11月共发生平安事宜 35 起，DeFi 为何沦为一小撮人的狂欢？_数字货币

[2021-02-10 09:24:51] 来源：编辑：wangjia 点击量：

评论 点击收藏

导读： Libra将更名为Diem，为2021年推出美元稳定币做准备Diem 协会 CEO：更名是为了表明协会是自主和独立运作的。据 PeckShield 态势感知平台数据显示，已往一个月，整个区块链生

Libra将更名为Diem，为2021年推出美元稳定币做准备

Diem 协会 CEO：更名是为了表明协会是自主和独立运作的。

据 PeckShield 态势感知平台数据显示，已往一个月，整个区块链生态共发 35 起较为突出的 DeFi 平安事宜，危害水平评级为「高级」。涉及 DeFi 相关 13 起、钱包平安 2 起、勒索相关 5 起，诈骗事宜 10 起、其他攻击 5 起。

黑客肆虐，DeFi为何沦为一小撮人的狂欢？

牛市来临之后，DeFi（去中央化金融）一度被誉为支持加密钱币成为今年真正“头号”投资产物的要害。

据 DappTotal 数据显示，11月以来，DeFi 的总锁仓量突破新高。

整个 DeFi 生态一副欣欣向荣的情景。然而，另一边，DeFi 正陷入弱代码流行病的困扰。据 PeckShield 统计，11月共发生逾 13 起与 DeFi 相关的平安事宜，造成损失近 5000万美元。

11月1日，YFI 披露一个新的闪电贷平安破绽，团队在 1.5 个小时后移除该破绽；

11月2日，主网仅上线几个小时的 Axion Network 遭到黑客攻击，黑客行使其质押相关破绽铸造 790亿枚代币 AXN，导致其代币价钱短时下跌 100%，而且损失 50万美元；

11月6日，PercentFinance 因泛起破绽而冻结了 100万美元的代币，包罗 44.6万枚 USDC、28 枚WBTC 和 313 枚ETH；

11月7日，PeckShield 监控到黑客行使闪电贷（Flash loan）通过一笔买卖攻击一家去中央化数字银行 Cheese Bank，凭空套利 330 万美元；

11月10日，JustSwap 白名单 DeFi 项目 SharkTron 被窃取价值 1000万美元的波场币（TRX），波场团结币安冻结部门资金；

11月14日， PeckShield 监控到黑客行使 Akropolis 项目存在的存储资产校验缺陷，向合约提议延续多次的重入攻击，凭空增发大量的 pooltokens，掳走 203万枚 DAI；

11月15日，PeckShied 监控到黑客行使 Value DeFi 协议中基于AMM 算法的价钱预言机 (Curve) 存在的破绽，操作 Curve 上代币的价钱，铸造 pooltokens，最终赢利 540万美元

11月17日，PeckShield 监控到 DeFi 协议 Origin Protocol 稳固币 OUSD 遭到攻击，攻击者行使dYdX 的闪电贷举行重入攻击（Re-entrancy attack)，造成价值 770万美元的 ETH 和 DAI 的损失；

11月18日，PeckShield 监控到仅上线 48小时的 DeFi 牢固利率借贷协议 88mph 存在代码破绽，攻击者行使该破绽铸造价值 10 万美元 MPH 代币

11月22日，PeckShield 监控到曾被 V神发推文赞赏的 DeFi 项目 Pickle Finance（酸黄瓜），因被黑客攻击未经审核新创建的智能合约破绽，损失近 2000万美元的 DAI；

11月26日，Compound 遭预言机攻击，9000万美元资产遭整理。此次 Compound 巨额整理是由于预言机信息源Coinbase Pro的DAI价钱猛烈颠簸导致的，操控预言机所依赖的信息源举行短时间的价钱操作以杀青误导链上价钱是典型的预言机攻击；

11月29日，RGT Distributor 的合约泛起破绽，智能合约 DeFi 智能投顾 Rari Capital 公布官方推特称已修复合约破绽，没有资金丢失；

11月30日，流动性挖矿项目 SushiSwap 遭到流动性提供者攻击，该攻击者通过一笔买卖中获取了 1 至 1.5万美元，随后该修复通过 PeckShield 审核。

区块链天下信仰“Code is Law”，以为代码即执法，分布式手艺可确保数据不能窜改，最大水平地保证系统平安，但现在基于区块链手艺开发的 DeFi 为何频遭平安问题困扰？

PeckShield 相关负责人剖析道：“DeFi 的金融属性强，与资金绑定慎密，一旦发生平安事宜，大概率会直接涉及到切身利益，但此类平安问题并非没有破解的方式。DeFi 还处于生长阶段，在主网上线前，一定要确保代码举行彻底地审计和研究。例如 Pickle Finance（酸黄瓜）被攻击的事宜，略过了新增代码的审计，造成黑客有机可乘。同类 DeFi 被攻击后，要实时确认自己的合约是否也存在类似的破绽，或者追求专业的审计机构，例如 PeckShield 对同类攻击举行监控。”

数字钱包平安

据 PeckShield 统计，11 月份共发生 2 起典型的钱包平安事宜：11月6日，Ledger 钱包用户因钓鱼诈骗损失逾 110万枚 XRP。诈骗者行使钓鱼邮件将用户指导到一个冒充的Ledger网站上，并诱骗用户下载了冒充为平安更新的恶意软件，从而导致 Ledger 钱包余额悉数被盗。

11月9日，ElectrumSV 多签方案泛起严重破绽，致使用户被盗 600 BSV。

其他攻击

除此之外，11 月份还发生了多起其他攻击事宜：

11月3日，挖矿木马团伙 z0Miner 行使 Weblogic未授权下令执行破绽（CVE-2020-14882/14883）入侵 5000 台服务器。该团伙通过批量扫描云服务器发现具有Weblogic破绽的机械，发送经心组织的数据包举行攻击。之后执行远程下令下载 shell 剧本 z0.txt 运行，再行使该 shell 剧本植入门罗币挖矿木马、挖矿义务内陆持久化，以及通过爆破 SSH 横向移动；

11月8日，Grin Network 遭到 51％攻击；

11月11日，恶意节点试图通过 Sybil 攻击滋扰 Monero 网络，以获取有关Monero区块链上用户的信息。据悉，Sybil 攻击是对 P2P 网络的恶意攻击，小我私家或组织试图通过使用多个身份控制多个账户或节点来接管网络；

11月19日，挖矿木马 4SHMiner 行使破绽针对云服务器攻击，已控制约 1.5万台服务器挖矿；

11月21日，BCHA 链遭攻击，网络发生大量空块。

PeckShield 相关负责人示意：“近年来，针对加密钱币的攻击日益增多，平安事宜频发。对于企业用户而言，一方面，针对加密企业服务器上的文件，应该实时给服务器打好平安补丁，同时制止使用弱口令，关闭不必要的端口；另一方面，应该加强对钓鱼邮件的阻挡，提醒员工不要容易打开来历不明的邮件，而且保持平安软件运行状态。对于小我私家用户而言，需要小心来历不明的邮件，保持平安软件运行状态，实时修复电脑破绽，而且养成优越的上网习惯，不使用外挂等病毒高发点的工具。针对系统性破绽，需要养成对重要文件备份的习惯，使用U盘、硬盘等存储工具对重要文件举行备份，未雨绸缪，提防于未然。”

敲诈勒索

随着区块链手艺的生长，以及愈来愈多人对区块链领域的关注，这推动了区块链的日益普及，但也让各式圈套应运而生，以区块链观点包装、传销方式举行推广的资金盘层出不穷，同时黑客、攻击者也在将注意力转移到加密钱币上。

据 PeckShield 统计，11月共发生 10 起敲诈相关平安事宜；

11月1日，KP3R 和 CORE 的仿盘项目 KPER 和 KORE 疑为圈套，币价短时暴跌几近归零；

11月2日，上海市虹口区人⺠检察院对 8 名为行使虚拟钱币协助诈骗分子转移逾 1500万元钱款的 “中间商”提起公诉;

11月3日，宿迁警方破获数商中国数字钱币诈骗案，涉案金额达 220万元；

11月6日，涉足区块链的A股上市公司斯莱克遭电信诈骗，损失 205万美元(折合人⺠币约为 1355 万元);

11月10日，南京六合警方破获一起与比特币相关的诈骗案，抓获涉案人员 10名，追回诈骗款 10万余元；

11月12日，常州涌现“罗⻢币买卖所”平台敲诈圈套，警方提醒谨防“变种”诈骗;

11月14日，山⻄忻州警方破获“SZSE数字钱币买卖所”诈骗案，涉案金额逾 1000万元；

11月16日，泉州市⺠举报MARK买卖所买卖诈骗，涉案金额高达 25亿元;

11月20日，江苏警方破获柬埔寨水晶国际区块链圈套，涉案金额逾 1000万元；