成都鏈安：交易所安全問題時有發生，安全防范不容疏忽_RES:XPRESS幣

據成都鏈安統計數據顯示，近期交易所安全問題時有發生：1、BitpointJapan交易所熱錢包失竊，多種虛擬貨幣丟失，價值超35億日元。2、因亞馬遜旗下AmazonWebServices(AWS)緩存系統出現問題，導致眾多交易所交易出現交易和充提幣業務異常，甚至有以0.3美元成交了40多枚BTC。3、幣安交易所KYC資料遭泄露，據coindesk報道，黑客與幣安談判破裂后，在Telegram電報群中群發幣安用戶KYC信息。4、近期門羅幣鎖定轉賬攻擊在各大交易所出現，黑客通過發起鎖定交易，導致交易所被鎖門羅幣在鎖定時間內無法流通，限制其流通性。5、近期某交易所4億PTT被盜，部分被盜資金已被凍結。交易所欲通過要求項目方升級合約將被鎖定的2.8億代幣映射為新幣種來挽回損失。通過總結近期各種交易所安全事件和用戶丟幣事件，我們認為，交易所安全事件的問題來源主要有三點：1、用戶安全意識不足，導致誤入釣魚網站等進而私密信息被盜。2、交易所安全體系不夠完善，平臺自身存在安全漏洞。3、交易所外接數據服務或其他服務后，未針對不可控因素建立應急機制。隨著數字貨幣市場的回溫，眾多投資者開始進場，許多新交易所也出現在公眾視野，然而伴隨的交易所安全事件也頻繁發生。成都鏈安在此提醒：1、用戶在選擇投資平臺或者投資標的的時候，選擇不宜過于單一，數字貨幣市場是高風險的，不把雞蛋放到一個籃子以規避風險。2、投資者應提高安全意識，保證私鑰的存儲，使用安全，避免在不安全的環境下使用秘鑰，謹防釣魚詐騙等。3、交易所要對系統安全體系有足夠的重視，不僅要有合理的安全架構，更要對系統進行整體的安全測試，對于安全公司已經報出來的安全漏洞要及時自查，避免遭到同樣攻擊。4、交易所要建立完善的風控應急預案，交易所無論技術多么成熟也可能百密一疏被黑客找到可以利用的漏洞，因此在交易所系統中，突發事件引起交易異常和資金被盜時，完善的應急處理機制和補償機制就顯得尤為重要，例如采取風險基金來應對出現的安全事故，或者為用戶資金投保，來對沖數據泄露或盜幣事件對用戶資金帶來的影響。5、交易所項目方在難以對自身交易所系統進行全面的安全系統架構時，就需要考慮使用第三方的安全產品或與安全公司合作來共同打造交易所的安全交易環境和風控應急處理機制。

成都鏈安：Discover項目正在持續遭到閃電貸攻擊:6月6日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，Discover項目正在持續遭到閃電貸攻擊，攻擊者通過閃電貸使用BSC-USD大量重復兌換Discover代幣，其中一個攻擊者0x446...BA277獲利約49BNB已轉入龍卷風，攻擊交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻擊合約:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6

攻擊者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277[2022/6/6 4:05:40]

成都鏈安：fortress被盜金額已被轉換成1048eth并轉入了Tornado Cash:5月9日消息，據成都鏈安安全輿情監控數據顯示，fortress 遭受預言機價格操控攻擊，被盜金額已被轉換成1048eth并轉入了Tornado Cash。經成都鏈安技術團隊分析，本次攻擊原因是由于fortress項目的預言機FortressPriceOracle的數據源Chain合約的價格提交函數submit中，將價格提交者的權限驗證代碼注釋了，導致任何地址都可以提交價格數據。攻擊者利用這個漏洞，提交一個超大的FST價格，導致抵押品價值計算被操控，進而借貸出了項目中所有的代幣。

攻擊交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻擊者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻擊者合約：0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

成都鏈安：Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示，Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<- 主要漏洞，造成本次攻擊的根本原因。2.函數未做防重入攻擊；<- 次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。針對這兩個問題，成都鏈安在此建議項目方應做好下面兩方面：1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

Tags：RESFORESSANCXPRESS幣The FormsGlobal Business HubOceans Finance

非小號