盘查| 3月份，全国共发生典型安全事件23起以上，虚拟货币欺诈和加密诈骗事件再次发生

根据成都联安[beosin eagle eye]的安全舆情监测数据，2021年3月，据不完全统计，整个区块链生态共发生典安全事件23起以上，整体安全风险等级为[中]。值得注意的是，典的安全事件在3月份频繁发生[在DeFi方面]和[在欺诈/加密欺诈方面]，与2月份相比呈现出显著的增长趋势。

纵观3月份的典安全事件，【DeFi aspect】暴露出的安全风险不容忽视。多个DeFi项目遭到黑客攻击，造成巨大经济损失，严重影响区块链生态的安全稳定。此外，随着虚拟货币的普及和财富效率的逐步提升，本月与欺诈/加密诈骗相关的事件再次呈上升趋势，需要引起关注。

以下是本月安全月报的详细内容。

交易所方面，发生了“1”类典安全事件

01

去中心化资产管理平台库克协议（Cook protocol）在twitter上发出警告，称存在一些伪造的库克协议集团、渠道和流动性池。该官员说，库克协议尚未推出Uniswap，因此请小心欺诈。

在DeFi方面，有“8”起典的安全事件

01

根据社会信息，DeFi项目的猫鼬财政部合同遭到黑客攻击，黑客利用漏洞窃取了价值约3100万美元的BNB代币。目前，该项目网站已无法打开。

02

分布式金融（DeFi）应用pay network的合同代币铸造功能因漏洞被利用，6000万个支付代币被错误铸造。

03

门定义DeFiBox.com网站该项目的监测发现，它声称是为heco在线赫科.cx利用虚假媒体新闻，多地夸大项目宣传，审计报告涉嫌造假。

04

去中心化交易所dodo上的wcres/USDT基金池似乎遭到黑客攻击，转移了价值近98万美元的wrapped CRES（wcres）和价值近114万美元的USDT。

05

ETH和BSC上的跨链稳定币“真铸币税美元”（TSD）表示，恶意攻击者利用TSD Dao在其账户中铸造了118亿TSD代币，这些代币全部以pancakeswap的形式出售。

06

北京时间3月15日晚消息，大量BSc（币安智能链）项目前端遭到攻击，twitter开始提醒用户不要进行合约操作。奶油财经表示，DNS已被第三方破坏，请不要在网页上输入任何文字；薄饼还表示，DNS劫持类似奶油，请不要使用该网站。

07

Filecoin出现“双花交易”，多家交易所关闭了fil充值渠道。由于filecoin节点的特性，这种攻击更加隐蔽。

08

EFI综合金融服务SIL.财务文章称，在发现智能合约因高风险漏洞而无法撤销后，经过36个小时的努力，已追回1215万元，并保存了一个多签名钱包地址。

Beosin评论：

各种DeFi项目在全球蓬勃发展，这些DeFi项目同时锁定了超过100亿的虚拟货币资产，这无疑将成为黑客实施各种攻击的重灾区。成都联安认为，目前DeFi领域还处于开发阶段，各大项目方在上线前一定要确保做好代码审核，做到一丝不苟。

在诈骗/加密诈骗方面，有“7”起典安全事件

01

Aig以太坊 side chain expansion program polygon（前身为matic network）在twitter上发出警告称，谷歌play商店提供了一个假冒的“matic钱包”应用程序。此恶意应用程序与matic网络或POLOGAN无关。

02

3月2日，价值约24.3万美元的5个BTC被发送到一个名为特斯拉创始人埃隆·马斯克（Elon Musk）的欺诈性钱包地址。

03

美国司法部宣布，瑞典公民罗杰·尼尔斯·乔纳斯·卡尔松对证券欺诈、电汇欺诈和洗钱指控认罪。他将面临最高20年的监禁，罪名是电汇欺诈和证券欺诈，以及最高20年的洗钱指控。

04

38岁的Ramesh J是印度班加罗尔一所私立大学的讲师，他向警方报告说，他在加密交易平台coinswitch kuber遭遇加密欺诈，损失了价值100万卢比（13780美元）的比特币。

05

英国兰开夏郡警方说，5名嫌疑人利用澳大利亚一家名为Casey Coinspot Services Block的公司的漏洞，诈骗虚拟货币，诈骗金额为2000万英镑（2700万美元）。

06

纽约联邦法官玛丽·凯·维斯科西尔（Mary Kay vyskocil）同意美国商品期货交易委员会（CFTC）关于“加密欺诈计划控制金融”创始人本杰明·雷诺兹（Benjamin Reynolds）实施欺诈的裁决，并命令他支付4.29亿美元的罚款和1.43亿美元的赔偿，共计5.72亿美元。

07

3月31日，一款外观酷似正版应用的比特币诈骗应用被苹果应用商店审计团队接受，最终iPhone用户Phillip kristodoulou 17.1 比特币s被盗，价值60多万美元。

Beosin评论：

区块链技术和虚拟货币的日益普及，促使越来越多的人关注新兴领域，也使得欺诈者和投机者萌生了新的犯罪方式。基于区块链技术和虚拟货币的各种欺诈行为层出不穷。成都连锁保安在此提醒，时刻保持警惕，不要盲目轻信和跟风。

在勒索软件/挖矿木马方面，出现了“2”起典安全事件

01

Nice hash警告平台的矿工立即停止使用Phoenix mining插件。nice hash风控团队发现凤凰矿业软件无法正常从其原下载地址下载，新下载地址的control shasum值与开发者在其频道上发布的值不一致。

02

知名电脑Maker宏碁（Acer）遭到软件敲诈团伙Revil的攻击，要求XmR提供高达5000万美元的资金，用于解密公司电脑，并且不在黑暗的互联网上泄露数据。

在黑暗的网络中，出现了“1”类典安全事件

01

美国司法部宣布，经营deepdotweb的塔尔普里哈尔（talprihar）承认共谋洗钱。据司法部称，普里哈尔利用新闻网站deepdotweb做广告，引导读者进入各种黑暗的网络市场。他们说，根据点击进入市场的客户，Prihar从此类广告中赚取了约8155 比特币的回扣。

其他方面发生“4”起典安全事故

01

3月1日，支持比特币的社交网络平台gab的70gb数据遭到黑客攻击。被黑客入侵的数据包括公开帖子、个人数据和密码，以及来自私人账户的帖子和消息。

02

白帽黑客塔哈·卡里姆（Taha Karim）检测到Mac OS版比特币钱包electrum遭到黑客攻击。攻击者攻击了electrum/利用率和银金矿/存储.py恶意代码被注入到存储库中，Windows版本的electrum也有同样的问题。

03

NFT指数基金nftx推出新方案xip#2，提议向独立安全研究员samczsun支付5万美元的漏洞奖励，因为samczsun发现nftx的金库创建合同存在严重漏洞。

04

3月10日，跨链项目Cosmos（atom）正式发布微博称，所有Cosmos hub认证节点都应注意Gaia v4.0中发现的一个严重安全漏洞。十、 但用户资金没有风险。

针对区块链生态的安全现状，“成都联安”在此总结：

总体来看，虽然3月份典安全事件总数与2月份持平，整体安全风险等级被成都链安团队评为[中]，但区块链生态的两个关键环节[DeFi]和[欺诈/加密诈骗]的整体安全风险依然严峻。

不难看出，DeFi的典安全事件居高不下，DeFi项目仍然是黑客眼中的重点目标。对此，我们建议，一方面，广大项目方应在合同或项目上线前开展全面、专业的安全审计工作，另一方面，也需要与行业各方联动，建立一套完整的安全防护和资产跟踪机制。

针对欺诈/加密骗局，我们建议投资者在选择投资理财产品时，尽量做到尽力而为，不要盲目跟风，也不要听那些号称稳赚不赔的所谓“内幕消息”或“理财专家”的话。