盘点 | 成都链安：9月典型安全事件超『44』起，整体风险评级『高』

据成都链安『安全态势感知系统』（Beosin-Eagle Eye）数据监测显示：

2020年9月，在区块链领域，多类型安全事件频繁发生，整体形势不容乐观。根据不完全统计，本月出现的典型安全事件超过44起，相比上个月有所增加，成为今年历史最高。

区块链行业起步不久，技术发展整体处于探索阶段。特别是，随着DeFi的市场走红，各种项目雨后春笋般崛起，技术底层、逻辑结构等诸多方面的铺设相对薄弱，安全风险漏洞极易出现。因此，对于区块链生态的每个环节而言，安全问题都必须放在首位，不容忽视。

01

9月2日，首尔警方对韩国规模最大的加密货币交易所Bithumb进行搜查。该交易所被指控预售其价值300亿韩元的BXA代币，但从未将其上市，让投资者遭受损失。

02

欧洲交易所ETERBASE于周一晚间被盗，涉及BTC、ETH/ ERC-20、XRP、TRX、XTZ和ALGO相关的六个地址。该交易所没有透露黑客攻击造成的具体损失金额，但根据The Block Research的统计，该交易所热钱包损失超500万美元。相关情况已报告给执法部门，该交易所正在密切配合调查。后续跟踪资金转移情况发现，目前大部分被盗资金在币安等交易所。

03

日本加密货币交易所Fisco在美国法院提起了针对币安（Binance）的诉讼。Fisco声称，在2018年Zaif（现已被Fisco收购）遭遇黑客入侵丢失6300万美元的加密货币后，币安为黑客洗钱提供了便利。

04

英国加密交易所Covesting发推称，作为对库币安全漏洞的回应，以及保护受影响的COV代币持有者，Covesting团队已经冻结被举报地址中的COV代币（共计3,126,692 枚，价值560522美元）。

05

斯洛伐克加密货币交易所 Eterbase 遭受黑客攻击，共计有 540 万美元的数字货币被盗。交易所称，其六个热钱包已被盗用，并且虹吸了比特币，以太坊，Ripple，Algorand，Tezos和 Tron 的资金。

06

据库币（Kucoin）官方公告，2020年9月26日凌晨03:05:37（UTC+8），官方发现了一次有计划的黑客攻击，根据目前的内部安全审计结果判断，黑客通过获取到库币早期热钱包的备份镜像发起提现攻击，通过此次攻击提走了部分热钱包中的比特币和ERC-20等代币，价值约4800个比特币，约占平台总持有资金量的5%。

01

ZenGo的研究人员已正确披露了在Diogenes协议证明中发现的漏洞。该证明旨在为以太坊2.0随机信标链的可验证延迟函数（VDF）提供原始熵。

02

以太坊账户疑遭遇Gas Price攻击，损失115个ETH。该用户从交易所提现115.299个ETH到以太坊账户，到账后被莫名其妙迅速转出到另一个账号。蹊跷的是对方实际只收到6.46个以太坊，而转账的Gas费用却高达108.83个以太坊，约36万人民币。

03

SushiSwap仿盘YUNo Finance (YUNO)与KIMCHI.finance (KIMCHI)智能合约均存在漏洞。智能合约拥有者可以利用漏洞，无限制地增发项目对应的代币数目，继而导致通胀并最终崩溃。

04

9月3日晚间，以太坊研发者Philippe Castonguay发推称，DeFi项目BaconSwap和shroom.finance均存在时间锁定漏洞，将允许项目所有者在没有时间锁定的情况下无限增发代币。

05

Blockstream Research团队宣布已经开发出一种解决方案MuSig-DN，可用于保护MuSig多签方案的用户免遭由恶意随机数生成器和虚拟机重置攻击导致的密钥泄露攻击。

06

开发人员在SushiSwap中发现了主要的治理缺陷，SushiSwap似乎很容易受到漏洞的攻击，这个漏洞可以在不需要获得新代币的情况下成倍增加某人的治理能力。

07

EOS DeFi流动性挖矿项目EMD合约emeraldmine1的大量质押资金被转移。其中，USDT正在通过DeFibox币币交易等渠道进行转卖。

08

YFI仿盘Soft Yearn的一名用户因rebase机制漏洞用200美元获得了25万美元的回报。

09

EOS生态DeFi流动性挖矿项目 “珊瑚”的wRAM遭到黑客攻击，损失逾12万EOS。截至9月10日已经有4.6万个EOS被转移至ChangeNOW进行洗钱。

10

9月14日，bZx官方发推特称，已经对iToken合约代码出现的漏洞进行修复，并且协议已恢复正常运行。

11

DeFi稳定币协议Lien发布公告表示，团队的审计人员发现一个Lien App中的漏洞，决定暂时维护平台以防止漏洞被利用。

12

9月23日消息，DeFi Pulse周二晚在Twitter上表示，已识别漏洞并修复，并且已更正了历史数据。

13

9月23日消息，此前被爆漏洞的DeFi项目Soda协议已于近日宣布修复漏洞，且新部署的智能合约预计9月22日21点生效。截至到9月23日，Soda协议的SoETH/WETH资金池内尚有等值ETH的2156个SoETH。

14

9月29日，根据bluekirbyfi推特消息，yearn.finance创始人Andre Cronje刚推出的游戏项目Eminence（ENM）遭遇“Flash贷款”攻击，黑客将800万美元的资金返还给了yearn部署者合约。

01

9月26日，名为GemSwap的SushiSwap仿盘项目被曝跑路，LP被卷走。查询发现，该项目曾发推自曝其遭受了“ whatitdobb”开发者的攻击。据了解，发起攻击的开发者在流动性迁移完成之前就获得了相关许可，能够将流动池中的代币取走，具体损失尚不明确。

02

9月3日，德克萨斯州证券委员会(TSSB)专员Travis J. Iles对两起名为Forex Birds和PEK Universe的加密骗局发出了紧急停牌令。他们被控欺诈发行与外汇(forex)和加密货币相关的证券。Forex Birds涉嫌向投资者承诺高达11%的收益，其存款最高可达100万美元。

03

法国金融市场管理局（AMF）发布了一份新的投资网站清单，这些网站没有在该国境内运营的授权，其中包括所谓的数字资产服务提供商（DASP）。据称应用程序BitcoinFrance代表其客户在加密货币市场进行交易，每天产生1000美元的收入，且没有任何风险。很明显，这些描述带有投资欺诈的特征。

01

腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner，黑客通过SQL Server服务器弱口令爆破入侵，爆破成功后在目标系统释放C#语言编写的木马assm.exe，进一步通过该木马与C2服务器通信，然后下载门罗币挖矿木马并维持挖矿进程。

02

特斯拉创始人Elon Musk在一条推文中证实，俄罗斯男子Egor Igorevich Kriuchkov用100万美元比特币贿赂内华达州特斯拉工厂一名员工，以便在特斯拉的计算机网络上安装勒索软件。

03

阿根廷官方移民局Dirección Nacional de Migraciones遭遇Netwalker勒索软件攻击，暂时停止了出入该国的边境。黑客要求赎金400万美元。阿根廷政府拒绝与黑客谈判，也不会支付赎金。

04

黑客向以色列纳斯达克上市无线芯片和摄像头传感器制造商Tower Semiconductor Ltd（TSEM）进行勒索软件攻击，并索要数十万美元比特币赎金。

05

智利三大银行之一的Banco Estado银行7日不得不关闭其全国性业务，原因是受到了REvil勒索软件的网络攻击。据悉，REvil以拍卖在攻击中窃取的数据而闻名，并经常要求使用Monero (XMR)支付赎金。

06

动视暴雪《使命召唤：战区》的玩家抱怨帐户被盗。在某些情况下，黑客要求进行比特币支付以赎回游戏账户。黑客提供的地址迄今为止已收到1.2 BTC。

07

巴基斯坦最大的电力生产商K-Electric遭遇勒索软件攻击，黑客索要约770万美元的比特币赎金。

08

数据中心和托管巨头Equinix遭到了Netwalker勒索软件攻击，威胁参与者要求450万美元购买一个解密器，以防止泄露被盗数据。

09

9月13日消息，不久前，杭州市高新区（滨江）一家民营企业向公安机关报案，称有人恶意攻击该公司官网，并勒索1个比特币。接到报案后，侦查机关很快锁定了犯罪嫌疑人钟某。滨江区检察院以破坏计算机信息系统罪对钟某提起公诉，钟某被法院判处有期徒刑五年零六个月。

01

9月2日消息，美国司法部于周二宣布暗网市场AlphaBay调解员Bryan Connor Herrell被判处11年监禁，AlphaBay是一个可以通过Tor洋葱路由器路由器进入的暗网违禁品市场。违法者使用加密货币如比特币、门罗币以太坊进行交易。

02

由美国司法部、毒品和暗网联合执法小组（JCODE）和欧洲刑警组织等多个组织共同执行的打击暗网犯罪的行动中没收超650万美元现金和虚拟货币。

01

开发BitBox硬件钱包的瑞士公司ShiftCrypto透露，在Trezor和KeepKey硬件钱包中发现了一个漏洞，该漏洞允许攻击者在不靠近设备的情况下持有用户的加密货币以进行勒索。

02

瑞士硬件钱包提供商ShiftCrypto表示，Trezor和KeepKey硬件钱包中存在一个漏洞，可能会引发潜在的赎金攻击。Trezor硬件钱包的制造商SatoshiLabs向Shift Crypto支付了赏金，并表示在最近发布的升级中已经解决了这个问题。

03

风险投资家Tim Draper此前声称购买BCH或为乌龙事件。9月5日凌晨Tim Draper突发推特称已购买BCH，并对Roger Ver表示感谢。该条推文也引起了加密社区的关注。但OpenNode联合创始人João Almeida随后证实，Tim Draper推特账户已被泄露。

04

9月9日早间，加密浏览器Brave官方发推宣布，已整合网络安全公司PhishFort的开源解决方案，防止网络钓鱼攻击。此后Brave将检测加密骗局，并警告用户有关的可疑域名。

05

目前有一个比特币钱包成为了众多黑客的攻击对象，该钱包有69370枚BTC，价值7.14亿美元。目前这个钱包还没被人破解。

06

9月16日，美国司法部、美国国土安全部和美国财政部外国资产控制办公室宣布，已对两名使用复杂的网络钓鱼活动从三个不同的加密货币交易所的客户那里窃取至少1680万美元的俄罗斯国民实施制裁。

07

9月22日，加密衍生品交易所Deribit发推称，凌晨遭遇DDOS攻击，使得平台服务器难以访问。官方正在阻止攻击。目前，DDOS攻击已被阻止，官方已采取措施减少其他潜在问题。

08

闪电网络大额通道wumbo存在漏洞，使攻击者可以在几乎不费力气且零成本的情况下攻击支付通道，或导致通道瘫痪两周。

09

加密交易所Kraken的首席安全官Nick Percoco宣布，已在Kraken上发布了四个新的安全增强功能，将从今天开始向该交易所的所有客户开放。包括安全防护、安全检查、设备批准和设备管理，其中“设备批准”功能将特别对抗网络钓鱼攻击。

10

9月25日，据外媒报道，一种名为Alien的新木马病毒正在攻击Android手机上的加密应用程序，被攻击对象包括Coinbase、Blockchain.com和Luno。

鉴于当前区块链安全领域的新形势

『成都链安』温馨提示

从总体上看，9月区块链安全事件较8月份有所增加，整体安全事件发生数量较高。区块链安全形势依然严峻。

本月DeFi项目仍是安全热点话题，又有许多项目的智能合约被爆出漏洞，甚至一些已经被黑客攻击利用，造成了损失。成都链安在此呼吁项目方，在进行合约代码编写时，一定要保持严谨的逻辑，在项目上线之前，寻找专业的安全公司做好安全审计工作。

此外，本月发生的诈骗跑路事件较少，但是广大用户仍然不能放松警惕，在选择项目的时候仍然需要保持谨慎，留心考察项目资质、安全审计报告等。