PeckShield：11月共發生安全事件35起，DeFi為何淪為一小撮人的狂歡？_APE

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共發35起較為突出的DeFi安全事件，危害程度評級為「高級」。涉及DeFi相關13起、錢包安全2起、勒索相關5起，詐騙事件10起、其他攻擊5起。黑客肆虐，DeFi為何淪為一小撮人的狂歡？

牛市來臨之后，DeFi一度被譽為支撐加密貨幣成為今年真正“頭號”投資產品的關鍵。

據DappTotal數據顯示，11月以來，DeFi的總鎖倉量突破新高。整個DeFi生態一副欣欣向榮的景象。然而，另一邊，DeFi正陷入弱代碼流行病的困擾。據PeckShield統計，11月共發生逾13起與DeFi相關的安全事件，造成損失近5000萬美元。

ApeCoin DAO發起新提案AIP-250擬優化APE代幣質押智能合約:金色財經報道，ApeCoin社區已發起新提案AIP-250投票，該提案提出了新的APE代幣質押解決方案，旨在使用戶能夠在出售BAYC、MAYC、BAKC的同時收到預付款，并以復合獎勵質押APE，繼而解決質押NFT升值與獲取質押獎勵之間的互斥困境。此外，除了APE質押獎勵之外，NFT持有者將能夠通過產生額外的被動收入來利用其NFT價值，繼而最大化APE代幣質押獎勵和靈活性。據悉，如果AIP-250提案獲得通過，將部署新的APE Stake質押智能合約，該合約使用戶不僅可以通過自動再投資進質押，還可以以NFT進行借貸或以預付收入將其掛牌出售，確保NFT所有者即使在質押期間仍然可以產生現金流或利用其 NFT 的升值價值，據悉該提案投票將于8月10日結束。[2023/8/6 16:21:23]

11月1日，YFI披露一個新的閃電貸安全漏洞，團隊在1.5個小時后移除該漏洞；11月2日，主網僅上線幾個小時的AxionNetwork遭到黑客攻擊，黑客利用其質押相關漏洞鑄造790億枚代幣AXN，導致其代幣價格短時下跌100%，并且損失50萬美元；11月6日，PercentFinance因出現漏洞而凍結了100萬美元的代幣，包括44.6萬枚USDC、28枚WBTC和313枚ETH；11月7日，PeckShield監控到黑客利用閃電貸通過一筆交易攻擊一家去中心化數字銀行CheeseBank，憑空套利330萬美元；11月10日，JustSwap白名單DeFi項目SharkTron被竊取價值1000萬美元的波場幣，波場聯合幣安凍結部分資金；11月14日，PeckShield監控到黑客利用Akropolis項目存在的存儲資產校驗缺陷，向合約發起連續多次的重入攻擊，憑空增發大量的pooltokens，擄走203萬枚DAI；11月15日，PeckShied監控到黑客利用ValueDeFi協議中基于AMM算法的價格預言機(Curve)存在的漏洞，操縱Curve上代幣的價格，鑄造pooltokens，最終獲利540萬美元11月17日，PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊，攻擊者利用dYdX的閃電貸進行重入攻擊，因被黑客攻擊未經審核新創建的智能合約漏洞，損失近2000萬美元的DAI；11月26日，Compound遭預言機攻擊，9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的，操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊；11月29日，RGTDistributor的合約出現漏洞，智能合約DeFi智能投顧RariCapital發布官方推特稱已修復合約漏洞，沒有資金丟失；11月30日，流動性挖礦項目SushiSwap遭到流動性提供者攻擊，該攻擊者通過一筆交易中獲取了1至1.5萬美元，隨后該修復通過PeckShield審核。區塊鏈世界信仰“CodeisLaw”，認為代碼即法律，分布式技術可確保數據不可篡改，最大程度地保證系統安全，但現在基于區塊鏈技術開發的DeFi為何頻遭安全問題困擾？PeckShield相關負責人分析道：“DeFi的金融屬性強，與資金綁定緊密，一旦發生安全事件，大概率會直接涉及到切身利益，但此類安全問題并非沒有破解的方法。DeFi還處于發展階段，在主網上線前，一定要確保代碼進行徹底地審計和研究。例如PickleFinance被攻擊的事件，略過了新增代碼的審計，造成黑客有機可乘。同類DeFi被攻擊后，要及時確認自己的合約是否也存在類似的漏洞，或者尋求專業的審計機構，例如PeckShield對同類攻擊進行監控。”數字錢包安全

Web3 社交數據協議 Inspect 即將推出 INSP 代幣:5月30日消息，Web3 社交數據協議 Inspect 宣布即將發布 2.0 版本，Inspect 2.0 將在界面、產品套件有所改進，還會有創新的 DAO 架構。Inspect 同時表示即將推出 INSP 代幣。Inspect 提醒稱，當前未發布正式的 INSP 合約。[2023/5/31 11:49:01]

據PeckShield統計，11月份共發生2起典型的錢包安全事件：11月6日，Ledger錢包用戶因釣魚詐騙損失逾110萬枚XRP。詐騙者利用釣魚郵件將用戶引導到一個假冒的Ledger網站上，并誘騙用戶下載了冒充為安全更新的惡意軟件，從而導致Ledger錢包余額悉數被盜。11月9日，ElectrumSV多簽方案出現嚴重漏洞，致使用戶被盜600BSV。其他攻擊

除此之外，11月份還發生了多起其他攻擊事件：11月3日，挖礦木馬團伙z0Miner利用Weblogic未授權命令執行漏洞入侵5000臺服務器。該團伙通過批量掃描云服務器發現具有Weblogic漏洞的機器，發送精心構造的數據包進行攻擊。之后執行遠程命令下載shell腳本z0.txt運行，再利用該shell腳本植入門羅幣挖礦木馬、挖礦任務本地持久化，以及通過爆破SSH橫向移動；11月8日，GrinNetwork遭到51％攻擊；11月11日，惡意節點試圖通過Sybil攻擊干擾Monero網絡，以獲取有關Monero區塊鏈上用戶的信息。據悉，Sybil攻擊是對P2P網絡的惡意攻擊，個人或組織試圖通過使用多個身份控制多個賬戶或節點來接管網絡；11月19日，挖礦木馬4SHMiner利用漏洞針對云服務器攻擊，已控制約1.5萬臺服務器挖礦；11月21日，BCHA鏈遭攻擊，網絡產生大量空塊。PeckShield相關負責人表示：“近年來，針對加密貨幣的攻擊日益增多，安全事件頻發。對于企業用戶而言，一方面，針對加密企業服務器上的文件，應該及時給服務器打好安全補丁，同時避免使用弱口令，關閉不必要的端口；另一方面，應該加強對釣魚郵件的攔截，提醒員工不要輕易打開來歷不明的郵件，并且保持安全軟件運行狀態。對于個人用戶而言，需要警惕來歷不明的郵件，保持安全軟件運行狀態，及時修復電腦漏洞，并且養成良好的上網習慣，不使用外掛等病高發點的工具。針對系統性漏洞，需要養成對重要文件備份的習慣，使用U盤、硬盤等存儲工具對重要文件進行備份，未雨綢繆，防范于未然。”欺詐&勒索

ApeCoin DAO特別委員會和工作組選舉提名窗口已關閉:金色財經報道，ApeCoin DAO特別委員會和工作組選舉提名窗口已經于美東時間5月21日晚間九點關閉，ApeCoin DAO的第二個選舉季即將進行，正如此前披露，ApeCoin DAO正在尋求填補ApeCoin特別委員會的兩個席位和新成立的工作組的兩個管理職位，申請人將在今年夏天正式競選這些職位。[2023/5/22 15:19:01]

隨著區塊鏈技術的發展，以及愈來愈多人對區塊鏈領域的關注，這推動了區塊鏈的日益普及，但也讓各式騙局應運而生，以區塊鏈概念包裝、傳銷方式進行推廣的資金盤層出不窮，同時黑客、攻擊者也在將注意力轉移到加密貨幣上。據PeckShield統計，11月共發生10起欺詐相關安全事件；11月1日，KP3R和CORE的仿盤項目KPER和KORE疑為騙局，幣價短時暴跌幾近歸零；11月2日，上海市虹口區人?檢察院對8名為利用虛擬貨幣協助詐騙分子轉移逾1500萬元錢款的“中間商”提起公訴;11月3日，宿遷破獲數商中國數字貨幣詐騙案，涉案金額達220萬元；11月6日，涉足區塊鏈的A股上市公司斯萊克遭電信詐騙，損失205萬美元(折合人?幣約為1355萬元);11月10日，南京六合破獲一起與比特幣相關的詐騙案，抓獲涉案人員10名，追回詐騙款10萬余元；11月12日，常州涌現“羅?幣交易所”平臺欺詐騙局，提醒謹防“變種”詐騙;11月14日，山?忻州破獲“SZSE數字貨幣交易所”詐騙案，涉案金額逾1000萬元；11月16日，泉州市?舉報MARK交易所交易詐騙，涉案金額高達25億元;11月20日，江蘇破獲柬埔寨水晶國際區塊鏈騙局，涉案金額逾1000萬元；11月23日，黑?江鶴崗市局成功破獲一起“哥倫布CAT虛擬貨幣”特大網絡傳銷案，涉案資金近3億元；據PeckShield統計，11月共發生5起勒索相關安全事件；11月1日，黑客入侵芬蘭Vastaamo心理治療中心竊取芬蘭公?的心理治療記錄，以此勒索比特幣;11月3日，江蘇省啟東破獲一起比特幣勒索病案，非法獲利100多枚比特幣，折合人?幣500多萬元;11月7日，游戲巨頭CAPCOM遭勒索軟件攻擊，被竊取黑客索要1100萬美元的比特幣贖金;11月12日，黑客攻擊意大利酒商金巴利(Campari)，竊取重要文件、合同和銀行信息，并索要1500萬美元比特幣贖金;11月13日，比特幣勒索軟件Pay2Key攻擊多家以色列公司；由于加密貨幣具有匿名性、鏈上資產轉移路徑復雜、技術追蹤難度大，從而加大了相關部?追蹤、監管加密資產的難度。近年來，國內外都在加大AML反洗錢政策的監管要求，進一步推進對加密資產的監管。Peckshield相關負責人表示：“除了法律，目前在技術層面，可通過專業的鏈上追蹤系統對鏈上資產流轉的情況進行實時監控。有關監管部門可在專業安全團隊的輔助下，共同推動加密資產安全有序發展。”

ApeCoin發起提案擬推出兩款新NFT系列，但當前反對票占優:金色財經報道，據ApeCoin論壇消息，社區已發起AIP-206提案擬推出兩款新NFT系列“Ape Coin Armory Club NFT”和“Ape Coin Pet Club NFT”，該提案顯示這兩個系列將分別發行2萬枚NFT，旨在激勵APE持有者并拓展到更廣泛的Yuga Labs生態中的元宇宙社區，最終推動其成為首個跨元宇宙的可穿戴NFT。另據Snapchat當前數據顯示，AIP-206提案的投票結束時間為3月30日，不過該提案似乎沒有得到ApeCoin社區支持，當前結果反對票占比達到83.57%，贊成票比例為9.8%，棄權6.63%。[2023/3/26 13:27:40]

NFT借貸平臺BendDAO考慮創建ApeCoin質押平臺:金色財經報道，NFT借貸平臺BendDAO正在考慮一項提案，提議創建一個ApeCoin質押平臺，APE 代幣持有者和Yuga Labs NFT持有者將能夠從該平臺獲得質押獎勵。BendEarn將作為APE質押的收益優化平臺。BendDAO團隊還制定了實施該平臺的開發計劃，估計需要兩到三周的時間來構建。如果社區支持這個想法，它將進行投票以實施。該提案由名為vis.eth的BendDAO社區成員于9月29日提出，并詳細說明了它的工作原理。[2022/10/1 22:43:33]

Tags：APEEFIDEFIDEFEVERAPEChargeDeFi ChargePEET DeFiRetro DEFI

Ethereum