PeckShield:6月共發生安全事件20起，DeFi安全問題再次凸顯

據PeckShield 態勢感知平台數據顯示，過去一個月，整個區塊鏈生態共發生20 起較為突出的安全事件，危害程度評級為「中級」，涉及DeFi 4 起、錢包安全1 起，公鏈安全1 起， 勒索相關3 起，詐騙跑路11 起等。

DeFi 安全

6月份共發生4 起DeFi 安全事件，具體如下：

知名DeFi 平台Balancer 流動性池遭黑客閃電貸攻擊，損失50萬美金。 PeckShield 安全人員介入分析後，迅速定位到問題的本質在於，Balancer 上的通縮型代幣和其智能合約在某些特定場景不兼容，使得攻擊者可以創建價格偏差的STA/STONK 流通池並從中獲利。 （詳見 PeckShield：DeFi平台Balancer遭黑客攻擊全過程技術拆解）

此次黑客實施攻擊共計分了四個步驟，具體而言：

1）攻擊者通過閃電貸從dYdX 平台借出了104,331 個WETH；2）攻擊者反复執行swapexactMountin() 調用，直至Balancer 擁有的大部分STA 代幣被消耗殆盡，進而開始下一步攻擊。最終Balancer 僅僅剩餘0.000000000000000001 個STA。 3）攻擊者利用STA 代幣和Balancer 智能合約存在的不兼容性即記賬和余額的不匹配性實施攻擊，將資金池中的其他資產耗盡，最終共計獲利價值523,616.52 美元的數字資產。 4）攻擊者償還從dYdX 借出的閃電貸，並捲走了攻擊所得的數字資產。

（圖解黑客攻擊全流程）

2）DeBank 工程師frenzy_hao今日在推特上表示，黑客再次利用dYdX 的閃電貸攻擊了balancer 部分流動性礦池中的COMP 交易對，將池子中未領取的COMP 獎勵取走，共獲利10.8 ETH。

3) 去中心化協議Bancor 官方披露了安全漏洞細節，原本應該設置為私有的函數safeTransferFrom 被定義為公開函數，所以導致任何人都可以轉移代幣。慶幸的是，並沒有發生太大安全損失，在發現漏洞之後團隊進行了白帽攻擊，以將資金轉移到安全地址。

4）6月21日，安全研究員samczsun 私下披露了目前AtomicLoans 部署的合約和借貸代理中的兩個漏洞。這兩個漏洞可能導致借款人在特定情況下無需償還貸款即可解鎖部分或全部BTC 抵押品。

PeckShield 點評：隨著DeFi 項目功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑑於其與用戶資產的緊密聯繫，DeFi 項目的安全問題非常嚴峻。由於各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平台交互的過程中出現安全問題，進而腹背受敵。 PeckShield 在此建議，DeFi 項目方在上線之前，應當盡可能尋找對DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。

數字錢包安全

6月份共發生1 起錢包安全事件：

網絡安全公司OpenZeppelin 研究人員發文稱，發現以太坊錢包Argent 上出現高危漏洞。漏洞可使攻擊者接管用戶錢包，特別是那些沒有激活“守護”功能的用戶。與此同時，Argent團隊很快修復了漏洞，並已經聯繫受影響的用戶。

PeckShield 點評：數字錢包作為管理私鑰的工具，是離加密資產最近的地方。雖然冷錢包是一種脫離網絡連接的離線錢包，但也存在被物理攻擊和被盜的風險，而像網頁錢包等熱錢包，用戶也要謹防網絡釣魚，惡意代碼注入等攻擊方式。

公鏈安全

6月份共發生1 起公鏈安全事件：

Blockstream商業側鏈Liquid Network被曝存在安全漏洞。由於哈希時間不一致，網絡中的重要賬戶會收到技術漏洞影響，可導致上百美元BTC被盜。目前，Blockstream網絡管理員已通過恢復多簽名合同暫時扣押Liquid網絡上存儲的870枚比特幣。

PeckShield 點評：公鏈上的漏洞，一旦發現對整個鏈生態的影響極大，因此公鏈在正式版上線前務必做好安全測試和漏洞排查，並尋求第三方安全公司審計，避免因漏洞威脅影響公鏈生態。

勒索相關

6月份共發生4 起勒索相關安全事件：

1、安全公司Unit 42 的研究人員發現一種新的惡意軟件“Lucifer”正在傳播，該軟件是某種舊的加密貨幣勒索軟件的變種。新的變體可用於惡意加密貨幣挖礦，但也可以用來進行DDoS 攻擊。

2、ST Engineering Aerospace 美國子公司遭遇勒索軟件攻擊，該公司及其合作夥伴被盜1.5TB 的敏感數據。此前2月份消息，黑客Maze 入侵五家美國律師事務所，要求支付超過93.3萬美元BTC 贖金。此前3月份消息，加密勒索組織Maze 聲稱使用黑客軟件攻擊保險業巨頭Chubb。

3、英國肯特郡一公司Kent Commercial Services（KCS）近期遭遇黑客勒索攻擊，黑客要求80萬英鎊的比特幣贖金，否則將在暗網上洩露了該公司的數據。 KCS 方面表示，該公司並沒有支付贖金，也沒有涉及納稅人的個人數據被盜。

4、針對2起異常天價以太坊手續費轉賬行為，PeckShield 安全公司研究人員認為，這可能是來自韓國的山寨交易所GoodCycle 遭到了黑客勒索攻擊。黑客通過釣魚攻擊等方式獲取了該交易所的部分權限，因此採用揮霍GasPrice 的行為對其實施勒索。 （具體請參看以太坊天價手續費轉賬背後：一場黑客發起的GasPrice勒索攻擊？以太坊天價手續費轉賬真相：資金盤項目GoodCycle上演誤殺瞞天記！）

PeckShield 點評：勒索類安全事件一直是影響整個互聯網生態的重大隱患，不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後，不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。

詐騙跑路事件

除上述之外，6月份還發生了多起詐騙跑路事件值得警惕，例如：

1、據PeckShield 旗下數字資產可視化追踪平台CoinHolmes 數據顯示，06月22日下午起，PlusToken 跑路資金發生異動，26,316,339個EOS，2,503個BTC；789,533個ETH 被轉移。

2、韓國首爾警方今日發起一項調查，針對兩家涉及ETH 犯罪的無名數字貨幣交易所，犯罪分子採用多層次龐氏騙局手法騙取受害人的數字貨幣。已有433名投資者向警方投訴，尚有1000名投資者未與警方取得聯繫，涉案ETH 價值4150萬美元。

3、中國媒體廣泛報導的伊朗交易所bitisis 已經跑路，多個消息源指出其背後實控人是中國詐騙分子，掌握多個宣稱能搬磚套利的海外交易所吸納散戶資金再捲款跑路。目前各地警方已經立案。該交易所將用戶資產轉移到三個地址，其中有平台已緊急將相關地址凍結。

4、Bibox 官方公告，有不法分子山寨Bibox APP、冒充Bibox 客服，誘導用戶交易，請用戶提高警惕。

5、火幣全球站接到舉報，有釣魚詐騙網站冒充火幣發佈公告，在社群傳播“ERD 空投活動”。火幣全球站鄭重聲明，火幣未發布任何關於“ERD 空投活動”，請廣大交易者提高警惕，認清火幣官方網站地址。

6、抹茶交易所發公告稱，近日，有不法分子冒充多家交易所客服人員，並創建詐騙網站誘導用戶交易，或要求向詐騙網站轉入數字資產。 MXC 抹茶沒有開通官方微信號，微信上任何“ MXC 抹茶”賬號均非官方賬號。如遇到以MXC 抹茶名義聯繫用戶並要求向其他平台“轉賬數字資產”等行為，可通過MXC 抹茶官網客服通道對其進行身份核驗。

7、近日，山東煙台警方在深圳、惠州、合肥三地同時收網，成功打掉一個以“虛擬貨幣投資”為幌子，利用假投資平台實施詐騙的犯罪團伙，涉案金額1,400餘萬元。

8、山東省菏澤市鉅野縣公安局近日破獲一起特大電信網絡詐騙案，打掉多個涉嫌以網貸和投資“比特幣”為名實施電信網絡詐騙的團伙，抓獲犯罪嫌疑人83名，扣押、凍結涉案資金2700多萬元，目前30名主要犯罪嫌疑人已被鉅野警方依法移送到檢察機關審查起訴。

9、近期一名南寧OTC 商疑似協助電信詐騙犯罪分子洗錢，遭到警方調查抓獲，側面說明USDT、加密貨幣與電信詐騙在中國的結合愈加緊密，可能對普通用戶帶來更多的凍卡風險，OTC 商也需要加大甄別力度。

10、據此前報導，不法分子正在YouTube 上利用特斯拉創始人Elon Musk 及其公司SpaceX 的名字進行比特幣詐騙。據統計，總共有214個BTC 被發送到此類詐騙地址上，價值超過200萬美元。

11、DeFi 貨幣市場協議DMM 官方推特表示，在公募期間其電報群遭到惡意劫持，攻擊者冒名頂替了DMM 基金會，目的是為了竊取資金。對於在代幣銷售中被騙的人補償了相應DMG 數額，希望確保所有資金損失的人都得到了對應補償。

PeckShield 點評：因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮，釣魚攻擊、詐騙等各類事件就是典型。在此提醒，用戶應謹慎保管各類私密信息，任何小的疏忽都可能造成不可挽回的損失。