PeckShield:7月共发生安全事件32起,虚拟货币诈骗案件泛滥


PeckShield:7月共发生安全事件32起,虚拟货币诈骗案件泛滥
本文插图
免责声明:本文旨在传递更多市场信息 , 不构成任何投资建议 。 文章仅代表作者观点 , 不代表火星财经官方立场 。
小编:记得关注哦
来源:PeckShield
据 PeckShield 态势感知平台数据显示 , 过去一个月 , 整个区块链生态共发生 32 起较为突出的安全事件 , 危害程度评级为「中级」 , 涉及 DeFi 5 起、钱包安全 2 起 , 公链安全 3 起 , 交易所相关 2 起 , 勒索相关 4 起 , 诈骗跑路 16 起等 。
DeFi安全
7月份共发生5起 DeFi 相关安全事件 , 具体如下:
1)加密货币项目Vether(VETH)遭到闪贷攻击 , 其Uniswap资金池耗尽919299 VETH , 价值约合90万美元 , 而且整个攻击成本仅有0.9ETH , 约合200美元 。
2)知名区块链安全研究员Sam Sun在小组讨论中表示 , 自己似乎发现一种盗取yearn.finance yusdc资金池资金的方法 。 yearn.finance官方回应称这个问题已经得到解决 , 但依然提示用户暂时不要投入资金 。 7月26日 , yearn.finance公布V2 版本的更新将添加USDC合约的资金池 , 但V2版本还没有完全部署 , 尚在实验测试阶段 , 官方也已经提示该合约仍为实验性质且具有高度风险 , 建议不要立即投入资金 。
3)samczsun在yearn.finance新部署的yVault中发现了一个漏洞 , 初步分析是由于flashloan 中产生滑点导致 。
4)网络安全公司OpenZeppelin已发布Compound的开放式预言机(Open Oracle)集成Uniswap V2的审计报告 。 指出 , 开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格 , 这些价格将以Uniswap V2的市场价格作为基础 , 发布价格的人只能在一定程度上偏离Uniswap V2的价格(具体由部署者决定) , 这可以很大程度上限制汇报者操纵预言机的权力 。
5)DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局:Uniswap上的伪造代币列表 。 骗子正试图在目标协议实际推出其加密货币之前 , 在Uniswap上列出“官方”协议代币 。 DefiPrime至少确定六个被这些诈骗者锁定的协议:Uniswap、Tornado Cash、BZRX(Fulcrum)、Curve、dYdX 和1inch 。 甚至已经有人因此受骗 。
PeckShield点评:随着 DeFi 项目功能越来越多样 , 其中隐藏的安全问题也逐渐暴露出来 , 鉴于其与用户资产的紧密联系 , DeFi 项目的安全问题非常严峻 。 由于各项目由不同团队开发 , 对各自产品的设计与实现理解有限 , 集成的产品很可能在与第三方平台交互的过程中出现安全问题 , 进而腹背受敌 。 PeckShield 在此建议 , DeFi 项目方在上线之前 , 应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计 , 以避免潜在存在的安全隐患 。
数字钱包安全
7月份共发生 2 起钱包安全事件:
1)加密货币钱包服务商ZenGo表示 , 其在Ledger、BRD和Edge等市场主流的一些钱包中发现了一个漏洞 , 该漏洞允许攻击者欺骗用户 , 让用户以为自己收到了比特币 , 但实际上他们并没有收到 。 ZenGo将这一漏洞命名为“BigSpender” , 攻击手法定义为“双重支出攻击” 。
2)研究人员发现了一种新的木马 , 这种木马针对在macOS上使用交易程序的交易者 。 该木马使用恶意软件GMERA , 被整合进貌似无毒的应用中 , 再从使用者的钱包中偷取代币 。
PeckShield 点评:数字钱包作为管理私钥的工具 , 是离加密资产最近的地方 。 虽然冷钱包是一种脱离网络连接的离线钱包 , 但也存在被物理攻击和被盗的风险 , 而像网页钱包等热钱包 , 用户也要谨防网络钓鱼 , 恶意代码注入等攻击方式 。
公链安全
7月份共发生 3 起公链相关安全事件:
1)7月3日 , CryptoScope团队发现Ravencoin(RVN)区块链存在漏洞 , 经过rvn首席开发团队确认后已发布了紧急更新 。 据悉 , 该漏洞可生成额外的RVN , 但是不会影响或控制已经存在的RVN资产 。 由于该漏洞造成了RVN总量比原计划多出了1.5% , 并且漏洞产生的RVN已经流入市场 , 因此无法进行回滚等操作 。