深度分析——10月安全事件频发我们的虚拟资产真的安全吗？

在过去一个月，整个区块链生态共发多起较为突出的安全事件，危害程度评级为“高级”！其中涉及DeFi 4起、钱包安全3起，交易所相关2起，勒索相关5 起，诈骗事件15起等！

DeFi 安全事件：

1.?10月11日在以太坊上，WLEO合约项目遭到黑客攻击，黑客通过将向自己铸造WLEO通证，并将其兑换成以太坊，从去中心化交易所?Uniswap?的池中窃取了以太坊，这导致整整4.2万美元的加密数字货币被盗走，给该项目带来非常大的影响。

2.?10月26日，有用户举报：DeFi挖矿项目“Harvest.finance”被使用闪电贷进行了巨额套利。随后Harvest官方发推解释称，这次套利攻击起源于一笔巨额闪电贷，并多次操纵了Curvey Pool的价格，最终套取 fUSDT、fUSDC 的价差从而获利。

3.?据加密钱包ZenGo的研究人员透露，一个所谓基于以太坊网络的“yield farming平台”涉嫌从几个用户那里窃取了至少价值 20 万美元的加密数字货币资产。而此前Bancor受到的攻击也使用了类似的漏洞。

4.yearn.finance （YFI）披露一个新的闪电贷安全漏洞，该漏洞由安全研究员 Wen-Ding Li 于10月29日通过Yearn的安全漏洞披露流程报告，团队在1.5个小时后将该漏洞移除。根据该披露，闪电贷攻击可能会给 TUSD 保险库资金带来安全危险，目前该问题已被修复，同时 TUSD 保险库已被停止部署资金。

小编认为：随着 DeFi 项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系，DeFi 项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。在此建议，DeFi 项目方在上线之前，应当尽可能寻找对 DeFi 各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。

数字钱包安全事件：

1.?硬件钱包制造商Ledger遭受了网络钓鱼攻击。一些用户收到了带有钓鱼软件的电子邮件，导致资金损失。此次黑客攻击可能与该公司在2020年7月的用户数据泄露事件有关。

2.?ZDNet 一项调查显示，黑客通过引诱用户安装假软件更新，从比特币钱包Electrum的用户那里窃取了2200万美元。而该手法最高出现在2018年。而自两年前首次发现这种攻击以来，Electrum团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。

3.?近日，网络犯罪情报公司HudsonRock首席技术官 AlonGal 发推表示，10月27日，自称“以太坊最成熟、规模最大的菠菜游戏”EtherCrash 冷钱包被盗，损失约250万美元，疑似为内部人员所为。

小编认为：数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。

交易所相关安全事件：

1.?10月16日，OKEx 发布“暂停提币公告”，近日该公司部分私钥负责人正在配合公安机关调查，目前正处于失联状态导致无法完成授权。消息证实，配合公安机关调查的正是 OKEx的创始人徐明星。知情人士表示，徐明星至少一周前已经被警方带走，多日未在工作大群中现身。

2.?imToken 钱包用户报告 DeFi Saver Exchange 交易所漏洞相关的账号流出了 310,000 DAI，早在今年 6 月 20 日 DeFiSaver 推特报道发现 Exchange 中的漏洞。为了保护用户资金，我们进行了一次白黑客攻击，将受影响的资金（约 3 万美元）转移到只有原始所有者才能提取的智能合约中。

小编认为：黑客盗取资产后实施洗钱，不管过程多周密复杂，一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求，交易所应加强AML反洗钱和资金合规化方向的审查工作。

—-

编译者/作者：链想财经

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。