資安月報｜11月駭客肆虐，DeFi「程式漏洞流行病」造成損失近5,000萬美元

據 PeckShield 態勢感知平台數據顯示，過去一個月，整個區塊鏈生態共發 35 起較為突出的安全事件，危害程度評級為「高級」。涉及 DeFi 相關 13 起、錢包安全 2 起、勒索相關 5 起，詐騙事件 10 起、其他攻擊 5 起。本文由專欄作者 PeckShield 撰稿，不代表動區立場
（前情提要：Sushi｜「嘴遁」 讓 DeFi 駭客停下攻擊？0xMaki : 我已經看到你了，請用Discord聯絡我領獎勵）

駭客肆虐，DeFi 為何淪為少數人的狂歡？

牛市來臨之後，DeFi（去中心化金融）一度被譽為支撐加密貨幣成為今年真正「頭號」投資產品的關鍵。

據 DappTotal 數據顯示，11 月以來，DeFi 的總鎖倉量突破新高，整個 DeFi 生態一副欣欣向榮的景象。

然而，另一邊，DeFi 正陷入弱代碼流行病的困擾，據筆者統計，11 月共發生逾 13 起與 DeFi 相關的安全事件，造成損失近 5,000 萬美元。

• 11 月 1 日，YFI 披露一個新的閃電貸安全漏洞，團隊在 1.5 個小時後移除該漏洞；
• 11 月 2 日，主網僅上線幾個小時的 Axion Network 遭到駭客攻擊，駭客利用其質押相關漏洞鑄造 790 億枚代幣 AXN，導致其代幣價格短時下跌 100%，並且損失 50 萬美元；
• 11 月 6 日，Percent Finance 因出現漏洞而凍結了 100 萬美元的代幣，包括 44.6 萬 枚 USDC、28 枚 WBTC 和 313 枚 ETH；
• 11 月 7 日，筆者監控到駭客利用閃電貸（Flash loan）通過一筆交易攻擊一家去中心化數位銀行 Cheese Bank，憑空套利 330 萬美元；
• 11 月 10 日，JustSwap 白名單 DeFi 項目 SharkTron 被竊取價值 1,000 萬美元的 波場幣（TRX），波場聯合幣安凍結部分資金；
• 11 月 14 日，筆者監控到駭客利用 Akropolis 項目存在的儲存資產校驗缺陷，向合約發起連續多次的重入攻擊，憑空增發大量的 pooltokens，擄走 203 萬枚 DAI；
• 11 月 15 日，筆者監控到駭客利用 Value DeFi 協議中基於 AMM 算法的價格預言機 （Curve） 存在的漏洞，操縱 Curve 上代幣的價格，鑄造 pooltokens，最終獲利 540 萬美元

延伸閱讀：最慘打臉！Value DeFi 宣稱「可防閃電貸」隔天被駭600萬，駭客留言：你們真的懂閃電貸？

• 11 月 17 日，筆者監控到 DeFi 協議 Origin Protocol 穩定幣 OUSD 遭到攻擊，攻擊者利用dYdX 的閃電貸進行重入攻擊（Re-entrancy attack），造成價值 770 萬美元的 ETH 和 DAI 的損失
• 11 月 18 日，筆者 監控到僅上線 48 小時的 DeFi 固定利率借貸協議 88 mph 存在代碼漏洞，攻擊者利用該漏洞鑄造價值 10 萬美元 MPH 代幣
• 11 月 22 日，筆者監控到曾被 V 神 發推文贊賞的 DeFi 項目 Pickle Finance（酸黃瓜），因被駭客攻擊未經審核新創建的智能合約漏洞，損失近 2,000 萬美元的 DAI；
• 11 月 26 日，Compound 遭預言機攻擊，9,000 萬美元資產遭清算。

此次 Compound 巨額清算是由於預言機資訊源 Coinbase Pro 的 DAI 價格劇烈波動導致的，操控預言機所依賴的資訊源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊；

延伸閱讀：DeFi突發！Compound 疑遭預言機攻擊，釀 「1 億美元」史上最大清算規模

• 11 月 29 日，RGT Distributor 的合約出現漏洞，智能合約 DeFi 智能投顧 Rari Capital 發佈官方推特稱已修復合約漏洞，沒有資金丟失；
• 11 月 30 日，流動性挖礦項目 SushiSwap 遭到流動性提供者攻擊，該攻擊者通過一筆交易中獲取了 1 至 1.5 萬美元，隨後該修復通過筆者審核。

區塊鏈世界信仰「Code is Law」，認為程式碼即法律，分布式技術可確保數據不可篡改，最大程度地保證系統安全，但現在基於區塊鏈技術開發的 DeFi 為何頻遭安全問題困擾？

PeckShield 分析道：

DeFi 的金融屬性強，與資金綁定緊密，一旦發生安全事件，大概率會直接涉及到切身利益，但此類安全問題並非沒有破解的方法。

DeFi 還處於發展階段，在主網上線前，一定要確保程式碼進行徹底地審計和研究。

例如 Pickle Finance（酸黃瓜）被攻擊的事件，略過了新增程式碼的審計，造成駭客有機可乘。同類 DeFi 被攻擊後，要及時確認自己的合約是否也存在類似的漏洞，或者尋求專業的審計機構，例如筆者對同類攻擊進行監控。

數位錢包安全

據筆者統計，11 月份共發生 2 起典型的錢包安全事件：

• 11 月 6 日，Ledger 錢包用戶因釣魚詐騙損失逾 110 萬枚 XRP。

詐騙者利用釣魚郵件將用戶引導到一個假冒的 Ledger 網站上，並誘騙用戶下載了冒充為安全更新的惡意軟體，從而導致 Ledger 錢包餘額悉數被盜。

• 11 月 9 日，ElectrumSV 多簽方案出現嚴重漏洞，致使用戶被盜 600 BSV。

延伸閱讀：瑞波｜冷錢包 Ledger 驚傳大規模釣魚攻擊，駭客已盜走「28 萬美元 — 115萬顆 XRP」

其他攻擊

除此之外，11 月份還發生了多起其他攻擊事件：

• 11 月 3 日，挖礦木馬團伙 z0Miner 利用 Weblogic 未授權命令執行漏洞（CVE – 2020 – 14882 / 14883）入侵 5,000 台伺服器。

該團伙通過批量掃描雲端伺服器發現具有 Weblogic 漏洞的機器，發送精心構造的數據包進行攻擊。之後執行遠程命令下載 shell 腳本 z0.txt 運行，再利用該 shell 腳本植入門羅幣挖礦木馬、挖礦任務本地持久化，以及通過爆破 SSH 橫向移動；

• 11 月 8 日，Grin Network 遭到 51％ 攻擊；
• 11 月 11 日，惡意節點試圖通過 Sybil 攻擊干擾 Monero 網路，以獲取有關 Monero 區塊鏈上用戶的資訊。據悉，Sybil 攻擊是對 P2P 網路的惡意攻擊，個人或組織試圖通過使用多個身份控制多個帳戶或節點來接管網路；
• 11 月 19 日，挖礦木馬 4SHMiner 利用漏洞針對雲端伺服器攻擊，已控制約 1.5 萬 台伺服器挖礦；
• 11 月 21 日，BCHA 鏈遭攻擊，網路產生大量空塊。

PeckShield 表示：

近年來，針對加密貨幣的攻擊日益增多，安全事件頻發。

對於企業用戶而言，一方面，針對加密企業伺服器上的文件，應該及時給伺服器打好安全補丁，同時避免使用弱口令，關閉不必要的端口；另一方面，應該加強對釣魚郵件的攔截，提醒員工不要輕易打開來歷不明的郵件，並且保持安全軟體運行狀態。

對於個人用戶而言，需要警惕來歷不明的郵件，保持安全軟體運行狀態，及時修復電腦漏洞，並且養成良好的上網習慣，不使用外掛等病毒高發點的工具。

針對系統性漏洞，需要養成對重要文件備份的習慣，使用隨身碟、硬碟等儲存工具對重要文件進行備份，未雨綢繆，防範於未然。

欺詐 & 勒索

隨著區塊鏈技術的發展，以及愈來愈多人對區塊鏈領域的關注 ，這推動了區塊鏈的日益普及，但也讓各式騙局應運而生，以區塊鏈概念包裝、傳銷方式進行推廣的資金盤層出不窮，同時駭客、攻擊者也在將注意力轉移到加密貨幣上。

據筆者統計，11 月 共發生 10 起欺詐相關安全事件；

• 11 月 1 日，KP3R 和 CORE 的仿盤項目 KPER 和 KORE 疑為騙局，幣價短時暴跌幾近歸零；
• 11 月 2 日，中國上海市虹口區人⺠檢察院對 8 名為利用虛擬貨幣協助詐騙分子轉移逾 1500 萬元錢款的 「中間商」提起公訴；
• 11 月 3 日，宿遷警方破獲數商中國數位貨幣詐騙案，涉案金額達 220 萬元；
• 11 月 6 日，涉足區塊鏈的 A 股上市公司斯萊克遭電信詐騙，損失 205 萬美元（折合人⺠幣約為 1,355 萬元）;
• 11 月 10 日，中國南京六合警方破獲一起與比特幣相關的詐騙案，抓獲涉案人員 10 名，追回詐騙款 10 萬餘元；
• 11 月 12 日，中國常州湧現「羅馬幣交易所」平台欺詐騙局，警方提醒謹防「變種」詐騙;
• 11 月 14 日，中國山⻄忻州警方破獲「SZSE 數位貨幣交易所」詐騙案，涉案金額逾 1,000 萬元；
• 11 月 16 日，中國泉州市⺠舉報 MARK 交易所交易詐騙，涉案金額高達 25 億元;
• 11 月 20 日，中國江蘇警方破獲柬埔寨水晶國際區塊鏈騙局，涉案金額逾 1,000 萬元；
• 11 月 23 日，中國黑龍江鶴崗市公安局成功破獲一起「哥倫布 CAT 虛擬貨幣」特大網路傳銷案，涉案資金近 3 億元；

據筆者統計，11 月 共發生 5 起勒索相關安全事件；

• 11 月 1 日，駭客入侵芬蘭 Vastaamo 心理治療中心竊取芬蘭公⺠的心理治療記錄，以此勒索比特幣；
• 11 月 3 日，中國江蘇省啓東警方破獲一起比特幣勒索病毒案，非法獲利 100 多枚比特幣，折合人⺠幣 500多萬元;
• 11 月 7 日，遊戲巨頭 CAPCOM 遭勒索軟體攻擊，被竊取駭客索要 1,100 萬美元的比特幣贖金;
• 11 月 12 日，駭客攻擊意大利酒商金巴利（Campari），竊取重要文件、合約和銀行資訊，並索要 1,500 萬美元比特幣贖金；
• 11 月 13 日，比特幣勒索軟體 Pay2Key 攻擊多家以色列公司；

由於加密貨幣具有匿名性、鏈上資產轉移路徑複雜、技術追蹤難度大，從而加大了相關部門追蹤、監管加密資產的難度。

近年來，中國國內外都在加大 AML 反洗錢政策的監管要求，進一步推進對加密資產的監管。

PeckShield 表示：

除了法律，目前在技術層面，可通過專業的鏈上追蹤系統對鏈上資產流轉的情況進行實時監控。

有關監管部門可在專業安全團隊的輔助下，共同推動加密資產安全有序發展。

📍相關報導📍

砸盤警訊？「一億美元比特幣」從不明錢包轉移，來源為 2016 年 Bitfinex 竊案駭客

中國凍卡潮再起！打擊加密貨幣場外交易背後：「OTC出金通道」的監管黑洞

讓動區 Telegram 新聞頻道再次強大！！立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務