PeckShield:9月共发生安全事件33起，DeFi诈骗跑路频发

据 PeckShield 态势感知平台数据显示，过去一个月，整个区块链生态共发 33 起较为突出的安全事件，危害程度评级为「高级」，涉及 defi 15 起、钱包安全 1 起，公链安全 1 起，交易所相关 3 起，勒索相关 7 起，诈骗事件 6 起等。

DeFi 安全

9 月份共发生 15 起 DeFi 相关安全事件，具体如下：

1）开发人员在SushiSwap中发现了治理双花漏洞，这个漏洞可以在不需要获得新代币的情况下成倍增加某人的治理能力。FTX首席执行官兼SushiSwap负责人Sam Bankman-Fried 证实了这个漏洞的存在。他指出，这不会对Sushi造成直接问题，因为治理尚未启动。

2）DeFi稳定币协议Lien发布公告表示，团队的审计人员发现一个Lien App中的漏洞，决定暂时维护平台以防止漏洞被利用，该项目表示用户存放协议的以太坊资产是安全的，同时没有出现资金被盗的问题。

3）9月19号，币安智能链上的项目Bantiample团队已砸盘套现3000个BNB跑路，目前团队的主要开发者已经删除Telegram账号，项目代币BMAP单日跌幅超过90%。

4）以太坊挖矿项目 LV Finance 项目疑似跑路，该项目通过伪造虚假审计网站并提供虚假审计信息诱骗投资者进行投资，待一段时间后资金池内金额足够大时进行跑路。目前，该项目网站 lv.finance 已无法访问。

5）废老师（微博用户名“废X废”）参与了流动性挖矿项目Soda发现有一个漏洞，里面有2万个ETH可以直接清算掉。但他选择了告诉开发组，但开发组并未重视。他只好选择清算了一个ETH，并发微博警告，实操告诉开发者这个Bug的存在。不到一个小时，项目组发布公告:在前端停止借款的功能，如果有人因为这个bug收到了损失，我们在未来会尽可能推出补偿方案。

6）名为GemSwap的SushiSwap仿盘项目被曝跑路，LP被卷走。查询发现，该项目在今日15点左右发布推特自曝其遭受了“ whatitdobb”开发者的攻击，据了解，该项目今日早些时候完成了流动性迁移，但发起攻击的开发者在迁移之前就获得了相关许可，能够将流动池中的代币取走，目前尚不清楚此次攻击造成的具体损失。

7）bZx官方噶Twitter称其合约被攻击，损失了4700枚ETH，随后两天攻击者将所有盗取资产全部返还给项目方。

8）至少有9个Chainlink节点运营商在上周日遭受攻击，导致其钱包中的约700 ETH耗尽。据称，攻击利用了节点响应查询的方式，并涉及了与网络交易成本相关代币的使用。Chainlink已确认攻击并将其描述为对网络进行“垃圾交易（spam）的“失败尝试”。

9）以太坊研发者Philippe Castonguay发推文称，DeFi项目BaconSwap和shroom.finance均存在时间锁定漏洞，将允许项目所有者在没有时间锁定的情况下增发无限代币。

10）推特账户名为Amplify的用户透露自己在新DeFi项目Soft Finance中因系统漏洞而获利25万美元。并称自己并非作恶者，只是无意中发现了这个“机会”。注，Soft Finance是Yearn.finance的克隆协议，发行了软锚定适应性系统代币SYFI，利用rebase机制来根据需求调节供应。本月4号，该协议在rebase过程中发生系统故障而导致价格归零。

11）波场DeFi项目樱桃CherryFi在电报群表示，USDT合约在迁移过程中由于一行代码导致无法提取USDT，损失USDT的用户可以联系管理员，团队将给出一个赔偿方案，建议用户都把TRX提走。据了解，CherryFi代码未经审计。

12）某用户于社群内表示，其在参与基于EOS的流动性挖矿项目Diamond.finance时，10万USDT的资金被盗。PeckShield安全人员跟进分析认为，该用户被盗原因和eosio.code权限无关，疑似私钥被盗。

13）EOS 项目 EMD 疑似跑路，截至目前，项目合约 emeraldmine1 已向攻击者账号 sji111111111 转移78万 USDT, 49万 EOS 及5.6万 DFS，并有12.1万 EOS 已经转移到 changenow 洗币平台。

14）EOS挖矿项目珊瑚的wRAM遭到黑客“重入”攻击，损失超12万EOS。攻击者账号采用了类似“重入攻击”的模式，对eoswramtoken合约实施了攻击。具体而言，攻击者在正常的转账操作内嵌入了一次inline transfer，使得wRAM合约在mint时判断RAM数额出现问题导致多发。

15）yearn.finance创始人Andre Cronje刚推出的游戏项目Eminence（ENM）遭遇“Flash贷款”攻击，黑客将800万美元的资金返还给了yearn部署者合约。官方目前正在调查具体情况，并将重新分配受攻击的800万美元。

PeckShield 点评：随着 DeFi 项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系，DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。PeckShield 在此建议，DeFi 项目方在上线之前，应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。

数字钱包安全

9 月份共发生 1 起钱包安全事件：

1）开发BitBox硬件钱包的瑞士公司ShiftCrypto透露，在Trezor和KeepKey硬件钱包中发现了一个漏洞，该漏洞允许攻击者在不靠近设备的情况下持有用户的加密货币以进行勒索。

PeckShield 点评：数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。

公链安全

9 月份共发生 1 起公链相关安全事件：

1）比特币工程师Braydon Fuller和Javed Khan于2018年在比特币区块链上修复了名为INVDoS的漏洞，本周又发表了一份研究论文，详细介绍了他们如何在其他多个区块链迭代中发现Btcd和Decred。该漏洞的攻击工作方式是：一个敌对的区块链节点（验证交易的区块链网络的成员）通过向不存在的交易发出垃圾邮件来淹没另一个。该漏洞被称为“拒绝服务”攻击，可被黑客“轻松利用”，并可用于使整个比特币节点网络崩溃。报告称，这可能导致处理交易的延误，进而导致“资金或收入的损失”。

PeckShield 点评：公链上的漏洞，一旦发现对整个链生态的影响极大，因此公链在正式版上线前务必做好安全测试和漏洞排查，并寻求第三方安全公司审计，避免因漏洞威胁影响公链生态。

交易所相关

9 月份共发生 3 起交易所相关安全事件：

1）欧洲加密货币交易所 ETERBASE 遭遇黑客攻击，导致部分热钱包资产被盗，包括 BTC、ETH 及 ERC-20 代币、XRP、TRX、XTZ 和 ALGO。目前，该交易所处于维护模式，正在调查相关问题。据 The Block Research 分析，ETERBASE 被盗资产超过了 500 万美元，其中，ETH 和 ERC-20 代币地址损失的资金最多，达约 390 万美元，其次是 XTZ 地址，损失约 47.1 万美元。

2）Kucoin库币交易所遭到黑客攻击，大量ETH和ERC20代币被转移，包含11000个以太坊，2000万USDT，1100万刀的AMPL，880万刀的OCEAN，720万刀的VIDT，500万刀的DIA，500万刀的AKRO。此后，该黑客跑路资金遭到各个大交易所联合封堵，黑客多次使用Uniswap进行资金转移。

3）9月2日，首尔警方对韩国规模最大的加密货币交易所Bithumb进行搜查。Bithumb韩国理事会议长李政勋正因欺诈和财产逃逸接受警方调查。根据首尔公安厅的说法，搜查缉获与发行BXA代币有关的投资欺诈有关。BXA受害者表示，李等人以上市BXA为名预售300亿韩元代币，但实际上并未上市，造成损失。

PeckShield 点评：黑客盗取资产后实施洗钱，不管过程多周密复杂，一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的 KYC 和 KYT 业务均提升了要求，交易所应加强 AML 反洗钱和资金合规化方向的审查工作。详情可访问www.coinholmes.com 了解。

勒索相关

9 月份共发生 7 起勒索相关安全事件：

1）不久前，杭州市高新区（滨江）一家民营企业向公安机关报案，称有人恶意攻击该公司官网，并勒索1个比特币。

2）网络安全网站Bleeping Computer的报道称，巴基斯坦最大的电力生产商K-Electric本周遭遇勒索软件攻击，黑客索要约770万美元的比特币赎金。

3）黑客近期攻击了阿根廷的移民系统，要求阿根廷政府支付价值400万美元的比特币赎金，导致跨境移民活动暂时瘫痪。但阿根廷政府拒绝与黑客谈判，也不会支付赎金。

4）智利三大银行之一的Banco Estado银行7日不得不关闭其全国性业务，原因是受到了REvil勒索软件的网络攻击。据悉，REvil以拍卖在攻击中窃取的数据而闻名，并经常要求使用Monero (XMR)支付赎金。

5）黑客向以色列纳斯达克上市无线芯片和摄像头传感器制造商Tower Semiconductor Ltd（TSEM）进行勒索软件攻击，并索要数十万美元比特币赎金。为了安全起见，TSEM关闭了一些正在运行的服务器，并暂停了部分工厂的生产。

6）特斯拉创始人Elon Musk在一条推文中证实，俄罗斯男子Egor Igorevich Kriuchkov用100万美元比特币贿赂内华达州特斯拉工厂一名员工，以便在特斯拉的计算机网络上安装勒索软件。该员工没有执行该计划，而是通知了其他与FBI联系的特斯拉员工。FBI于8月22日在洛杉矶逮捕了该男子，如果被判有罪，他将面临最高五年的监禁。

7）泰国警方表示，泰国的医院和公司遭到黑客攻击，黑客挟持了计算机系统和数据，并要求支付比特币以恢复信息。其中，9月5日，Saraburi医院无法访问其数据，攻击者要求获得630亿泰铢（28亿澳元）的比特币来解锁系统。

PeckShield 点评：勒索类安全事件一直是影响整个互联网生态的重大隐患，不局限于区块链生态。而且在区块链领域的加密货币逐渐普及后，不法分子常利用比特币等加密货币的较好匿名性进行勒索诈骗。

其他诈骗事件

除上述之外，9 月份还发生了多起诈骗跑路事件值得警惕，例如：

1）ESET的研究人员发现了一个新的恶意软件，该软件可通过Tor网络和Bittorent协议感染用户设备。该软件名为“Krypto Cibule”，通过感染用户设备以进行加密挖矿，并使用“剪贴板劫持”将资金转到黑客的钱包中。

2）哥伦比亚警方向全国民众发出警告称，欺诈者正通过比特币进行诈骗，并发起了一项声称得到了总统伊万·杜克（Ivan Duque）支持的倡议。据欺诈者称，杜克总统签署了一份“世纪协议”，将创建一个名为“比特币时代”的平台，这将使哥伦比亚人能够从加密货币中赚取收入。对此，警方强调，这项针对COVID-19经济影响并以比特币为重点的投资解决方案是一个骗局，并且没有以任何方式得到哥伦比亚总统的批准。

3）西安高新区公安局9月2日抓获虚拟货币诈骗案相关嫌疑人。该团伙此前在网上发布虚拟货币BRTR的相关虚假信息，引诱群众购买，短短一个月诈骗金额已达500余万元。办案民警根据前期收集到的侦查线索及嫌疑人供述，已将500余万元涉案资金全部追回并依法冻结。目前，此案还在进一步审理中。

4）9月21日，武汉市公安局东湖新技术开发区分局成功打掉一个诈骗团伙。民警调查发现，该团伙是以炒虚拟货币高回报为诱饵，吸引投资者进行投资，进而实施诈骗团伙。目前，警方已掌握多个被骗人员的情况，涉及金额近30余万元。涉案的曹某、罗某、陈某、袁某等四人，因涉及诈骗罪已被东新警方予以刑事拘留。案件正在进一步深挖当中。

5）北京大兴公安分局今天通报称，警方近日成功打掉一伙以炒“数字货币”为名非法吸收公众存款的窝点，刑事拘留四名嫌疑人。据悉，涉案1000余名投资者的2000余万元投资款被套住。四名嫌疑人牟利200余万元。

6）近日，上海闵行警方捣毁一个以投资虚拟币为名实施诈骗的犯罪团伙，抓获犯罪嫌疑人35人。该诈骗团伙以电话、微信寻找有投资虚拟币意向的潜在被害人，将其拉入投资微信群，并诱骗被害人下载“bitex”“back”“bitbank”平台进行虚拟货币投资，骗取被害人投资本金，实施诈骗犯罪。该团伙共涉案十余起，涉案金额逾80万，涉及被害人达100余人。