主页 > imtoken官网下载2.0国际版 > usdt假充值手法 PeckShield:3月共发生19起安全事件,凸显DeFi安全问题
usdt假充值手法 PeckShield:3月共发生19起安全事件,凸显DeFi安全问题
PeckShield态势感知平台数据显示,近一个月,整个区块链生态共发生19起突出安全事件。 2起,智能合约1起,诈骗逃逸14起等。
DeFi安全
3月份共发生2起DeFi安全事件usdt假充值手法,具体如下:
1)3月12日,由于以太坊ETH价格暴跌,MakerDAO大量抵押债务头寸跌破清算门槛,触发清算程序执行。 由于以太坊网络上的 gas 费用急剧增加,MakerDAO 的清算过程完全缺乏竞争。 本应参与清算过程的清算机器人(Keeperbot)因设置低gas值而被阻塞。 清算人 (Keeperbot) ) 以 0 DAI 的出价在没有竞争对手的情况下赢得了拍卖。
MakerDAO 清算拍卖设计的目的是用尽可能少的抵押物收回最大的 DAI。 这种机制在正常情况下可以成功运行。 但当以太坊系统极度拥堵,或者更极端的时候,只要参与拍卖的人不够多,恶意的 Keepers 就很容易以极低的价格获得拍卖品。 针对此次清算中存在的问题,MakerDAO社区也紧急讨论了清算机制的完善措施。
2)3月26日,Synthetix的抵押清算功能被发现存在漏洞。 具体来说:Synthetix 最近推出了一个合约。 用户可以在3个月的试用期内质押ETH获得sETH。 试用期结束后,将关闭所有借贷功能进行清算,即任何拥有sETH的用户都可以通过调用清算接口获得ETH。 但该接口的处理逻辑代码存在漏洞,会导致任何用户直接销毁借款人的sETH资产,获得ETH。 但由于该功能处于试用期,并未造成实际损失。 目前,Synthetix 官网的借贷服务仍处于关闭状态。
PeckShield点评:随着DeFi项目的功能越来越多样化,隐藏的安全问题也逐渐暴露出来。 鉴于其与用户资产的紧密联系,DeFi项目的安全问题十分严重。 由于每个项目由不同的团队开发,对各自产品的设计和实现了解有限,集成后的产品在与第三方平台交互的过程中很可能出现安全问题,进而遭敌。 PeckShield在此建议,在DeFi项目上线前,尽量找一个对DeFi各个环节的产品设计有深入研究的团队做完整的安全审计,避免潜在的安全风险。
交易所安全
3月份共发生2起交易所安全事件:
1)3月2日,美国司法部以串谋洗钱和无照经营汇款罪为由,对两名华人田银银和李家栋提起公诉,并冻结其全部资产。 区块链安全公司PeckShield第一时间介入追踪研究分析,仅根据美国司法部公布的20个地址,向上追溯、取证,以直观的图形化方式还原了整个案件的来龙去脉。
分析发现,攻击者试图利用Peel Chain的技术手段,将手中的资产不断拆分成小资产,并将这些小资产存入交易所,如下图所示:
在完成最初的洗钱操作后,攻击者并没有直接转入自己的钱包,而是再次使用Peel Chain的方式,将原本非法获取的BTC分批转入OTC交易所套现。 攻击者只从主账户中分离出几十个BTC,存入OTC账户套现。 经过数十次或数百次操作,攻击者最终成功混淆清洗了数千个BTC。 (查看具体信息)
2)OMNI网络发现了一种新的USDT假充值方式:黑客发行其他类型的代币假造USDT,在交易所或钱包进行USDT假充值。 交易所或钱包在检测到USDT充值时,如果不对交易中的propertyid进行校验,将导致虚假充值的发生。
PeckShield点评:黑客窃取资产洗钱后,无论过程多么精细复杂,交易所一般都是作为套现渠道的一部分。 这无疑对各大数字资产交易所的KYC和KYT业务提出了要求usdt假充值手法,交易所应加强反洗钱反洗钱和资本合规审查。 同时,对于虚假充值等安全问题,交易所在转账前应确认代币名称和交易状态。
智能合约
3月,以太坊网络发生1起智能合约安全事件。 具体来说:3月24日,有项目方反映,发行ERC20代币后,部分来历不明的代币被转移到链上。 经深入分析,发现项目方使用的“一键发币”第三方平台存在后门——在发币合约时存在偷偷发币、窃取代币的不良行为被创建。
PeckShield点评:在使用第三方服务完成智能合约开发时,项目方必须在合约上线前做安全测试。 必要时,可寻求第三方安全公司完成审计评估,帮助其完成签约前的攻击测试和基础安全防御部署。
欺诈事件
除了上述之外,3月份还有多起诈骗逃逸事件值得我们警惕,例如:
1)区块链资本市场疑似跑路的“硅谷区块鸡”,涉案金额或达数百亿元;
2) 一对英国夫妇因使用假冒的 Chrome 浏览器扩展程序损失了 14,800 XRP;
3)不法分子在各类聊天群发布虚拟货币消息,以疫情防控为借口,利用人们投资理财的热情,打着虚拟货币的幌子进行诈骗和非法集资活动;
4) YouTube 上有人冒充 Ripple 的 CEO 宣传了 5000 万个 XRP 代币的虚假赠品,以欺骗用户将他们的钱投入类似的空投骗局。
PeckShield点评:由于用户安全意识和规范操作不规范导致的各种安全风险层出不穷,钓鱼攻击、诈骗等事件就是典型。 我们在此提醒您,用户应谨慎保管各种隐私信息,任何一点小疏忽都可能造成无法弥补的损失。
