PeckShield:10 月發生4 起DeFi 安全事件,加密貨幣詐騙事件達15 起


過去一個月,區塊鏈生態共發29 起較為突出安全事件,其中DeFi 4 起,交易所2 起,詐騙達15 起。

原文標題:《PeckShield:10 月共發生安全事件29 起,虛擬貨幣投資詐騙事件頻發》
撰文:PeckShield

據PeckShield 態勢感知平台數據顯示,過去一個月,整個區塊鏈生態共發29 起較為突出的安全事件,危害程度評級為「高級」,涉及DeFi 4 起、錢包安全3 起,交易所相關2 起,勒索相關5 起,詐騙事件15 起等。

PeckShield:10 月發生4 起DeFi 安全事件,加密貨幣詐騙事件達15 起

DeFi 安全

10 月份共發生4 起DeFi 相關安全事件,具體如下:

1) 10 月11 日,以太坊項目WLEO 合約遭到黑客攻擊,導致價值4.2 萬美元的資金被盜。黑客通過將向自己鑄造WLEO,並將其換成以太坊,從去中心化交易所Uniswap 的池中竊取了以太坊。

2) 10 月26 日,有用戶發現DeFi 挖礦項目Harvest.finance 被使用閃電貸功能實現了巨額套利。 Harvest 官方發推解釋稱,這次套利攻擊起源於一筆巨額閃電貸,並通過多次操縱Curve y Pool 的價格,以套取fUSDT、fUSDC 的價差進而獲利。

3)加密錢包ZenGo 的研究人員Alex Manuskin 透露,一個所謂基於以太坊網絡的「yield farming 平台」UniCats 涉嫌從幾個用戶那裡竊取了包括Uniswap 的治理代幣UNI 在內的至少價值20 萬美元的加密資產。智能合約中的一個後門允許UniCats 保留對用戶代幣的控制權,即使這些代幣已經從用戶池中撤出。而此前針對Bancor 的攻擊也使用了類似的漏洞。

4) yearn.finance (YFI)披露一個新的閃電貸安全漏洞,該漏洞由安全研究員Wen-Ding Li 於10 月29 日通過Yearn 的安全漏洞披露流程報告,團隊在1.5 個小時後將該漏洞移除。根據該披露,閃電貸攻擊可能會給TUSD 保險庫資金帶來安全危險,目前該問題已被修復,同時TUSD 保險庫已被停止部署資金。

PeckShield 點評:隨著DeFi 項目功能越來越多樣,其中隱藏的安全問題也逐漸暴露出來,鑑於其與用戶資產的緊密聯繫,DeFi 項目的安全問題非常嚴峻。由於各項目由不同團隊開發,對各自產品的設計與實現理解有限,集成的產品很可能在與第三方平台交互的過程中出現安全問題,進而腹背受敵。 PeckShield 在此建議,DeFi 項目方在上線之前,應當盡可能尋找對DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計,以避免潛在存在的安全隱患。

數字錢包安全

10 月份共發生3 起錢包安全事件:

1)硬件錢包製造商Ledger 遭受了網絡釣魚攻擊。一些用戶收到了帶有釣魚軟件的電子郵件,導致資金損失。此次黑客攻擊可能與該公司在2020 年7 月的用戶數據洩露事件有關。

2) ZDNet 一項調查顯示,黑客通過引誘用戶安裝假軟件更新,從比特幣錢包Electrum 的用戶那裡竊取了2200 萬美元。而該手法最高出現在2018 年。而自兩年前首次發現這種攻擊以來,Electrum 團隊已經採取了一些措施來防止這種攻擊。但這種攻擊仍然適用於使用舊版本應用程序的用戶。

3)近日,網絡犯罪情報公司HudsonRock 首席技術官AlonGal 發推表示,10 月27 日,自稱「以太坊最成熟、規模最大的菠菜遊戲」EtherCrash 冷錢包被盜,損失約250 萬美元,疑似為內部人員所為。

PeckShield 點評:數字錢包作為管理私鑰的工具,是離加密資產最近的地方。雖然冷錢包是一種脫離網絡連接的離線錢包,但也存在被物理攻擊和被盜的風險,而像網頁錢包等熱錢包,用戶也要謹防網絡釣魚,惡意代碼注入等攻擊方式。

交易所相關

10 月份共發生2 起交易所相關安全事件:

1) 10 月16 日,OKEx 發布「暫停提幣公告」稱,近日該公司部分私鑰負責人正在配合公安機關調查,目前正處於失聯狀態導致無法完成授權。有兩位接近OKEx 的消息人士表示,公告中「配合公安機關調查」的正是OKEx 的創始人徐明星。其中一位人士還表示,徐明星至少一周前已經被警方帶走,多日未在工作大群中現身。

2) imToken 錢包用戶報告DeFi Saver Exchange 交易所漏洞相關的賬號流出了310,000 DAI,早在今年6 月20 日DeFiSaver 推特報導發現Exchange 中的漏洞。為了保護用戶資金,我們進行了一次白黑客攻擊,將受影響的資金(約3 萬美元)轉移到只有原始所有者才能提取的智能合約中。

PeckShield 點評:黑客盜取資產後實施洗錢,不管過程多周密複雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC 和KYT 業務均提升了要求,交易所應加強AML 反洗錢和資金合規化方向的審查工作。

勒索相關

10 月份共發生5 起勒索相關安全事件:

1)意大利跨國能源巨頭Enel Group 近日遭遇勒索軟件攻擊,其計算機網絡感染了名為NetWalker 的Windows 勒索軟件。據悉,NetWalker 黑客公佈了大約5 TB 被盜數據的截圖,並威脅將在一周內公佈第一批數據,從而迫使Enel Group 支付1234 枚比特幣(約1680 萬美元)。

2) 10 月28 日消息,芬蘭數万名接受心理治療的患者的機密就醫記錄遭到黑客攻擊,其中一些被洩露到網上。芬蘭警方透露,有黑客侵入了私人公司Vastaamo 的記錄,該公司在芬蘭各地運營著25 家治療中心。據報導,已有數千人向警方投訴此事。許多患者報告說,他們收到了要求支付200 歐元比特幣的電子郵件,以防止他們與治療師討論的內容被公之於眾。

3) 10 月14 日消息,近日,全國首個比特幣勒索病毒開發者巨某,被江蘇南通警方成功捕獲。江蘇省南通市當地警方通報稱,犯罪嫌疑人巨某,作為多個比特幣勒索病毒的製作者,已成功作案百餘起,非法獲取的比特幣折合人民幣500 餘萬元。

4)近日,勒索軟件攻擊襲擊了醫療軟件公司eResearchTechnology (ERT),該公司為全球製藥公司提供進行臨床試驗(包括COVID-19 疫苗試驗)的工具,因而對包括施貴寶、阿斯利康、輝瑞和強生等公司進行的多個新冠研究項目造成潛在影響。

5)七國集團(G7)領導人星期二對勒索軟件攻擊的全球激增發出警告,稱這種黑客技術對世界主要經濟體的關鍵基礎設施構成威脅。勒索軟件會潛入並加密計算機網絡,然後要求受害者支付贖金解鎖他們的文件。七國集團的聲明警告說:「犯罪分子經常要求用虛擬資產支付贖金,這一事實尤其令人擔憂。」歐盟領導人表示,「虛擬資產」是黑客洗錢的途徑。該聲明呼籲更多國家實施金融行動特別工作組(FATF)的虛擬資產保護措施。

PeckShield 點評:勒索類安全事件一直是影響整個互聯網生態的重大隱患,不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後,不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。

其他詐騙事件

除上述之外,10 月份還發生了多起詐騙跑路事件值得警惕,例如:

1) Kusunose 的用戶在谷歌論壇上發帖稱,其因在谷歌廣告中發現的加密騙局損失了1.5 萬美元。據稱,該名為Coindaq.io 的可疑網站試圖利用中國正在研究的數字人民幣,聲稱用戶可以在該平台存入資金參與數字人民幣的銷售。受害者表示,希望谷歌可以調查此事,並建立一個針對涉嫌詐騙的網頁。

2)廣州公安官方發布文稱,10 月3 日,市民潘小姐到雲埔派出所報案,稱其9 月份結識了一名「網友」,後被對方以投資數字貨幣為名誘導下載某虛假APP,先後投入共232 萬元人民幣,目前已無法提現。黃埔公安緊急提醒,理性看待數字貨幣,如有疑問或發現被騙第一時間報警。

3)近日,長沙芙蓉區居民林某報警稱,投資數字貨幣被騙320 多萬元。據悉,林某通過一微信群內的「老師」發送的網址鏈接下載了一個名為「AOC」的App,並註冊了賬戶。林某先後分25 次向對方提供的13 個不同的銀行賬號轉賬共計327.39 萬餘元,幾天后App 上顯示其購買的數字貨幣暴跌80%。林某報警時,該App 已無法登錄,「老師」微信號也已因被封而失聯。目前案件正在偵辦中。

4)近日有用戶訪問Curve 交易所網站時遭受釣魚攻擊,損失20 枚比特幣。據悉,詐騙團伙利用谷歌廣告系統購買谷歌搜索廣告,偽裝成Curve 交易所進行詐騙廣告投放。由於google 新廣告計劃,廣告通常會顯示在搜索第一名,因此造成不少用戶上當受騙。降維安全實驗室建議用戶保持警惕,認真甄別消息來源,仔細辨別域名,避免造成資產損失。

5) 10 月12 日,以太坊客戶端Geth 開發者Marius 發推稱,在以太坊的開發社區中出現了郵件釣魚,具體而言是一個名為get-eth.com 的網站,其顯示可以下載最新的以太坊Geth 客戶端。而geth 客戶端的下載網址為geth.ethereum.org,或在github 直接下載。

6)加密貨幣數據公司CoinGecko 通過推特宣布遭遇DDOS 攻擊,並暫時加強安全措施,目前CoinGecko 正在密切監視情況發展。官方正在努力修復,希望能夠迅速恢復運行。

7)徐州市公安局日前成功偵破一起「CDBC 數字貨幣」特大民族資產解凍類詐騙案件,抓獲犯罪嫌疑人16 名,扣押電腦、手機、銀行卡60 餘件,凍結涉案資金150 餘萬元,打出了省內偵辦此類案件一次性逮捕人數最多的戰績。據悉,此團伙宣稱「CDBC 數字貨幣」是央行發行的第一批數字貨幣,100 元1 單,每人限制7 單,將來會翻100 倍、1000 倍;目前,16 名嫌疑人已全部移送檢察機關起訴。

8)日前,河北黃驊警方成功打掉一個跨省電信詐騙犯罪團伙,抓獲犯罪嫌疑人3 名,涉案金額120 餘萬元。據悉,該犯罪團伙使用一款投資APP 採取利用虛擬貨幣買賣電子寵物的方式實施詐騙

9) P2P 比特幣市場Paxful 在兩個月內成功抵禦了一系列嚴重的威脅,包括22 萬項網絡機器人攻擊和各種社會工程策略。 Paxful 表示,攻擊者試圖使用自動機器人以暴力方式闖入該項目用戶的帳戶。 Paxful 稱,據報導,全球約四分之一的網絡流量都是由機器人產生的,它們實際上是一些模擬真實設備動作的程序。

10)根據美國檢察官週一發布的起訴書,俄羅斯國家網絡黑客使用比特幣來掩蓋其與關鍵黑客活動「基礎設施」的聯繫,例如服務器和域名。訴訟中提到了俄羅斯國家黑客團隊的六名成員,他們涉嫌通過俄羅斯軍事單位7445 對公司、軍隊、政府和2018 年冬季奧運會的數千名受害者進行了攻擊。檢察官還聲稱,他​​們應對2017 年災難性的「NotPetya」惡意軟件攻擊負責,該攻擊造成了數十億美元的損失。

11)日前浦東警方成功搗毀了一個虛擬貨幣投資詐騙窩點,抓獲22 名犯罪嫌疑人,案件涉案金額790 萬元。據悉,涉案的「HASTE」虛擬貨幣交易平台由犯罪嫌疑人吳某所創立的某科技有限公司的技術人員開發、維護,並將使用權限賣給了境外人員。該平台可以直接對平台內用戶的虛擬幣額度隨意更改,並通過操盤「機器人」模擬調控虛擬幣匯率走勢。

12)近期市場上出現某些與AAX 無關或未經AAX 授權的第三方試圖通過電子郵件,微信和電報等形式假冒AAX 客戶服務,並在線傳播冒充AAX 的虛假關聯試圖進行詐騙活動。

13)西班牙國家警察局的消息人士稱,Arbistar 2.0 首席執行官Santiago Fuentes 最終於10 月22 日被西班牙南部特內里費地區警方抓獲並拘留。 Fuentes 被指控在一場比特幣龐氏騙局中欺騙了近3.2 萬名投資者,價值近8.5 億歐元(約10 億美元)。

14) 根據美國檢察官週一發布的起訴書,俄羅斯國家網絡黑客使用比特幣來掩蓋其與服務器和域名等關鍵黑客活動「基礎設施」的聯繫。訴訟中提到了俄羅斯國家黑客團隊的六名成員,他們涉嫌通過俄羅斯軍事單位7445 對公司、軍隊、政治運動、政府和2018 年冬季奧運會的數千名受害者進行了攻擊。

15) Yearn. Finance 出現doppelganger 騙局以誘騙訪問者共享其加密貨幣錢包的私鑰。騙局網站幾乎可以復制原始yearn.finance 網站的幾乎所有方面,包括其設計,網站副本甚至域名。

PeckShield 點評:因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮,釣魚攻擊、詐騙等各類事件就是典型。在此提醒,用戶應謹慎保管各類私密信息,任何小的疏忽都可能造成不可挽回的損失。

來源鏈接:mp.weixin.qq.com

.



Source link