区块链技术改善数据安全:科罗拉多州正在向当地的参议院提出一项新法案，该法案指出要利用区块链技术来保护私人数据免受网络攻击。目前，科罗拉多州的民众们要想对自己的信息进行修改，就必须要前往当地的政府机构，若该法案通过，则民众将可以自行更新数据。若政府系统开始支持分布式账本技术，则政府应该重新评估成本与收益问题。[2018/1/22]

智能合约

10月份共发生1起智能合约安全事件，相关漏洞导致其成为第一个进行硬分叉的区块链游戏。

10月14日，CheezeWizards在以太坊主网上线。不到24小时内，玩家@samczsun向官方反映，游戏合约存在一个严重的漏洞，使用该漏洞可以让玩家处于不败之地。随后CheezeWizards决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约，同时弥补了用户遭受的损失。

如下图，这一漏洞主要发生在智能合约的resolveTimedOutDuel(uint256,uint256)方法中。

作为一款格斗游戏，CheezeWizards允许玩家发起一个“单边揭示“的交易，当一位玩家已经揭示了招式，另一位玩家一直不揭示招式直到时间截止(90分钟)时，正常玩家可以调用resolveTimedOutDuel()方法，以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。

玩家正常调用和恶意调用的例子如下。

正常调用：resolveTimedOutDuel(WIZARD-A，WIZARD-B)

恶意调用：resolveTimedOutDuel(WIZARD-A，WIZARD-A)

由于合约开发者默认为传入的两个wizardid不同，所以没有进行相关效验，而该方法是公开的，任何玩家都可以设置wizardid，一个怀有恶意的玩家，通过传入相同的wizardid以此来冻结诚实玩家的能量。

修复此漏洞的方法很简单，只需要在方法体内加上如下判断。

PeckShield点评：智能合约开发者在实现相关方法时，要特别注意公开接口的相关参数，应考虑各种异常情况，做好防御限制。

跑路事件

10月份，经媒体报道多起资金盘项目涉及和，例如被立案调查的趣步，暂停维护的ICC等。

PeckShield旗下的CoinHolmes推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。

其中CoinHolmes监测到Cryptopia部分被盗资产流入了Uniswap去中心化交易所和知名DeFi项目Compound。资产流向示意图如下：

鉴于资金盘跑路事件频发，CoinHolmes为广大用户提供了爆料入口，用户可以通过提交关联链上地址，实时查询数字资产流向情况。

PeckShield点评：除了传统中心化交易所，黑客也在不断寻求新的方式，例如此次黑客转移资金至Compound，主要目的是利用DeFi借贷平台进行混淆资金，同时不排除“理财生息”的可能。除DEX之外，当前有着较好流通性的DeFi借贷平台也成了黑客的新选择。

钓鱼攻击等其他类安全事件

除上述之外，10月份还有一些安全事件同样值得警惕：

1）Telegram搬砖套利局八天内金额高达750枚ETH；

2）MEET.ONE提醒EOS用户警惕DApp钓鱼。

PeckShield点评：因用户安全意识欠缺且操作规范性造成的各类安全隐患一直层出不穷，钓鱼攻击、搬砖套利等各类事件就是典型。在此提醒，参与数字资产投资的用户应谨慎保管各类私密信息，任何小的疏忽都可能造成不可挽回的损失。

标签：EOSUSDOINCOIEOSTUSDT币Grayscale Bitcoin Trust tokenized stock FTXSimbcoin Swap

NEAR热门资讯