PeckShield：8月共发生28起安全事件，DeFi市场成重灾区

PeckShield态势感知平台数据显示，近一个月，整个区块链生态共发生28起突出安全事件，危害程度为“中”，涉及DeFi 8起，钱包安全，公链安全6起，交易所1起，敲诈勒索4起，诈骗跑路7起。

DeFi安全

8月共发生8起DeFi相关安全事件，具体如下：

1）DeFi项目Yam Finance（YAM）发推称在Rebase合约中发现了一个bug。 初始变基之后的变基将产生比预期更多的 YAM。 详情请参考PeckShield安全团队的技术解读文章《》后续分析

2）DeFi项目YFValue（YFV）昨日宣布团队发现YFV质押池存在漏洞，恶意参与者利用该漏洞单独重置质押中的YFV定时器。

3）8月5日，DeFi期权平台Opyn的看跌期权（Opyn ETH Put）智能合约遭到黑客攻击，损失约37万美元。 攻击者发现Opyn智能合约练习（exercise）接口在处理收到的ETH时存在一些缺陷。 合约没有核对交易者的实时交易金额，使得攻击者可以向自己发起真实交易后，插入虚假交易骗取卖家抵押的数字资产，进而实现两手空空。 详情请见“”

4）YFII硬分叉项目YYFI在8月1日凌晨彻底沦为“退出骗局”，从一开始，这个项目似乎就下定决心要为自己的出逃做准备。

5）推特上有网友爆料，DeFi流动性挖矿项目Degen.Money通过两次授权获得用户资金。 第一次授权给质押合约，第二次授权给转让权，这会导致用户的资金被攻击者拿走。

6）新兴自动做市商平台SushiSwap被曝存在多个智能合约安全漏洞。 该漏洞可能被智能合约所有者利用，允许智能合约所有者执行任意操作，包括在未经授权的情况下提取智能合约账户中的代币。 同时，该项目的智能合约也存在严重的重入攻击漏洞，会导致潜在攻击者的恶意代码被多次执行。

7）DeFi流动性挖矿匿名项目BASED正式宣布将重新部署质押池。 官方推文称，黑客试图永久冻结“Pool1”，但尝试失败。 “Pool1”将按计划继续进行。

8) 两个小型代币项目——NUGS 和 NEXE——在 Uniswap 上线后不久就被怀疑进行了“跑路诈骗”。 NUGS 项目将此举归咎于“智能合约错误”，在其官方 Telegram 频道上，NUGS 表示其智能合约现在“无法修复”。 另一个项目NEXE也疑似跑路，该项目的社交媒体账号已被删除。

PeckShield点评：随着DeFi项目的功能越来越多样化，隐藏的安全问题也逐渐暴露出来。 鉴于其与用户资产的紧密联系，DeFi项目的安全问题十分严重。 由于每个项目由不同的团队开发，对各自产品的设计和实现了解有限，集成后的产品在与第三方平台交互的过程中很可能出现安全问题，进而遭敌。 PeckShield在此建议，在DeFi项目上线前，尽量找一个对DeFi各个环节的产品设计有深入研究的团队做完整的安全审计，避免潜在的安全风险。

数字钱包安全

8月发生2起钱包安全事件：

1）一位GitHub用户称，他的巨额比特币被黑客盗走。 据悉，用户使用的是比特币钱包Electrum软件收到黑客威胁btc邮件，该软件最后一次访问是在2017年。此后Electrum发布了安全更新，但用户一直没有安装，因此在转账前被提示更新并修复潜在问题这次是比特币。 但当他按照提示操作时，软件利用漏洞连接到黑客的服务器，1400 BTC（价值1600万美元）立即从他的钱包中取出，存入黑客的钱包。

2）据8月30日消息，加密钱包提供商Ledger近期出现数据库泄露和钱包漏洞，用户比特币面临风险。 Ledger 首席技术官 Charles Guillemet 表示，“就数据库泄露而言，攻击者通过第三方在我们网站上错误配置的 API 密钥访问了我们的电子商务和营销数据库的一部分，允许未经授权访问我们的客户。” 联系方式和订单数据。 Ledger 在同一天修复了这个问题并禁用了 API 密钥。

PeckShield点评：数字钱包作为私钥管理工具，是离加密资产最近的地方。 冷钱包虽然是一种与网络脱节的离线钱包，但也存在物理攻击和盗窃的风险。 对于网页钱包等热钱包，用户还应提防钓鱼、恶意代码注入等攻击。

公链安全

8月，共发生6起公链安全事件：

1）8月4日上午，Adamant Capital创始人Tuur Demeester发推称，今天的比特币全节点可能遭受连接槽耗尽攻击。 根据Tuur Demeester转发的Blockstream副总裁Warren Togami发布的消息，他监控的几个比特币全节点的传入连接槽全部爆满。 Warren Togami 表示，当公共传入连接槽耗尽时，来自 localhost 的传入连接将停止。

2) 根据北京大学、北京邮电大学、浙江大学和昆士兰大学的研究人员的一项新研究，以太坊区块链上价值超过 10 亿美元的代币缺乏 2017 年发布的软件标准，使它们成为代币很容易被劫持并从交易所丢失。 该软件漏洞被称为虚假存款漏洞，已在 7,772 个 ERC-20 令牌发行者中被发现。 研究表明，通过操纵使用不充分交易验证方法的 ERC-20 代币智能合约中的代码，黑客几乎可以无成本地骗取大量资金。 然后，假存款攻击可能会使交易所崩溃，导致 ERC-20 代币和其他加密货币的持有者损失资金。

3）OpenEthereum的一个更新使得运行在新版本上的节点基本无用，这个bug似乎是在OpenEthereum的2.7.2版本中引入的。 OpenEthereum 决定简单地废弃 2.7 版，因为这个版本及其错误很难修复。 最新的 2.5.13 稳定版计划于 9 月中旬在柏林硬分叉之前发布。 然而，在此之前，下载新版本的运营商将面临降级的高度破坏性任务。 基础设施开发商 BlockNative 的开发者 Liam Aharon 在 Twitter 上强调，降级将需要区块链的完全重新同步，“这将需要几个月的时间来完成一些节点配置。” 根据 Ethernodes，这些节点合计占整个网络的 12%。 OpenEthereum 团队正在研究一个过渡过程，该过程将帮助节点避免代价高昂的重新同步。

4）Bitfly（Ethermine矿池母公司）发推文称，今天，ETC区块链在区块高度10904146处经历了3693个区块的链重组。这导致所有状态构建器停止同步。 这可能是51%攻击造成的，随后官方要求所有交易所立即停止充提币，并对近期所有交易进行排查。

5）8月30日，Bitfly（Ethermine矿池母公司）官方推文称，ETC今日再次遭遇大规模51%攻击，导致7000多个区块重组，相当于2天左右的挖矿时间. 所有缺失的区块都将从未过期的余额中移除，这将检查所有支出是否存在缺失交易。

6）8月25日，Filecoin太空竞赛打响之际，CDSI联盟节点“t02398”遭受大量恶意非法攻击。 攻击者通过过滤后的白名单发送大量消息对节点进行封杀，消耗Lotus节点大量计算，导致节点无法正常完成任务。 导致计算能力的损失。

PeckShield点评：一旦发现公链上的漏洞，将对整个链生态产生很大的影响。 因此，公链在正式版上线前必须做好安全测试和漏洞排查，并寻求第三方安全公司的审计，避免漏洞的威胁。 公链生态。

交易所相关

8月共发生1起与交易所相关的安全事件：

1）韩国第三大数字货币交易所Coinbit被韩国警方查封调查。 其董事长和经营者涉嫌内部交易和操纵市场价格。 据悉，Coinbit是仅次于Bithumb和Upbit的韩国第三大交易所。 据警方介绍，该公司涉嫌使用非法手段赚取至少1000亿韩元（约合8500万美元）的非法利润，Coinbit涉嫌造假超过99%的交易量。

PeckShield点评：黑客窃取资产洗钱后，无论过程多么精细复杂，交易所一般都是作为套现渠道的一部分。 这无疑对各大数字资产交易所的KYC和KYT业务提出了要求，交易所应加强反洗钱反洗钱和资本合规审查。 详情可查阅了解。

勒索相关

8 月份发生了四起与勒索软件相关的安全事件：

1) 在过去的几周里，一个犯罪团伙对世界上一些最大的金融服务提供商发起了 DDoS 攻击，索要比特币赎金。 众所周知，该组织曾使用诸如 Armada Collective 和 Fancy Bear 之类的名称——这两个名称都是从知名黑客组织借来的——向电子邮件公司发出 DDoS 攻击威胁并要求以比特币支付赎金。

2）勒索软件犯罪团伙REvil（又称Sodinokibi）声称已成功攻击美国葡萄酒和烈酒巨头Brown-Forman Corp，黑客在其官方暗网博客上以约150万美元的价格出售窃取的数据。 不过，Brown-Forman Corp 在一份声明中表示，他们已成功阻止网络犯罪团伙对文件进行加密。

3) 在几家公司周二早上收到勒索比特币的电子邮件后，奥地利警方正在调查炸弹威胁勒索事件激增的情况。 邮件内容显示，如果在接下来的 80 小时内未支付价值 20,000 美元的比特币，他们将引爆炸药。 奥地利媒体称，该电子邮件还包含有关如何购买比特币的说明。

4）特斯拉通过与联邦调查局的合作，成功破解了一场有计划的勒索软件攻击。 据悉，此次攻击的目标是内华达州的一家特斯拉工厂，攻击者要求特斯拉支付价值数百万美元的比特币。

PeckShield点评：勒索软件安全事件一直是影响整个互联网生态的一大隐患，不仅限于区块链生态。 而且，在区块链领域的加密货币逐渐普及之后，不法分子往往会利用比特币等加密货币较好的匿名性进行敲诈勒索和诈骗。

其他诈骗逃逸等事件

除了上述之外，8月份还有多起诈骗逃逸事件值得我们警惕，例如：

1）兰州市公安局安宁分局近日成功捣毁了一个利用虚假金融平台实施电信、网络诈骗犯罪的犯罪团伙。 共抓获犯罪嫌疑人41名，冻结涉案赃款27万余元，查扣宝马轿车2辆。 动用手机、电脑等工具作案100余台（部）。

2）8月20日，江苏省苏州市公安局获悉，在“清网2020”专项行动中，该市破获了一起针对虚拟货币的黑客犯罪，抓获多名犯罪嫌疑人。 犯罪嫌疑人专门采用黑客手段盗取账户密码和虚拟货币，并通过暗网联系专业洗钱和销售团伙套现，涉案金额3000余万元。

3）以色列网络安全公司Mitiga建议所有运行某些程序的亚马逊网络服务（Amazon Web Services）客户检查是否被门罗币挖矿软件恶意感染。 Migita 在今天的一份报告中表示，任何运行基于社区 AMI（亚马逊机器映像）的 EC2 实例的用户都容易受到加密矿机的攻击。据报道，Migita 正在检查一个金融机器

4）腾讯安全威胁情报中心检测到大量来自海外IP和部分国内IP针对国内云服务器租户的攻击。 攻击者通过SSH（22端口）登录服务器，然后执行恶意命令下载Muhstik僵尸网络木马。 僵尸网络会控制被攻陷的服务器进行SSH横向移动，下载门罗币挖矿木马，接受远程命令发起DDoS攻击。

5）西班牙加密货币支付应用和信用卡发行商2gether承认黑客上周五（7月31日）窃取了140万美元，公司无法立即偿还受攻击影响的用户，并提出妥协。 2gether一直在努力寻找资金，但与投资集团谈判寻找资金偿还所有用户被盗资金未果。

6) 8 月 15 日，香港警方逮捕了三名涉嫌从比特币 ATM 机诈骗近 23 万港元（3 万美元）的男子，这是香港首例此类案件。 在两家加密货币交易所提交报告后收到黑客威胁btc邮件，警方在过去两天采取了行动。 交易所怀疑犯罪分子利用自动取款机的“漏洞”在未经官方授权的情况下提取现金。

7）近日，广州市白云警方在深入开展飓风2020专项行动中，破获并捣毁了一个利用“润分”平台进行数字货币交易，进行电信诈骗“洗钱”的团伙，抓获9名犯罪嫌疑人涉案人员，查获手机、银行卡等一批涉案物品。

PeckShield点评：由于用户安全意识和规范操作不规范导致的各种安全风险层出不穷，钓鱼攻击、诈骗等事件就是典型。 我们在此提醒您，用户应谨慎保管各种隐私信息，任何一点小疏忽都可能造成无法弥补的损失。