PeckShield: 2月共發生安全事件11起，損失4,823萬美元

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發生11起較為突出的安全事件，危害程度評級為「中級」，受損金額4,823萬美元，涉及DeFi4起、交易所4起，DApp1起，個人被盜1起，錢包1起等。DeFi安全

2月份共發生4起DeFi安全事件，具體如下：1）02月15日，DeFi項目bZx團隊在官方電報群上發出公告，稱有黑客對bZx協議進行了漏洞攻擊。PeckShield安全人員主動跟進bZx攻擊事件，發現這起事件是針對DeFi項目間共享可組合流動性的設計進行攻擊，特別在有杠桿交易及借貸功能的DeFi項目里，該問題更容易被利用。2）02月18日，bZx再次遭遇了類似的攻擊，這一次的攻擊從技術原理與上一次不同，黑客通過操縱Oracle價格對bZx合約進行了“蒙騙”，而根本原因還是由于平臺間共享流動性過小以及價格機制設計缺陷導致的。3）02月23日，預言機Chainlink因一次功能升級時的人為錯誤，把黃金的價格錯誤地標記成了白銀的價格，造成了約四萬美元損失。4）02月29日，去中心化穩定幣交易平臺Curve出現一筆異常交易，該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD。攻擊者對Curve的busd.curve.fi以及y.curve.fi兩種資金池進行一次鉗形攻擊。PeckShield點評：隨著DeFi項目功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑒于其與用戶資產的緊密聯系，可見DeFi項目的安全問題非常嚴峻。由于各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平臺交互的過程中出現安全問題，進而腹背受敵。PeckShield在此建議，DeFi項目方在上線之前，應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。交易所安全

Web3 社交數據協議 Inspect 即將推出 INSP 代幣:5月30日消息，Web3 社交數據協議 Inspect 宣布即將發布 2.0 版本，Inspect 2.0 將在界面、產品套件有所改進，還會有創新的 DAO 架構。Inspect 同時表示即將推出 INSP 代幣。Inspect 提醒稱，當前未發布正式的 INSP 合約。[2023/5/31 11:49:01]

2月份共發生4起交易所安全事件，其中包含兩起黑客入侵：1）02月10日，Altsbit交易所存放熱錢包私鑰的服務器被入侵，熱錢包私鑰被盜導致用戶資產丟失。2）02月17日，VBITEX交易平臺發布公告稱被黑客入侵，導致平臺數據被惡意篡改、虛擬資產被盜。3）02月17日，FCoin交易所聲稱由于資金困難導致資金儲備無法兌付用戶提現，且預計無法兌付的資金規模介于7,000-13,000BTC之間。4）02月28日，OKEx、Bitfinex等交易所頻繁遭受DDoS攻擊，相關服務受到影響。其中針對FCoin交易所出現的資金困難問題，PeckShield安全團隊旗下可視化數字資產追蹤系統CoinHolmes對涉及的相關地址展開了定向追蹤和剖析。CoinHolmes鏈上追蹤系統囊括了數十個交易所，超6,000萬地址標簽，涉及BTC、ETH、USDT等多種主流數字資產。利用CoinHolmes一圖概覽FCoin資產流向，如下圖：

ApeCoin DAO社區關于新增投票“棄權”選項的提案已獲通過:2月2日消息，ApeCoin DAO社區關于新增投票“棄權”選項的AIP 200提案以71.76%的支持率獲得投票通過。根據該提案內容，除“贊成”和“反對”之外，添加的“棄權”選項可以讓社區成員積極參與投票而不必偏袒任何一方，從而使更多APE持有者參與DAO治理。一旦通過，ApeCoin DAO將會盡快添加棄權按鈕。[2023/2/2 11:42:47]

結合數據分析和可視化圖形展示，PeckShield安全人員猜測FCoin的資金鏈可能在2018年07月就出現了問題。PeckShield點評：透過FCoin此次事件，大家開始認識到中心化交易所因資產缺乏透明性而潛在的危機。這是一次災難，但同時希望也會是一次拐點，希望更多中心化交易所能夠認識到資金透明性以及準備金賠付機制的重要性。而對于交易所私鑰被盜，服務器遭受入侵等問題，PeckShield建議交易所使用更加安全的防范系統，保管好自己的私鑰，及時修補操作系統或第三方軟件漏洞。DApp生態

ApeCoin官方合約APE質押量已突破2000萬枚:金色財經報道，據ApeCoin官方質押合約數據顯示，自質押功能上線以來APE質押量已突破2000萬枚，截至目前為 24,180,317.158427385572535169 APE，價值約合 93,577,827.40 美元。據此前報道，Horizen Labs披露APE的質押獎勵將會在12月12日開始發放，未來三年將通過質押獎勵1.75億枚APE（占總供應量的17.5%），其中1億枚分配給第一年的獎勵。[2022/12/9 21:32:48]

2月份共發生1起DApp安全事件，存在于TRON網絡。具體而言，02月03日，TKnzni地址開頭的黑客通過創建攻擊合約的方式對TGsyJF開頭的LuckLambo104合約地址持續發起交易回滾攻擊，并獲利6,588個TRX。PeckShield點評：DApp生態安全事件大多都是由合約玩家導致的，DApp在接收玩家代幣或者返利之前應檢查目標賬戶是否為智能合約。同時開發者在合約上線前應做好安全測試，防御已知的攻擊方式，必要時可尋求第三方安全公司協助，幫助其完成合約上線前攻擊測試及基礎安全防御部署。SIM卡攻擊

PeckShield：Ankr被盜資金已轉移到Tornado Cash:12月2日消息，區塊鏈安全機構PeckShield Alert發推表示，Ankr Exploiter 已經開始將以太坊上被盜的資金轉移到 Tornado Cash。[2022/12/2 21:18:38]

2月份發生了一起BTC巨鯨賬號被盜大案，02月22日，一名自稱“zhoujianfu”的用戶在Reddit發帖稱遭受黑客攻擊，損失了1,547個BTC和60,000個BCH，價值約2.6億人民幣，這是近幾年最大的個人被盜事件。根據受害者提供的地址，PeckShield安全團隊旗下可視化數字資產追蹤系統CoinHolmes很快鎖定了黑客的相關地址，并展開了定向追蹤和剖析，最終繪制了一個可視化路徑轉移全景圖：

Horizen Labs發布ApeCoin質押技術文檔:10月19日消息，據負責創建ApeCoin DAO質押系統的Horizen Labs官方發布了DAO質押系統技術文檔（一共7個部分），以便第三方開發人員可以審查代碼并將APE質押納入他們的平臺，同時激勵ApeCoin DAO生態系統的參與度。該文檔指出，ApeCoin質押合約部署在Goerli測試網絡和以太坊主網上，Ape質押開始時將上線的四個質押池，分別是：

1. 一個普通的ApeCoin池，任何持有APE Token的人都可以加入；

2. 一個BAYC池，BAYC持有者可以在其中質押APE Token，每只Bored Ape可質押最高價值10,094枚APE Token；

3. 一個MAYC池，MAYC 持有者可以其中質押APE，每個Mutant Ape 最多質押 2,042 枚 APE Token；

4. 一個BAKC與BAYC Ape或BAKC與Mutant Ape組合質押的配對池。[2022/10/20 16:30:40]

如圖所示，此次黑客轉移鏈上資金的手法非常專業、復雜，以致于用可視化工具做出來之后已經沒了明晰的分層和脈絡。通過跟進分析巨鯨賬戶被盜的BTC資產，PeckShield安全人員發現黑客在盜取1,547個BTC后，迅速把資金切割分散，進行小額拆分，并進一步試圖通過更復雜的混淆系統，讓資產追蹤變得極其困難。自02月22日事件發生以來，短短幾天時間，黑客就用了上百個地址來轉移資金，最深的層級達到了20層，在資金拆分轉移的過程中，已有11.19個BTC通過多次交易流入到了Bittrex交易所地址。截至目前，大部分被盜資金還駐留在黑客地址中，PeckShield也正鎖定監控目標資金轉移進一步的動向。PeckShield點評：有理由相信，此次攻擊的黑客是一支專業和技術過硬的團伙。該團伙從選定目標，到鏈上+鏈下長時間的追蹤和突破，下了不少功夫。這似乎給一些早期獲得加密資產且獲利頗豐的大佬們提醒，需警惕SIM卡攻擊，網絡釣魚等常見的盜幣手段，謹慎保護好自己的加密資產。其他

除上述之外，2月份還有一些安全事件同樣值得警惕：1）黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金，官方之后宣布關閉整個網絡。2）警惕名為“浣熊(Raccoon)”的惡意軟件利用網絡釣魚和工具包通過瀏覽器來竊取用戶的數據和加密貨幣。PeckShield點評：因用戶安全意識欠缺且操作規范性造成的各類安全隱患一直層出不窮，釣魚攻擊、詐騙等各類事件就是典型。在此提醒，用戶應謹慎保管各類私密信息，任何小的疏忽都可能造成不可挽回的損失。

Tags：APECOIOINCOINEveryApeChronoCoinGood Boy Pointskucoinpro交易所

中幣交易所