6月發生典型安全事件超36起 “DeFi”與“虛擬貨幣詐騙”安全風險居高不下_EFI:DEF

據成都鏈安安全輿情監控數據顯示：2021年6月，據不完全統計，整個區塊鏈生態發生的典型安全事件超36起，整體安全風險評級為。本月，依然是典型安全事件頻發的主要陣地，“閃電貸攻擊”依然是黑客采取的主要攻擊手段。另外，安全態勢同樣嚴峻，不可掉以輕心。

較5月而言，DeFi生態的攻擊事件不再局限于BSC鏈上項目，隨著DeFi生態趨于繁榮，各類DeFi項目也由于其產品設計與實現上的不同，暴露出了不同的安全風險。例如，xWinFinance被黑事件中，攻擊者就利用了項目本身在“推廣手段和獎勵機制”上存在的漏洞而發動攻擊；而在SafeDollar被黑事件中，攻擊者則是利用了項目合約在“抵押和計算獎勵”上存在的邏輯缺陷。

以下為本月安全月報的詳細事項。

交易所方面

共發生『2』起典型安全事件

01

韓國當局新規，交易平臺工作人員如果在自己的平臺上進行交易，其交易平臺將面臨最高1億韓元的罰款和暫停交易許可。

02

韓國警察因涉嫌違反有關限制非法信用行為的法律和詐騙，逮捕了虛擬貨幣交易平臺“VGlobal”的代表A某和經營人員等4人。

DeFi方面

Aptos基金會將于6月在阿姆斯特丹舉辦Aptos Hack Holland，現已開放申請:5月24日消息，Aptos 基金會宣布將于 6 月 5 日至 7 日在荷蘭阿姆斯特丹舉辦 Aptos Hack Holland，現已開放申請。此次黑客松的五大賽道為 NFT、社交和游戲；DeFi 和支付；基礎設施、工具和公共產品；Move 創新產品；人工智能 (AI)。每個賽道的獎項設置為一等獎 3 萬美元，二等獎 2 萬美元，三等獎 1 萬美元，獎金將以美元和 APT 的形式提供。[2023/5/24 15:22:46]

共發生『11』起典型安全事件

01

PancakeHunny遭遇黑客攻擊，短時間內增發大量的代幣并拋向市場。

02

SushiSwap幫助Alchemix發現了一個能從他們的獎勵合約中抽走ALCX的漏洞，從而Alchemix請求SushiSwap禁用他們的“雙挖獎勵”。

03

收益農場EvoDefi遭到攻擊，導致其代幣GEN價格從2.1美元/枚跌至0.9美元/枚，跌幅達57%。

04

DeFi固定利率生成協議88mph，發布init()函數嚴重漏洞的修復報告。

城市數藏“景德鎮古窯”數字藏品6月11日正式上線:金色財經消息，6月11日是2022年全國“文化和自然遺產日”，江西報業傳媒集團旗下贛商傳媒“城市數藏”推出的第二款數字藏品——景德鎮古窯數字藏品也將于當日正式上線。

景德鎮古窯數字藏品，由贛商傳媒聯合5A級旅游景區景德鎮古窯民俗博覽區共同打造，以2022年文化遺產日為契機，與景德鎮“文化和自然遺產日”系列活動中明清御用風火窯復燒點火儀式同步發售，旨在通過數字化的形式呈現景德鎮已經修復并復燒的十一座古窯，更好傳承和保護景德鎮非遺項目，宣揚陶瓷文化。（瀟湘晨報）[2022/6/10 4:16:55]

05

AlchemixalETH池疑似出現漏洞，用戶可以在未償還alETH債務的情況下提出抵押的ETH。目前團隊已停止該池的抵押借貸并展開調查。

06

DeFi協議ImpossibleFinance疑似遭到閃電貸攻擊。

07

ElevenFinance中與Nerve相關的機槍池或遭閃電貸攻擊。NerveFinance團隊表示資金安全。

08

6月25日，BSC鏈上DeFi協議xWinFinance遭到閃電貸攻擊。

美聯儲FOMC聲明：6月開始縮表，三個月內逐步提高縮表上限至每月950億美元:5月5日消息，美聯儲FOMC聲明顯示，6月1日開始以每月475億美元的步伐縮表；三個月內逐步提高縮表上限至每月950億美元，即每個月縮減600億美元美國國債和350億美元抵押貸款支持證券（MBS）。預計“繼續”加息是合適的，“高度重視”通脹風險；將超額準備金率由0.4%上調至0.9%；將隔夜回購利率由0.5%上調至1%。（財聯社）[2022/5/5 2:50:21]

09

6月28日，SafeDollar疑似遭到黑客攻擊，一份未經證實的合約抽走了25萬美元的USDC和USDT。

10

THORChain遭受到惡意攻擊，該次攻擊造成14萬美元資金損失，但THORChain表示用戶資金不會受到影響，將會用資金庫來彌補漏洞資金。

11

收益聚合器MerlinLab，由于MerlinStrategyAlpacaBNB中存在的邏輯漏洞遭到了黑客的攻擊，其漏洞是合約誤將收益者轉賬的WBNB作為挖礦收益，使得合約增發更多的$MERL作為獎勵。

Beosin評論?

本月，DeFi方面典型安全事件突破“10起”關口，安全態勢依然嚴峻。諸如閃電貸攻擊、業務邏輯漏洞、項目獎勵機制等原因，均成為了黑客發動攻擊行為的“裂口”，因此作為項目方而言，切記要注重項目本身的設計和實現。必要時，可借助第三方安全公司的力量，開展項目自查工作，排除可能存在的安全隱患。

YouSwap將于6月18日18:00新增HOD、IOI、AMP 流動性挖礦:據官方消息，YouSwap將于6月18日18:00新增HOD/USDT,IOI/USDT,AMP/USDT 流動性挖礦?。

YouSwap將于6月18日18:00（UTC+8）于ETH鏈聯盟區新增開啟AMP/USDT和IOI/USDT 流動性挖礦，于BSC鏈開拓區新增開啟HOD/USDT流動性挖礦,用戶可以通過質押以上幣對的LP來挖礦YOU。

截至6月18日14:00，YouSwap累計交易總額達82,347,589USDT，YOU總銷毀數量達362,142，累計挖礦總產值4,132,513USDT。[2021/6/18 23:47:43]

詐騙跑路/加密騙局方面

共發生『8』起典型安全事件

01

6月1日，涉嫌通過比特幣點對點平臺LocalBitcoins進行詐騙的2名男子被拘留。在該詐騙中，近36人以及約13.6萬美元的虛擬貨幣被騙。

02

6月12日，推特用戶稱收到了來自詐騙團隊的郵件，其打開了其中附帶的MicrosoftWord標識的scr文件，隨后便遭到攻擊。

03

動態 | FATF將于6月審查各國關于FATF新監管指南的執行情況:韓國金融服務委員會（FSC）發布關于2020年2月FATC大會的討論結果。FATF第31屆第二次大會于2020年2月16日至21日期間在法國巴黎舉行。韓國金融委員會金融信息分析院（FIU）等9個部門組成的韓國政府聯合代表團出席了該會議。會議討論的主要內容包括完善與加密資產交易相關的反洗錢方案和FATF對未履行國際標準的國家采取的措施和評價。

1. FATF將于2020年6月審查各國關于FATF新監管指南的執行情況，并將結果作為報告。主要檢查領域包括：虛擬資產經營者在反洗錢、禁止恐怖主義融資等方面是否有所進展，以及虛擬資產領域的風險、市場結構以及ML/TF（洗錢/恐怖融資）類型是否有潛在變化等。

2. 為確保關于虛擬資產匯款時匯款人和收款人信息規定的完整執行，決定促進與民間專家小組的持續合作。

3. 與穩定幣相關的ML/TF風險分析結果和FATF國際標準適用方案將于2020年7月向G20報告。

據此前報道，去年6月份，FATF修訂了國際標準，并稱，濫用虛擬資產的犯罪和恐怖主義威脅嚴重而緊迫”，將給各國12個月的時間來遵守這些新規，并將于2020年6月進行審查。（Fsg）[2020/2/24]

英國諾丁漢郡一名男子稱被虛假的經紀公司在加密騙局中竊取了20萬英鎊。

04

幣安智能鏈上穩定幣兌換自動做市商StableMagnetFinance，卷走用戶2200萬美元后跑路。

05

虛擬貨幣投資平臺Africrypt創始人失聯，平臺上6.9萬枚比特幣被轉移。

06

6月24日，西昌市局在強化打擊電信網絡詐騙犯罪過程中，首次打掉利用虛擬貨幣為電信網絡詐騙犯罪“洗錢”的團伙。

07

歐洲刑警組織打擊了比利時龐氏騙局Vitae。在此次行動中，執法人員收回了110萬歐元現金和150萬歐元的虛擬貨幣。

08

有騙子冒充虛擬貨幣分析師PlanB的身份，在推特上進行詐騙，已有許多人的資金被盜。

Beosin評論

近兩個月以來，發生在的典型安全事件居高不下，足以見得，虛擬貨幣詐騙已越發成為影響整個區塊鏈安全生態的“害群之馬”。日益高發的安全態勢不僅嚴重威脅到用戶財產安全，也對區塊鏈整個行業向好發展帶來巨大阻力，這值得引起警惕！

勒索軟件/挖礦木馬方面

共發生『4』起典型安全事件

01

美國司法部日前指控拉脫維亞公民AllaWitte涉嫌參與一個國際網絡犯罪組織，該組織創建并部署了一套名為Trickbot的計算機銀行勒索軟件，試圖欺騙消費者、企業和其他組織。

02

美國追回了之前支付給Colonial?Pipeline勒索軟件黑客的數百萬的虛擬貨幣。

03

巴西肉類加工JBSSA美國子公司JBSUSAHoldings首席執行官AndreNogueira稱，公司已向網絡犯罪分子支付了1100萬美元贖金，以解決勒索軟件攻擊。

04

門羅幣惡意挖掘軟件“Crackonosh”已感染22.2萬臺計算機。

其他方面

共發生『11』起典型安全事件

01

6月3日，蘋果聯合創始人蒂夫·沃茲尼亞克去年7月起訴YouTube，指控該平臺放任他人利用自己的的形象發布比特幣詐騙視頻，該訴訟周三被加州一家法院駁回。

02

韓國虛擬貨幣交易所Upbit的11名用戶對其運營商DunamuInc.提起集體訴訟，要求賠償疑似因技術故障導致的資金損失。

03

斯里蘭卡總理官方網站遭匿名黑客團體入侵，并被重新定向到了另一個名為去中心化虛擬貨幣比特幣的網站。

04

SiaStats發推稱Sia網絡在最近48小時內一直受到DDoS攻擊，最大的目標是網絡主機、存儲供應商，大約30%遭遇停電。

05

DeFi資產管理平臺Zapper發推稱，其在舊版“PolygonBridge”智能合約中發現了一個漏洞，該漏洞允許攻擊者竊取無限批準的資金。

06

有Twitter用戶表示Curve上100萬美元USDC/ETH的交易比1000萬美元的USDC/ETH交易的滑點更高，疑似是路由選擇錯誤導致。目前該漏洞已被修復。

07

孟買居民MakarandPardeepAdivirkar被印度禁局逮捕，他被稱為該國地下循環中的“加密王”，印度虛擬貨幣交易所Wazirx表示，被告不是其客戶。

08

算法穩定幣協議MaltProtocol公布了一項計劃，以補償受到漏洞影響的投資者，這些漏洞阻礙了該協議的推出，并鎖定了流動性提供者。

09

一位名叫HwangByung-gwang的稅務官員，憑借敏銳的調查技巧成功追回了高達3200萬美元的稅款資金，國家稅務局決定表彰并授予他“優秀公務員”的稱號。

10

安全公司Fireblocks回應StakeHound價值7500萬美元以太坊丟失事件，稱其事件是因為StakeHound未按照要求使用第三方容災服務備份BLS密鑰導致，而該要求在雙方簽訂協議時已通過書面傳達。

11

6月29日，英國Natwest銀行出于對投資詐騙和欺詐的擔憂，限制了客戶每天可以發送給虛擬貨幣交易所的金額。

鑒于當前區塊鏈生態的安全態勢，『成都鏈安』在此總結：

從總體上來看，6月典型安全事件較5月略微上升，整個區塊鏈生態的安全態勢依然處于。不難看出，在6月的安全事件類型分布上，以及依然需要區塊鏈各方從業者引起重視。

就而言，隨著DeFi生態的持續發展，各類五花八門的DeFi項目如雨后春筍般不斷涌入，其鏈上資產集聚程度越高，用戶覆蓋程度越廣，自然就越發會成為黑客的攻擊目標。成都鏈安·安全團隊建議各大DeFi項目方一定要做好安全審計和安全防范工作。

就而言，隨著虛擬貨幣市場的高速擴張，各類詐騙、跑路犯罪活動也日益猖獗。成都鏈安·七星實驗室注意到，近期有越來越多的不法分子開始利用虛擬貨幣進行著諸如詐騙、傳銷、洗錢、網絡賭博等違法犯罪活動，建議投資者勿盲從、勿輕信，避免掉進不法分子“精心炮制”的陷阱。

Tags：EFIDEFDEFIUSDValuedefi vSWAPdefi幣如何挖礦Defi Tigerusdd幣怎么挖礦

AVAX