1. 首页
  2. 区块链资讯

PeckShield:7月共发生安全事件32起 虚拟货币诈骗案件泛滥

据 PeckShield 态势感知平台数据显示,已往一个月,整个区块链生态共发生 32 起较为突出的平安事宜,危害水平评级为「中级」,涉及 DeFi 5 起、钱包平安 2 起,公链平安 3 起,买卖所相关 2 起,勒索相关 4 起,诈骗跑路 16 起等。

DeFi平安

7月份共发生5起 DeFi 相关平安事宜,详细如下:

1)加密钱币项目Vether(VETH)遭到闪贷攻击,其Uniswap资金池耗尽919299 VETH,价值约合90万美元,而且整个攻击成本仅有0.9ETH,约合200美元。

2)着名区块链平安研究员Sam Sun在小组讨论中示意,自己似乎发现一种偷取yearn.finance yusdc资金池资金的方式。yearn.finance官方回应称这个问题已经得到解决,但依然提醒用户暂时不要投入资金。7月26日,yearn.finance宣布V2 版本的更新将添加USDC合约的资金池,但V2版本还没有完所有署,尚在实验测试阶段,官方也已经提醒该合约仍为实验性子且具有高度风险,建议不要立刻投入资金。

3)samczsun在yearn.finance新部署的yVault中发现了一个破绽,开端剖析是由于flashloan 中发生滑点导致。

4)网络平安公司OpenZeppelin已公布Compound的开放式预言机(Open Oracle)集成Uniswap V2的审计报告。指出,开放式预言机旨在允许受信托的汇报者在链上公布一系列资产价钱,这些价钱将以Uniswap V2的市场价钱作为基础,公布价钱的人只能在一定水平上偏离Uniswap V2的价钱(详细由部署者决议),这可以很大水平上限制汇报者操作预言机的权力。

5)DeDi门户网站DefiPrime识别了现在最盛行的DeFi圈套:Uniswap上的伪造代币列表。骗子正试图在目的协议现实推出其加密钱币之前,在Uniswap上列出“官方”协议代币。DefiPrime至少确定六个被这些诈骗者锁定的协议:Uniswap、Tornado Cash、BZRX(Fulcrum)、Curve、dYdX 和1inch。甚至已经有人因此受骗。

PeckShield点评:随着 DeFi 项目功效越来越多样,其中隐藏的平安问题也逐渐露出出来,鉴于其与用户资产的紧密联系,DeFi 项目的平安问题异常严重。由于各项目由差别团队开发,对各自产物的设计与实现明白有限,集成的产物很可能在与第三方平台交互的历程中泛起平安问题,进而腹背受敌。PeckShield 在此建议,DeFi 项目方在上线之前,应当尽可能寻找对 DeFi 各环节产物设计有深入研究的团队做一次完整的平安审计,以制止潜在存在的平安隐患。

数字钱包平安

7月份共发生 2 起钱包平安事宜:

1)加密钱币钱包服务商ZenGo示意,其在Ledger、BRD和Edge等市场主流的一些钱包中发现了一个破绽,该破绽允许攻击者诱骗用户,让用户以为自己收到了比特币,但现实上他们并没有收到。ZenGo将这一破绽命名为“BigSpender”,攻击手法界说为“双重支出攻击”。

2)研究职员发现了一种新的木马,这种木马针对在macOS上使用买卖程序的买卖者。该木马使用恶意软件GMERA,被整合进貌似无毒的应用中,再从使用者的钱包中偷取代币。

PeckShield 点评:数字钱包作为治理私钥的工具,是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包,但也存在被物理攻击和被盗的风险,而像网页钱包等热钱包,用户也要谨防网络钓鱼,恶意代码注入等攻击方式。

公链平安

7月份共发生 3 起公链相关平安事宜:

1)7月3日,CryptoScope团队发现Ravencoin(RVN)区块链存在破绽,经由rvn首席开发团队确认后已公布了紧要更新。据悉,该破绽可天生分外的RVN,然则不会影响或控制已经存在的RVN资产。由于该破绽造成了RVN总量比原计划多出了1.5%,而且破绽发生的RVN已经流入市场,因此无法举行回滚等操作。

2)Polkadot 团结创始人Gavin Wood称雪崩协议类似一个中央化的Cosmos,由选出来的重叠的验证人组充当了子网平安性。这将导致整个系统内各个链间的平安性有极大的不均。跨分片攻击是可行的,由于来自一个(低平安性)链的新闻可以导致另一个(更平安的)子网上的状态迁徙。这样一来整个网络的平安性就等同于平安性最差的谁人链。综上,雪崩协议并不平安,也不具备可拓展性。

3)Bitcoin Gold的开发职员团队已经阻止了针对网络的“极长的攻击链”。凭据开发团队的说法,攻击者于7月1日从采矿服务提供商NiceHash租用了哈希功效,并隐秘开采了一条替换链(本质上为网络创建了新的买卖纪录)连续了近10天,在此历程中挖掘了1,300多个区块。7月10日,攻击者公布了隐秘链,以试图网络8,000多枚比特币黄金,然则,由于比特币黄金团队及早发现了攻击,并就潜在的攻击向矿池和买卖所发出了忠告,从而挫败了攻击者。

PeckShield 点评:公链上的破绽,一旦发现对整个链生态的影响极大,因此公链在正式版上线前务必做好平安测试和破绽排查,并追求第三方平安公司审计,制止因破绽威胁影响公链生态。

买卖所相关

7月份共发生 2 起买卖所相关平安事宜:

1) OKCoin官方发推称,OKCoin网站遭遇两波DoS攻击,致使用户近四小时无法登入网站。所幸,所有客户资产是平安的,移动应用程序和API正常运行。

2)英国加密钱币买卖所Cashaa示意,黑客从其中一个钱包中窃取了跨越336枚比特币。现在,该买卖所已住手所有与加密有关的买卖。

PeckShield 点评:黑客偷取资产后实行洗钱,不管历程多周密庞大,一样平常都会把买卖所作为套现通道的一部分。这无疑对各大数字资产买卖所的 KYC 和 KYT 营业均提升了要求,买卖所应增强 AML 反洗钱和资金合规化偏向的审查事情。详情可接见www.coinholmes.com 领会。

勒索相关

7月份共发生 4 起勒索相关平安事宜:

0801行情分析-每次破近期新高跑都不是错 因为比这个位置低的价位一定有

8.1,每次破近期新高跑都不是错,因为比这个位置低的价位一定有

1)跨国科技公司 Garmin 被俄罗斯网络犯罪团伙 Evil Corp 勒索了1000万美元的赎金,需以加密钱币支付。Garmin 匿名员工证实,WastedLocker勒索软件损坏了该公司的客户支持服务、导航解决方案等。

2)跨平台数据库公司MongoDB遭受了网络攻击,黑客团伙通过擦除其内容渗透了22,900个不平安的数据库。黑客要求每个数据库支付0.015 BTC(约合140美元),因此要求的总金额跨越320万美元。

3)英国足球联赛俱乐部被勒索软件盯上,其公司平安系统被损坏。攻击者要求的赎金金额为400 BTC(约366万美元)。据悉,由于俱乐部拒绝付款,导致其存储的数据丢失。凭据该研究,对英国体育组织的攻击中约有40%与恶意软件有关,其中四分之一与勒索软件有关。

4)乌克兰平安局(SSU)拘留了两名要求获得比特币,否则将炸毁该国首都修建物的恐怖分子。凭据SSU的帖子,两名60岁男子在基辅的一栋公寓楼上张贴了纸条,扬言若是其比特币地址未收到50枚比特币,就会炸毁该修建物或另一栋修建。

PeckShield 点评:勒索类平安事宜一直是影响整个互联网生态的重大隐患,不局限于区块链生态。而且在区块链领域的加密钱币逐渐普及后,不法分子常行使比特币等加密钱币的较好匿名性举行勒索诈骗。

诈骗跑路事宜

除上述之外,7 月份还发生了多起诈骗跑路事宜值得小心,例如:

1)四年前攻击 Bitfinex 买卖所的黑客再次泛起,从那时偷走的加密钱币中转移了448.72枚 BTC,价值近500万美元。那时Bitfinex被黑损失近7200万美元。

2)7月22日,加密公司 Veritaseum 首席执行官 Reggie Middleton 对电信运营商 T-Mobile 提议诉讼,指控其通过一系列“交流SIM卡(simo -swap)”攻击,窃取了价值870万美元的加密钱币。

3) 7月16日,包罗比尔·盖茨,奥巴马,埃隆马斯克,苹果官方账号等在内的诸多推特账号被黑客攻击并公布比特币钓鱼信息。经查询黑客留在推特上的地址发现,该地址现在已经收到了12.86枚比特币。

4)白帽黑客Harry Denley在乐成侵入了一个加密钱币网络钓鱼圈套的数据库后,乐成截获了价值1.6万美元的ETH和DEC,并已将这些加密钱币返还给其正当所有者。

5)区块链公司Veritaseum首席执行官ReggieMiddleton已起诉美国电信运营商T-Mobile,称该公司因严重过失并未能珍爱其客户,使得黑客举行了一系列SIM挟制攻击,导致价值870万美元的加密钱币失贼。

6)黑龙江省牡丹江市公安局反诈中央与海林市公安局经由两个多月缜密侦查,乐成侦破涉案金额100余万元的特大虚拟钱币电信诈骗案,跨省抓获7名犯罪嫌疑人。

7)克日,灌云警方深挖彻查、快速出击,先后抓获行使区块链投资诈骗嫌疑人杨某等人,乐成捣毁该团伙位于河南郑州的犯罪窝点,查扣电脑、手机、硬盘等作案电子设备,涉案金额达29万元。据调查,2019年时代,杨某通过其所购置“百业链”APP,诱骗会员在软件上投资区块链,答应购置“矿机”后,可通过挖币、兑币、买卖的方式获取高额回报。

8)韩国蔚山地方式院刑事审判员金正锡14日示意,涉嫌谎称“人工智能(AI)通过买卖比特币获得收益”,从投资者处骗取68亿韩元的5人犯罪团伙被判处有期徒刑和罚款。2018年1月至9月时代,他们以投资名义共获得了944次共计68亿多韩元赃款。

9)虚构柬埔寨“西港特区”投资项目,虚构亚泰坊“数字钱币”,引诱他人加入传销组织。短短6个月,就生长下线层级108层,吸纳会员注册账号67万个,涉案金额达8.14亿元。

10)浙江温州瓯海警方破获天下首例行使区块链“智能合约”犯罪案件,捣毁两处作案窝点,抓获犯罪嫌疑人10名,扣押查封迈凯伦、法拉利等豪华轿车及房产,涉案金额高达亿余元。

11)一个名为“Keeper”的黑客团伙建立了一个互连网络,从570多个电子商务网站窃取信用卡数据。自2017年以来,该组织通过在暗网出售信用卡信息而获得了跨越700万美元的加密钱币。

12)云算力平台Miningzoo疑似跑路。该平台伪造大量信息,包罗伪造获得着名VC策源创投投资的信息。截止到7月6日,仍然大量投资者无法提取在平台投资云算力获得的加密钱币,一些投资者准备报案处置。

13)黑客行使游戏Runescape的破绽举行双花攻击获取了数万亿的游戏币,价值超25万美元,并行使这些资金购置比特币。

14)亡命徒(Outlaw)僵尸网络已造成海内约2万台Linux服务器熏染,影响上万家企业。此次攻击流传的母体文件为dota3.tar.gz,推测为亡命徒(Outlaw)僵尸网络木马的第3个版本,母体文件释放shell剧本启动对应二进制程序,kswapd0卖力举行门罗币挖矿,tsm32、tsm64卖力继续SSH爆破攻击流传病毒。

15)有冒充Ripple CEO Brad Garlinghouse的非法职员在Change.org上提议请愿,该请愿包含了冒充的XRP空投内容。这个“请愿”分享了一个到可疑网站的链接,该网站约请所有空投介入者将他们的XRP发送到一个可以保证获得100%利润的特殊地址。

16)克日,根据公安部统一指挥部署,公安机关立案侦办“Plus Token平台”网络传销案,先后将潜逃境外的所有27名主要犯罪嫌疑人和该案82名骨干成员抓捕归案,彻底摧毁了这一盘踞境内外的特大跨国网络传销组织。该案系公安机关侦破的首起以比特币等数字钱币为买卖前言的网络传销案,涉及介入职员200余万人,层级关系多达3000余层,涉案数字钱币总值逾400亿元。

PeckShield 点评:因用户平安意识欠缺且操作规范性造成的各种平安隐患一直层出不穷,钓鱼攻击、诈骗等各种事宜就是典型。在此提醒,用户应郑重保管各种私密信息,任何小的疏忽都可能造成不能挽回的损失。

原创文章,作者:链大大,如若转载,请注明出处:http://www.chaindada.com/chain/12832.html