0
+
34,168
微信扫码分享

11月共发生安全事件35起,DeFi为何沦为一小撮人的狂欢?

Dec 2, 2020 10:00:11 AM
PeckShield
+关注
过去一个月,整个区块链生态共发 35 起较为突出的 DeFi 安全事件,危害程度评级为「高 级」。涉及 DeFi 相关 13 起、钱包安全 2 起、勒索相关 5 起,诈骗事件 10 起、其他攻击 5 起。

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发 35 起较为突出的 DeFi 安全事件,危害程度评级为「高

级」。涉及 DeFi 相关 13 起、钱包安全 2 起、勒索相关 5 起,诈骗事件 10 起、其他攻击 5 起。

黑客肆虐,DeFi为何沦为一小撮人的狂欢?

牛市来临之后,DeFi(去中心化金融)一度被誉为支撑加密货币成为今年真正“头号”投资产品的关键。

据 DappTotal 数据显示,11月以来,DeFi 的总锁仓量突破新高。

整个 DeFi 生态一副欣欣向荣的景象。然而,另一边,DeFi 正陷入弱代码流行病的困扰。据 PeckShield 统计,11月共发生逾 13 起与 DeFi 相关的安全事件,造成损失近 5000万 美元。

11月1日,YFI 披露一个新的闪电贷安全漏洞,团队在 1.5 个小时后移除该漏洞;

11月2日,主网仅上线几个小时的 Axion Network 遭到黑客攻击,黑客利用其质押相关漏洞铸造 790亿 枚代币 AXN,导致其代币价格短时下跌 100%,并且损失 50万 美元;

11月6日,PercentFinance 因出现漏洞而冻结了 100万 美元的代币,包括 44.6万 枚 USDC、28 枚WBTC 和 313 枚ETH;

11月7日,PeckShield 监控到黑客利用闪电贷(Flash loan)通过一笔交易攻击一家去中心化数字银行 Cheese Bank,凭空套利 330 万美元;

11月10日,JustSwap 白名单 DeFi 项目 SharkTron 被窃取价值 1000万 美元的 波场币(TRX),波场联合币安冻结部分资金;

11月14日, PeckShield 监控到黑客利用 Akropolis 项目存在的存储资产校验缺陷,向合约发起连续多次的重入攻击,凭空增发大量的 pooltokens,掳走 203万 枚 DAI;

11月15日,PeckShied 监控到黑客利用 Value DeFi 协议中基于AMM 算法的价格预言机 (Curve) 存在的漏洞,操纵 Curve 上代币的价格,铸造 pooltokens,最终获利 540万 美元

11月17日,PeckShield 监控到 DeFi 协议 Origin Protocol 稳定币 OUSD 遭到攻击,攻击者利用dYdX 的闪电贷进行重入攻击(Re-entrancy attack),造成价值 770万 美元的 ETH 和 DAI 的损失;

11月18日,PeckShield 监控到仅上线 48小时 的 DeFi 固定利率借贷协议 88mph 存在代码漏洞,攻击者利用该漏洞铸造价值 10 万美元 MPH 代币

11月22日,PeckShield 监控到曾被 V神 发推文赞赏的 DeFi 项目 Pickle Finance(酸黄瓜),因被黑客攻击未经审核新创建的智能合约漏洞,损失近 2000万 美元的 DAI;

11月26日,Compound 遭预言机攻击,9000万 美元资产遭清算。此次 Compound 巨额清算是由于预言机信息源Coinbase Pro的DAI价格剧烈波动导致的,操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击;

11月29日,RGT Distributor 的合约出现漏洞,智能合约  DeFi 智能投顾 Rari Capital 发布官方推特称已修复合约漏洞,没有资金丢失;

11月30日,流动性挖矿项目 SushiSwap 遭到流动性提供者攻击,该攻击者通过一笔交易中获取了 1 至 1.5万 美元,随后该修复通过 PeckShield 审核。

区块链世界信仰“Code is Law”,认为代码即法律,分布式技术可确保数据不可篡改,最大程度地保证系统安全,但现在基于区块链技术开发的 DeFi 为何频遭安全问题困扰?

PeckShield 相关负责人分析道:“DeFi 的金融属性强,与资金绑定紧密,一旦发生安全事件,大概率会直接涉及到切身利益,但此类安全问题并非没有破解的方法。DeFi 还处于发展阶段,在主网上线前,一定要确保代码进行彻底地审计和研究。例如 Pickle Finance(酸黄瓜)被攻击的事件,略过了新增代码的审计,造成黑客有机可乘。同类 DeFi 被攻击后,要及时确认自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构,例如 PeckShield 对同类攻击进行监控。”

  • DeFi
PeckShield
+关注
评论

精选专题

836,641人看过
34篇文章
再见Crypto 2020,你好2021!
回顾2020年度热点事件,展望2021行业新格局。
127,081人看过
5篇文章
新展银行推出数字货币交易所
新展银行推出数字货币交易所
16,358人看过
8篇文章
蜂巢学院线上公开课
蜂巢学院线上公开课
339,132人看过
7篇文章
Filecoin遭分叉潮
Filecoin遭分叉潮
版权申明
1、本网(www.PANewsLab.com)所有内容,凡注明"来源:PANews"的所有文字、图片和音视频资料,版权均属PANews所有,任何媒体、网站或个人在转载本站内容时必须注明"稿件来源:PANews",违者本网将依法追究责任。
凡本网注明"来源:XXX(非PANews) "的文/图等稿件,本网转载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。
2、除注明"来源:PANews"的内容外,本网以下内容亦不可任意转载:(a) 本网所指向的非本网内容的相关链接内容;
(b) 已作出不得转载或未经许可不得转载声明的内容;
(c) 未由本网署名或本网引用、转载的他人作品等非本网版权内容;
(d) 本网中特有的图形、标志、页面风格、编排方式、程序等;
(e) 本网中必须具有特别授权或具有注册用户资格方可知晓的内容;
(f) 其他法律不允许或本网认为不适合转载的内容。
3、转载或引用本网内容必须是以新闻性或资料性公共免费信息为使用目的的合理、善意引用,不得对本网内容原意进行曲解、修改,同时必须保留本网注明的"稿件来源",并自负版权等法律责任。
4、转载或引用本网内容不得进行如下活动:
(a) 损害本网或他人利益;
(b) 任何违法行为;
(c) 任何可能破坏公秩良俗的行为;
(d) 擅自同意他人继续转载、引用本网内容;
5、转载或引用本网版权所有之内容须注明“转自PANews”字样,并标明本网网址www.PANewsLab.com
(a) 转载或引用本网中的署名文章,请按规定向作者支付稿酬。
(b) 对于不当转载或引用本网内容而引起的民事纷争、行政处理或其他损失,本网不承担责任。
(c) 本网以“法定许可”方式使用作品,已与知识产权所有者签署合作协议并支付报酬。如有未尽事宜请相关权利人直接与本网媒体合作部联系,联系邮箱:info@panony.com
(d) 对不遵守本声明或其他违法、恶意使用本网内容者,本网保留追究其法律责任的权利。
我知道了
用户协议
欢迎您使用PANews软件及相关服务!
用户在接受PANews服务之前,请务必仔细阅读本条款并同意本声明。
用户直接或通过各类方式(如站外API引用等)间接使用PANews服务和数据的行为,都将被视作已无条件接受本声明所涉全部内容;若用户对本声明的任何条款有异议,请停止使用PANews所提供的全部服务。

隐私政策
本应用尊重并保护所有使用服务用户的个人隐私权。为了给您提供更准确、更有个性化的服务,本应用会按照本隐私权政策的规定使用和披露您的个人信息。但本应用将以高度的勤勉、审慎义务对待这些信息。除本隐私权政策另有规定外,在未征得您事先许可的情况下,本应用不会将这些信息对外披露或向第三方提供。本应用会不时更新本隐私权政策。 您在同意本应用服务使用协议之时,即视为您已经同意本隐私权政策全部内容。本隐私权政策属于本应用服务使用协议不可分割的一部分。

适用范围
(a) 在您注册本应用帐号时,您根据本应用要求提供的个人注册信息;
(b) 在您使用本应用网络服务,或访问本应用平台网页时,本应用自动接收并记录的您的浏览器和计算机上的信息,包括但不限于您的IP地址、浏览器的类型、使用的语言、访问日期和时间、软硬件特征信息及您需求的网页记录等数据;
(c) 本应用通过合法途径从商业伙伴处取得的用户个人数据。

您了解并同意,以下信息不适用本隐私权政策:
(a) 您在使用本应用平台提供的搜索服务时输入的关键字信息;
(b) 本应用收集到的您在本应用发布的有关信息数据,包括但不限于参与活动、成交信息及评价详情;
(c) 违反法律规定或违反本应用规则行为及本应用已对您采取的措施。

信息使用
(a) 本应用不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息,除非事先得到您的许可,或该第三方和本应用(含本应用关联公司)单独或共同为您提供服务,且在该服务结束后,其将被禁止访问包括其以前能够访问的所有这些资料。
(b) 本应用亦不允许任何第三方以任何手段收集、编辑、出售或者无偿传播您的个人信息。任何本应用平台用户如从事上述活动,一经发现,本应用有权立即终止与该用户的服务协议。
(c) 为服务用户的目的,本应用可能通过使用您的个人信息,向您提供您感兴趣的信息,包括但不限于向您发出产品和服务信息,或者与本应用合作伙伴共享信息以便他们向您发送有关其产品和服务的信息(后者需要您的事先同意)。

信息披露 在如下情况下,本应用将依据您的个人意愿或法律的规定全部或部分的披露您的个人信息:
(a) 经您事先同意,向第三方披露; (b) 为提供您所要求的产品和服务,而必须和第三方分享您的个人信息;
(c) 根据法律的有关规定,或者行政或司法机构的要求,向第三方或者行政、司法机构披露;
(d) 如您出现违反中国有关法律、法规或者本应用服务协议或相关规则的情况,需要向第三方披露;
(e) 如您是适格的知识产权投诉人并已提起投诉,应被投诉人要求,向被投诉人披露,以便双方处理可能的权利纠纷;
(f) 在本应用平台上创建的某一交易中,如交易任何一方履行或部分履行了交易义务并提出信息披露请求的,本应用有权决定向该用户提供其交易对方的联络方式等必要信息,以促成交易的完成或纠纷的解决。
(g) 其它本应用根据法律、法规或者网站政策认为合适的披露。信息存储和交换本应用收集的有关您的信息和资料将保存在本应用及(或)其关联公司的服务器上,这些信息和资料可能传送至您所在国家、地区或本应用收集信息和资料所在地的境外并在境外被访问、存储和展示。

Cookie的使用
(a) 在您未拒绝接受cookies的情况下,本应用会在您的计算机上设定或取用cookies ,以便您能登录或使用依赖于cookies的本应用平台服务或功能。本应用使用cookies可为您提供更加周到的个性化服务,包括推广服务。
(b) 您有权选择接受或拒绝接受cookies。您可以通过修改浏览器设置的方式拒绝接受cookies。但如果您选择拒绝接受cookies,则您可能无法登录或使用依赖于cookies的本应用网络服务或功能。
(c) 通过本应用所设cookies所取得的有关信息,将适用本政策。

信息安全
(a) 本应用帐号均有安全保护功能,请妥善保管您的用户名及密码信息。本应用将通过对用户密码进行加密等安全措施确保您的信息不丢失,不被滥用和变造。尽管有前述安全措施,但同时也请您注意在信息网络上不存在“完善的安全措施”。
(b) 在使用本应用网络服务进行网上交易时,您不可避免的要向交易对方或潜在的交易对本隐私政策的更改。
(c) 如果决定更改隐私政策,我们会在本政策中、本公司网站中以及我们认为适当的位置发布这些更改,以便您了解我们如何收集、使用您的个人信息,哪些人可以访问这些信息,以及在什么情况下我们会透露这些信息。
(d) 本公司保留随时修改本政策的权利,因此请经常查看。如对本政策作出重大更改,本公司会通过网站通知的形式告知。请您妥善保护自己的个人信息,仅在必要的情形下向他人提供。如您发现自己的个人信息泄密,尤其是本应用用户名及密码发生泄露,请您立即联络本应用客服,以便本应用采取相应措施。
不同意
同意
免密码登录
密码登录
社交账号登录