11月共发生安全事件 35 起，DeFi 为何沦为一小撮人的狂欢？

PeckShield 阅读 34841 2020-12-2 09:57

据 PeckShield 态势感知平台数据显示，过去一个月，整个区块链生态共发 35 起较为突出的 DeFi 安全事件，危害程度评级为「高级」。涉及 DeFi 相关 13 起、钱包安全 2 起、勒索相关 5 起，诈骗事件 10 起、其他攻击 5 起。

黑客肆虐，DeFi为何沦为一小撮人的狂欢？

牛市来临之后，DeFi（去中心化金融）一度被誉为支撑加密货币成为今年真正“头号”投资产品的关键。

据 DappTotal 数据显示，11月以来，DeFi 的总锁仓量突破新高。

整个 DeFi 生态一副欣欣向荣的景象。然而，另一边，DeFi 正陷入弱代码流行病的困扰。据 PeckShield 统计，11月共发生逾 13 起与 DeFi 相关的安全事件，造成损失近 5000万 美元。

11月1日，YFI 披露一个新的闪电贷安全漏洞，团队在 1.5 个小时后移除该漏洞；

11月2日，主网仅上线几个小时的 Axion Network 遭到黑客攻击，黑客利用其质押相关漏洞铸造 790亿枚代币 AXN，导致其代币价格短时下跌 100%，并且损失 50万美元；

11月6日，PercentFinance 因出现漏洞而冻结了 100万美元的代币，包括 44.6万枚 USDC、28 枚WBTC 和 313 枚ETH；

11月7日，PeckShield 监控到黑客利用闪电贷（Flash loan）通过一笔交易攻击一家去中心化数字银行 Cheese Bank，凭空套利 330 万美元；

11月10日，JustSwap 白名单 DeFi 项目 SharkTron 被窃取价值 1000万美元的波场币（TRX），波场联合币安冻结部分资金；

11月14日， PeckShield 监控到黑客利用 Akropolis 项目存在的存储资产校验缺陷，向合约发起连续多次的重入攻击，凭空增发大量的 pooltokens，掳走 203万枚 DAI；

11月15日，PeckShied 监控到黑客利用 Value DeFi 协议中基于AMM 算法的价格预言机 (Curve) 存在的漏洞，操纵 Curve 上代币的价格，铸造 pooltokens，最终获利 540万美元

11月17日，PeckShield 监控到 DeFi 协议 Origin Protocol 稳定币 OUSD 遭到攻击，攻击者利用dYdX 的闪电贷进行重入攻击（Re-entrancy attack)，造成价值 770万美元的 ETH 和 DAI 的损失；

11月18日，PeckShield 监控到仅上线 48小时的 DeFi 固定利率借贷协议 88mph 存在代码漏洞，攻击者利用该漏洞铸造价值 10 万美元 MPH 代币

11月22日，PeckShield 监控到曾被 V神发推文赞赏的 DeFi 项目 Pickle Finance（酸黄瓜），因被黑客攻击未经审核新创建的智能合约漏洞，损失近 2000万美元的 DAI；

11月26日，Compound 遭预言机攻击，9000万美元资产遭清算。此次 Compound 巨额清算是由于预言机信息源Coinbase Pro的DAI价格剧烈波动导致的，操控预言机所依赖的信息源进行短时间的价格操纵以达成误导链上价格是典型的预言机攻击；

11月29日，RGT Distributor 的合约出现漏洞，智能合约 DeFi 智能投顾 Rari Capital 发布官方推特称已修复合约漏洞，没有资金丢失；

11月30日，流动性挖矿项目 SushiSwap 遭到流动性提供者攻击，该攻击者通过一笔交易中获取了 1 至 1.5万美元，随后该修复通过 PeckShield 审核。

区块链世界信仰“Code is Law”，认为代码即法律，分布式技术可确保数据不可篡改，最大程度地保证系统安全，但现在基于区块链技术开发的 DeFi 为何频遭安全问题困扰？

PeckShield 相关负责人分析道：“DeFi 的金融属性强，与资金绑定紧密，一旦发生安全事件，大概率会直接涉及到切身利益，但此类安全问题并非没有破解的方法。DeFi 还处于发展阶段，在主网上线前，一定要确保代码进行彻底地审计和研究。例如 Pickle Finance（酸黄瓜）被攻击的事件，略过了新增代码的审计，造成黑客有机可乘。同类 DeFi 被攻击后，要及时确认自己的合约是否也存在类似的漏洞，或者寻求专业的审计机构，例如 PeckShield 对同类攻击进行监控。”

数字钱包安全

据 PeckShield 统计，11 月份共发生 2 起典型的钱包安全事件：11月6日，Ledger 钱包用户因钓鱼诈骗损失逾 110万枚 XRP。诈骗者利用钓鱼邮件将用户引导到一个假冒的Ledger网站上，并诱骗用户下载了冒充为安全更新的恶意软件，从而导致 Ledger 钱包余额悉数被盗。

11月9日，ElectrumSV 多签方案出现严重漏洞，致使用户被盗 600 BSV。

其他攻击

除此之外，11 月份还发生了多起其他攻击事件：

11月3日，挖矿木马团伙 z0Miner 利用 Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）入侵 5000 台服务器。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令下载 shell 脚本 z0.txt 运行，再利用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久化，以及通过爆破 SSH 横向移动；

11月8日，Grin Network 遭到 51％攻击；

11月11日，恶意节点试图通过 Sybil 攻击干扰 Monero 网络，以获取有关Monero区块链上用户的信息。据悉，Sybil 攻击是对 P2P 网络的恶意攻击，个人或组织试图通过使用多个身份控制多个账户或节点来接管网络；

11月19日，挖矿木马 4SHMiner 利用漏洞针对云服务器攻击，已控制约 1.5万台服务器挖矿；

11月21日，BCHA 链遭攻击，网络产生大量空块。

PeckShield 相关负责人表示：“近年来，针对加密货币的攻击日益增多，安全事件频发。对于企业用户而言，一方面，针对加密企业服务器上的文件，应该及时给服务器打好安全补丁，同时避免使用弱口令，关闭不必要的端口；另一方面，应该加强对钓鱼邮件的拦截，提醒员工不要轻易打开来历不明的邮件，并且保持安全软件运行状态。对于个人用户而言，需要警惕来历不明的邮件，保持安全软件运行状态，及时修复电脑漏洞，并且养成良好的上网习惯，不使用外挂等病毒高发点的工具。针对系统性漏洞，需要养成对重要文件备份的习惯，使用U盘、硬盘等存储工具对重要文件进行备份，未雨绸缪，防范于未然。”