中金网|PeckShield：7月发生5起DeFi安全事件虚拟货币诈骗达16起外汇天眼APP讯:据PeckShield态势感知平

外汇天眼APP讯:据PeckShield态势感知平台数据显示，过去一个月，整个区块链生态共发生32起较为突出的安全事件，危害程度评级为「中级」，涉及DeFi5起、钱包安全2起，公链安全3起，交易所相关2起，勒索相关4起，诈骗跑路16起等。

文章图片
DeFi安全
7月份共发生5起DeFi相关安全事件，具体如下：
1）加密货币项目Vether（VETH）遭到闪贷攻击，其Uniswap资金池耗尽919299VETH ，价值约合90万美元，而且整个攻击成本仅有0.9ETH ，约合200美元。
2）知名区块链安全研究员SamSun在小组讨论中表示，自己似乎发现一种盗取yearn.financeyusdc资金池资金的方法。 yearn.finance官方回应称这个问题已经得到解决，但依然提示用户暂时不要投入资金。 7月26日， yearn.finance公布V2版本的更新将添加USDC合约的资金池，但V2版本还没有完全部署，尚在实验测试阶段，官方也已经提示该合约仍为实验性质且具有高度风险，建议不要立即投入资金。
3）samczsun在yearn.finance新部署的yVault中发现了一个漏洞，初步分析是由于flashloan中产生滑点导致。
4）网络安全公司OpenZeppelin已发布Compound的开放式预言机（OpenOracle）集成UniswapV2的审计报告。指出，开放式预言机旨在允许受信任的汇报者在链上发布一系列资产价格，这些价格将以UniswapV2的市场价格作为基础，发布价格的人只能在一定程度上偏离UniswapV2的价格（具体由部署者决定），这可以很大程度上限制汇报者操纵预言机的权力。
5）DeDi门户网站DefiPrime识别了目前最流行的DeFi骗局：Uniswap上的伪造代币列表。骗子正试图在目标协议实际推出其加密货币之前，在Uniswap上列出「官方」协议代币。 DefiPrime至少确定六个被这些诈骗者锁定的协议：Uniswap、TornadoCash、BZRX（Fulcrum）、Curve、dYdX和1inch 。甚至已经有人因此受骗。
PeckShield点评：随着DeFi项目功能越来越多样，其中隐藏的安全问题也逐渐暴露出来，鉴于其与用户资产的紧密联系， DeFi项目的安全问题非常严峻。由于各项目由不同团队开发，对各自产品的设计与实现理解有限，集成的产品很可能在与第三方平台交互的过程中出现安全问题，进而腹背受敌。 PeckShield在此建议， DeFi项目方在上线之前，应当尽可能寻找对DeFi各环节产品设计有深入研究的团队做一次完整的安全审计，以避免潜在存在的安全隐患。
数字钱包安全
7月份共发生2起钱包安全事件：
1）加密货币钱包服务商ZenGo表示，其在Ledger、BRD和Edge等市场主流的一些钱包中发现了一个漏洞，该漏洞允许攻击者欺骗用户，让用户以为自己收到了比特币，但实际上他们并没有收到。 ZenGo将这一漏洞命名为「BigSpender」，攻击手法定义为「双重支出攻击」。
2）研究人员发现了一种新的木马，这种木马针对在macOS上使用交易程序的交易者。该木马使用恶意软件GMERA ，被整合进貌似无毒的应用中，再从使用者的钱包中偷取代币。
PeckShield点评：数字钱包作为管理私钥的工具，是离加密资产最近的地方。虽然冷钱包是一种脱离网络连接的离线钱包，但也存在被物理攻击和被盗的风险，而像网页钱包等热钱包，用户也要谨防网络钓鱼，恶意代码注入等攻击方式。
公链安全
7月份共发生3起公链相关安全事件：
1）7月3日， CryptoScope团队发现Ravencoin（RVN）区块链存在漏洞，经过rvn首席开发团队确认后已发布了紧急更新。据悉，该漏洞可生成额外的RVN ，但是不会影响或控制已经存在的RVN资产。由于该漏洞造成了RVN总量比原计划多出了1.5% ，并且漏洞产生的RVN已经流入市场，因此无法进行回滚等操作。