DeFi 安全

10 月份共發生 4 起 DeFi 相關安全事件，具體如下：

1）10 月 11 日，以太坊項目 WLEO 合約遭到駭客攻擊，導致價值 4.2 萬美元的資金被盜。駭客通過將向自己鑄造 WLEO，並將其換成以太坊，從去中心化交易所 Uniswap 的池中竊取了以太坊。

2）10 月 26 日，有用戶發現 DeFi 挖礦項目 Harvest.finance 被使用閃電貸功能實現了巨額套利。Harvest 官方發推解釋稱，這次套利攻擊起源於一筆巨額閃電貸，並通過多次操縱 Curve yPool 的價格，以套取 fUSDT、fUSDC 的價差進而獲利。

延伸閱讀：專欄｜Harvest 攻擊者的上億「洗錢工具」: Incognito 賦予DeFi「無痕模式」提供跨鏈隱私

3）加密錢包 ZenGo 的研究人員 Alex Manuskin 透露，一個所謂基於以太坊網路的「yield farming」平台－－UniCats，涉嫌從幾個用戶那裡竊取了包括 Uniswap 的治理代幣 UNI 在內，至少價值 20 萬美元的加密資產。

智能合約中的一個後門允許 UniCats 保留對用戶代幣的控制權，即使這些代幣已經從用戶池中撤出。而此前針對 Bancor 的攻擊也使用了類似的漏洞。

延伸閱讀：DeFi吸金騙局？耕收項目 UniCats 在合約嵌入惡意函式，誆走「20萬美元UNI」

4）yearn.finance （YFI）披露一個新的閃電貸安全漏洞，該漏洞由安全研究員 Wen-Ding Li 於 10 月 29 日通過Yearn 的安全漏洞披露流程報告，團隊在 1.5 個小時後將該漏洞移除。

根據該披露，閃電貸攻擊可能會給 TUSD 保險庫資金帶來安全危險，目前該問題已被修復，同時 TUSD 保險庫已被停止部署資金。

點評：

隨著 DeFi 項目功能越來越多樣，其中隱藏的安全問題也逐漸暴露出來，鑑於其與用戶資產的緊密聯繫，DeFi項目的安全問題非常嚴峻。由於各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平台交互的過程中出現安全問題，進而腹背受敵。

筆者建議，DeFi 項目方在上線之前，應當盡可能尋找對 DeFi 各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。

延伸閱讀：YFI創辦人｜四個月4項目，AC是 ‘DeFi之王’ 還是套了很多人的 ‘渣男’？

數位錢包安全

10 月份共發生 3 起錢包安全事件：

1）硬體錢包製造商 Ledger 遭受了網路釣魚攻擊。一些用戶收到了帶有釣魚軟體的電子郵件，導致資金損失。此次駭客攻擊可能與該公司在 2020 年 7 月的用戶數據洩露事件有關。

延伸閱讀：Ledger 冷錢包爆漏洞！無法識別比特幣及分叉鏈，恐致用戶在不知情下轉出 BTC

2）ZDNet 一項調查顯示，駭客通過引誘用戶安裝假軟體更新，從比特幣錢包 Electrum 的用戶那裡竊取了 2,200 萬美元，該手法最早出現在 2018 年。

而自兩年前首次發現這種攻擊以來，Electrum 團隊已經採取了一些措施來防止這種攻擊。但這種攻擊仍然適用於使用舊版本應用程式的用戶。

3）近日，網路犯罪情報公司 HudsonRock 首席技術長 AlonGal 發推表示，10 月 27 日，自稱「以太坊最成熟、規模最大的菠菜遊戲」EtherCrash 冷錢包被盜，損失約 250 萬美元，疑似為內部人員所為。

點評：

數位錢包作為管理私鑰的工具，是離加密資產最近的地方。雖然冷錢包是一種脫離網路連接的離線錢包，但也存在被物理攻擊和被盜的風險，而像網頁錢包等熱錢包，用戶也要謹防網路釣魚，惡意程式碼注入等攻擊方式。

交易所相關

10 月份共發生 2 起交易所相關安全事件：

1) 10 月 16日，OKEx 發布「暫停提幣公告」稱，近日該公司部分私鑰負責人正在配合公安機關調查，目前正處於失聯狀態導致無法完成授權。

有兩位接近 OKEx 的消息人士表示，公告中「配合公安機關調查」的正是 OKEx 的創辦人徐明星。其中一位人士還表示，徐明星至少一周前已經被警方帶走，多日未在工作大群中現身。

延伸閱讀：OKEx宣布：重啟法幣交易，唯「提幣仍暫停」；一週內，推特僅更新7篇貼文

2) imToken 錢包用戶報告 DeFi Saver Exchange 交易所漏洞相關的帳號流出了 310,000 DAI，早在今年 6 月 20 日 DeFi Saver 推特報導發現 Exchange 中的漏洞。為了保護用戶資金，我們進行了一次白駭客攻擊，將受影響的資金（約 3 萬美元）轉移到只有原始所有者才能提取的智能合約中。

延伸閱讀：DeFi安全漏洞｜解析：DeFi Saver用戶的「31萬枚DAI」是如何被盜的？

點評：

駭客盜取資產後實施洗錢，不管過程多周密複雜，一般都會把交易所作為套現通道的一部分。這無疑對各大數位資產交易所的 KYC 和 KYT 業務均提升了要求，交易所應加強 AML 反洗錢和資金合規化方向的審查工作。

延伸閱讀：Robinhood驚傳遭駭！知情者指 2,000 個帳戶被入侵捲款，官方態度更惹怒用戶

勒索相關

10 月份共發生 5 起勒索相關安全事件：

1）義大利跨國能源巨頭 Enel Group 近日遭遇勒索軟體攻擊，其計算機網路感染了名為 NetWalker 的 Windows 勒索軟體。據悉，NetWalker 駭客公佈了大約 5 TB 被盜數據的截圖，並威脅將在一周內公佈第一批數據，從而迫使 Enel Group 支付 1,234 枚比特幣（約 1,680 萬美元）。

2）10 月 28 日消息，芬蘭數萬名接受心理治療的患者的機密就醫記錄遭到駭客攻擊，其中一些被洩露到網上。

芬蘭警方透露，有駭客侵入了私人公司 Vastaamo 的記錄，該公司在芬蘭各地運營著 25 家治療中心。據報導，已有數千人向警方投訴此事。許多患者報告說，他們收到了要求支付 200 歐元比特幣的電子郵件，以防止他們與治療師討論的內容被公之於眾。

延伸閱讀：駭客過失殺人案：德國一家醫院遭駭且勒索比特幣贖金，造成急診病患死亡

3）10 月 14 日消息，近日，中國首個比特幣勒索病毒開發者巨某，被江蘇南通警方成功捕獲。江蘇省南通市當地警方通報稱，犯罪嫌疑人巨某，作為多個比特幣勒索病毒的製作者，已成功作案百餘起，非法獲取的比特幣折合人民幣 500 餘萬元。

4）近日，勒索軟體攻擊襲擊了醫療軟體公司 eResearchTechnology（ERT），該公司為全球製藥公司提供進行臨床試驗（包括 COVID-19 疫苗試驗）的工具，因而對包括施貴寶、阿斯利康、輝瑞和強生等公司進行的多個新冠研究項目造成潛在影響。

5）七國集團（G7）領導人星期二對勒索軟體攻擊的全球激增發出警告，稱這種駭客技術對世界主要經濟體的關鍵基礎設施構成威脅。勒索軟體會潛入並加密計算機網路，然後要求受害者支付贖金解鎖他們的文件。

七國集團的聲明警告說：「犯罪分子經常要求用虛擬資產支付贖金，這一事實尤其令人擔憂。」歐盟領導人表示，「虛擬資產」是駭客洗錢的途徑。該聲明呼籲更多國家實施金融行動特別工作組（FATF）的虛擬資產保護措施。

點評：

勒索類安全事件一直是影響整個互聯網生態的重大隱患，不局限於區塊鏈生態。而且在區塊鏈領域的加密貨幣逐漸普及後，不法分子常利用比特幣等加密貨幣的較好匿名性進行勒索詐騙。

延伸閱讀：門羅幣｜隱私之王 Monero 搭上比特幣順風車，數週內「翻 2 倍」已近兩年來新高

其他詐騙事件

除上述之外，10 月份還發生了多起詐騙跑路事件值得警惕，例如：

1）Kusunose 的用戶在 Google 論壇上發文稱，其因在Google 廣告中發現的加密騙局損失了 1.5 萬美元。據稱，該名為 Coindaq.io 的可疑網站試圖利用中國正在研究的數位人民幣，聲稱用戶可以在該平台存入資金參與數位人民幣的銷售。受害者表示，希望Google 可以調查此事，並建立一個針對涉嫌詐騙的網頁。

2）中國廣州公安官方發布文稱，10 月 3 日，市民潘小姐到雲埔派出所報案，稱其 9 月份結識了一名「網友」，後被對方以投資數位貨幣為名誘導下載某虛假 APP，先後投入共 232 萬元人民幣，目前已無法提現。黃埔公安緊急提醒，理性看待數位貨幣，如有疑問或發現被騙第一時間報警。

延伸閱讀：資安專欄｜數位資產領域「網戀詐欺」頻傳！一文看穿經典殺豬盤騙局

3）近日，中國長沙芙蓉區居民林某報警稱，投資數位貨幣被騙 320 多萬元。

據悉，林某通過一微信群內的「老師」發送的網址鏈接下載了一個名為「AOC」的 App，並註冊了帳戶。林某先後分 25 次向對方提供的 13 個不同的銀行帳號轉帳共計 327.39 萬餘元，幾天後 App 上顯示其購買的數位貨幣暴跌 80%。

林某報警時，該 App 已無法登入，「老師」微信號也已因被封而失聯。目前案件正在偵辦中。

4）近日有用戶訪問 Curve 交易所網站時遭受釣魚攻擊，損失 20 枚比特幣。據悉，詐騙團伙利用 Google 廣告系統購買Google 關鍵字廣告，偽裝成 Curve 交易所進行詐騙廣告投放。由於Google 新廣告計劃，廣告通常會顯示在搜索第一名，因此造成不少用戶上當受騙。

降維安全實驗室建議用戶保持警惕，認真鑑別消息來源，仔細辨別域名，避免造成資產損失。

5）10 月 12 日，以太坊客戶端 Geth 開發者 Marius 發推稱，在以太坊的開發社群中出現了郵件釣魚，具體而言是一個名為 get-eth.com 的網站，其顯示可以下載最新的以太坊 Geth 客戶端。而 Geth 客戶端的下載網址為 geth.ethereum.org，或在 Github 直接下載。

6）加密貨幣數據公司 CoinGecko 通過推特宣布遭遇 DDOS 攻擊，並暫時加強安全措施，目前 CoinGecko 正在密切監視情況發展。官方正在努力修復，希望能夠迅速恢復運行。

7）中國徐州市公安局日前成功偵破一起「CDBC 數位貨幣」特大民族資產解凍類詐騙案件，抓獲犯罪嫌疑人 16 名，扣押電腦、手機、銀行卡 60 餘件，凍結涉案資金 150 餘萬元，打出了省內偵辦此類案件一次性逮捕人數最多的戰績。

據悉，此團伙宣稱「CDBC 數位貨幣」是央行發行的第一批數位貨幣，100 元 1 單，每人限制 7 單，將來會翻 100 倍、1,000 倍；目前，16 名嫌疑人已全部移送檢察機關起訴。

8）日前，中國河北黃驊警方成功打掉一個跨省電信詐騙犯罪團伙，抓獲犯罪嫌疑人 3 名，涉案金額 120 餘萬元。據悉，該犯罪團伙使用一款投資 APP 採取利用虛擬貨幣買賣電子寵物的方式實施詐騙。

9）P2P 比特幣市場 Paxful 在兩個月內成功抵禦了一系列嚴重的威脅，包括 22 萬項網路機器人攻擊和各種社會工程策略。

Paxful 表示，攻擊者試圖使用自動機器人以暴力方式闖入該項目用戶的帳戶。Paxful 稱，據報導，全球約四分之一的網路流量都是由機器人產生的，它們實際上是一些模擬真實設備動作的程式。

10）根據美國檢察官週一發布的起訴書，俄羅斯國家網路駭客使用比特幣來掩蓋其與關鍵駭客活動「基礎設施」的聯繫，例如服務器和域名。

訴訟中提到了俄羅斯國家駭客團隊的六名成員，他們涉嫌通過俄羅斯軍事單位 7445 對公司、軍隊、政府和 2018 年冬季奧運會的數千名受害者進行了攻擊。檢察官還聲稱，他們應對 2017 年災難性的「NotPetya」惡意軟體攻擊負責，該攻擊造成了數十億美元的損失。

11）日前中國浦東警方成功搗毀了一個虛擬貨幣投資詐騙窩點，抓獲 22 名犯罪嫌疑人，案件涉案金額 790 萬元。據悉，涉案的「HASTE」虛擬貨幣交易平台由犯罪嫌疑人吳某所創立的某科技有限公司的技術人員開發、維護，並將使用權限賣給了境外人員。該平台可以直接對平台內用戶的虛擬幣額度隨意更改，並通過操盤「機器人」模擬調控虛擬幣匯率走勢。

12）近期市場上出現某些與 AAX 無關或未經 AAX 授權的第三方試圖通過電子郵件，微信和電報等形式假冒 AAX 客戶服務，並在網路上傳播冒充 AAX 的虛假關聯試圖進行詐騙活動。

13）西班牙國家警察局的消息人士稱，Arbistar 2.0 首席執行官 Santiago Fuentes 最終於 10 月 22 日被西班牙南部特內里費地區警方抓獲並拘留。Fuentes 被指控在一場比特幣龐氏騙局中欺騙了近 3.2 萬名投資者，價值近 8.5 億歐元（約 10 億美元）。

14）Yearn. Finance 出現 doppelganger 騙局以誘騙訪問者共享其加密貨幣錢包的私鑰。騙局網站幾乎可以複製原始 yearn.finance 網站的幾乎所有方面，包括其設計，網站副本甚至域名。

點評：

因用戶安全意識欠缺且操作規範性造成的各類安全隱患一直層出不窮，釣魚攻擊、詐騙等各類事件就是典型。在此提醒，用戶應謹慎保管各類私密信息，任何小的疏忽都可能造成不可挽回的損失。

轉貼自READ MORE ARTICLES FROM： BlockTempo 動區

若喜歡本文，請關注我們的臉書 Please Like our Facebook Page：Big Data In Finance